Blockchain facilita la eliminación de contraseñas

La autenticación descentralizada basada en tecnologías como blockchain, el uso de credenciales verificables (VCs) y la implementación del concepto de identidad descentralizada (DID) conforman la nueva modificación al paradigma de la Autenticación. Este enfoque propone un modelo sin contraseñas, resistente a la suplantación de identidad, y donde los usuarios controlan completamente su información de autenticación mediante claves criptográficas y wallets digitales.

Durante más de cinco décadas, la autenticación basada en contraseñas ha sido el método por defecto para el acceso a sistemas digitales. Pero siempre fue el eslabón más débil de la cadena de Ciberseguridad. Robo de datos, ataques de phishing, reutilización de credenciales y todas las complejidades asociadas a la gestión convencional de identidades, llevaron a un punto donde es necesaria una transformación estructural del modelo de autenticación.

En este informe analizamos los fundamentos técnicos de esta transformación, incluyendo el rol del estándar de Identidad Descentralizada del W3C (World Wide Web Consortium) (https://www.w3.org/TR/did-core/), la interoperabilidad con FIDO2 (estándar de autenticación desarrollado por la Alianza FIDO y el W3C que permite a los usuarios acceder a servicios en línea sin necesidad de contraseñas), el uso de wallets (aplicaciones o dispositivos que permiten almacenar, gestionar y utilizar claves criptográficas) y las soluciones como Microsoft Entra Verified ID (https://learn.microsoft.com/en-us/azure/active-directory/verifiable-credentials) y Spruce ID (https://www.spruceid.com/)

Fundamentos de la Identidad Descentralizada (DID)

La Identidad Descentralizada es un nuevo modelo para representar identidades digitales sin depender de proveedores centralizados (Identity Providers – IdPs). A diferencia del modelo federado (OpenID, SAML), donde los usuarios deben confiar en un tercero (Google, Facebook, Microsoft), el modelo DID coloca la autoridad y el control de las credenciales en el individuo, mediante identificadores autoemitidos y verificables.

Estructura de un DID

Un DID es un identificador URI (Uniform Resource Identifier – es una cadena de caracteres que identifica de manera única un recurso en Internet o en una red) que hace referencia a un sujeto (persona, organización, dispositivo, etc.) y está asociado a un DID Document, un objeto digital que contiene claves públicas, métodos de verificación y servicios de descubrimiento. Estos identificadores son persistentes, independientes del dominio, y pueden resolverse mediante redes descentralizadas como blockchains o tecnologías DLT (Distributed Ledger Technologies). Fuente: W3C DID Core Specification (https://www.w3.org/TR/did-core/)

Métodos de resolución de DID

Cada tipo de DID tiene un método de resolución, como:

• did:ethr: basado en Ethereum
• did:key: basado únicamente en claves públicas
• did:web: anclado en HTTPS y dominios DNS

El método determina cómo se recupera el DID Document, y qué mecanismo garantiza su inmutabilidad. En modelos como did:ethr, se emplean contratos inteligentes para anclar la autoridad de la identidad en la blockchain, garantizando integridad y disponibilidad.

Credenciales verificables y autenticación sin contraseñas

El concepto de Verifiable Credentials (VCs), también estandarizado por el W3C (https://www.w3.org/TR/vc-data-model/), permite representar atributos, permisos o identificaciones de forma digital, firmada y verificable criptográficamente. Las VCs permiten que un emisor (por ejemplo, una universidad) emita un título digital que el usuario puede presentar a un verificador (una empresa), sin necesidad de que este consulte directamente al emisor.

Eliminación de contraseñas con autenticación basada en VC

El proceso de autenticación con credenciales verificables puede seguir este flujo:

1. Registro: el usuario genera un DID y lo asocia a su wallet.
2. Emisión: un proveedor (ej., empresa, universidad) emite una VC firmada.
3. Presentación: el usuario firma una prueba de posesión de VC ante un verificador.
4. Verificación: el verificador valida la firma, el estado y la autenticidad sin interactuar con el emisor.

Este modelo elimina la necesidad de contraseñas. En su lugar, la prueba criptográfica de posesión de la clave privada vinculada al DID y la validez de la VC son suficientes para autenticar al sujeto.

Integración con FIDO2 y autenticación biométrica

La alianza FIDO (Fast Identity Online) ha desarrollado el estándar FIDO2, que permite la autenticación sin contraseñas mediante el uso de autenticadores basados en criptografía asimétrica, como claves almacenadas en hardware seguro y protegidas por factores biométricos (https://fidoalliance.org/specs/fido-v2.0-id-20230420/fido-v2.0-id-20230420.html).

En una arquitectura de identidad descentralizada, FIDO2 se utiliza como el mecanismo para proteger el acceso al wallet o al entorno de firma de credenciales. Es decir, el usuario no autentica ante un servidor, sino ante su dispositivo personal seguro (TPM, Secure Enclave, HSM), que realiza la firma en su nombre.

Esto se alinea con el principio de autenticación local con verificación remota, donde:

• El dispositivo garantiza que el usuario es quien afirma ser (mediante biometría o PIN local).
• La red confía en la prueba criptográfica sin requerir conocimiento del secreto (clave privada).

Esta convergencia entre FIDO2 y DIDs permite una arquitectura de autenticación passwordless, resistente a phishing y reutilización de credenciales.

Wallets criptográficas y custodia de credenciales

Las credenciales verificables y los DIDs se almacenan y gestionan mediante wallets criptográficas de identidad, que pueden ser:

• Custodiadas por el usuario (non-custodial): el usuario mantiene sus claves.
• Delegadas a un proveedor (custodial): terceros gestionan las claves bajo mandato del usuario.

Las wallets pueden operar como aplicaciones móviles, extensiones de navegador o incluso dispositivos físicos. Su arquitectura debe incluir:

• Generación segura de claves criptográficas
• Cifrado de datos en reposo mediante algoritmos modernos
• Autenticación local mediante biometría o PIN
• Exportación/importación segura de identidades

La seguridad de estas wallets es crítica, ya que comprometer una clave privada permitiría suplantar identidades. Por ello, se están explorando técnicas como el Multi-Party Computation (MPC) y los Social Recovery Mechanisms para minimizar el impacto de pérdidas o robos.

Microsoft Entra Verified ID

Microsoft ha integrado el modelo DID y VC dentro de su suite Entra como parte de su visión de identidad descentralizada. Entra Verified ID permite a organizaciones emitir credenciales verificables sobre usuarios, accesibles desde una wallet integrada en Microsoft Authenticator (https://learn.microsoft.com/en-us/azure/active-directory/verifiable-credentials/issuer-overview).

La plataforma se basa en el estándar did:web y utiliza JSON Web Tokens (JWT) firmados con claves públicas para transmitir y verificar credenciales. También se integra con Azure Active Directory para federar identidades tradicionales con DIDs.

Entre las capacidades técnicas se destacan:

• Firma criptográfica con claves de alta seguridad
• Validación en tiempo real de la revocación de credenciales mediante endpoints dedicados
• Interoperabilidad con wallets de terceros bajo el estándar OpenID4VC

Spruce ID

Spruce ID (https://www.spruceid.com/) es una suite open-source que implementa el ecosistema de identidad descentralizada de forma nativa sobre blockchain (principalmente Ethereum y redes compatibles). Sus componentes incluyen servicios de emisión y verificación de VC, almacenamiento descentralizado de identidad y SDKs para desarrolladores.

Spruce adopta el estándar did:ethr, lo que permite utilizar claves asociadas a direcciones Ethereum como base de identidad, firmadas y ancladas en contratos inteligentes.

Uno de los aspectos técnicos más destacados es el soporte de autorización granular mediante UCANs (User-Controlled Authorization Networks), una alternativa a OAuth basada en delegación criptográfica explícita.

Seguridad y privacidad en la autenticación descentralizada

Si bien el modelo descentralizado elimina intermediarios de confianza y reduce vectores como el phishing, introduce nuevos desafíos técnicos y operativos:

• Gestión de claves: la pérdida de una clave privada puede significar la pérdida irrecuperable de la identidad.
• Revocación: mantener un sistema efectivo y escalable para revocar credenciales es aún un área activa de investigación (ver https://w3c-ccg.github.io/vc-status-rl-2020/).
• Minimización de datos: asegurar que los VCs solo revelen lo estrictamente necesario requiere técnicas de Zero Knowledge Proofs (ZKPs) y selective disclosure.
• Interoperabilidad: estandarizar formatos, resolvers y métodos DID entre múltiples vendors y blockchains es clave para evitar fragmentación.

Conclusión

La autenticación descentralizada es un cambio de modelo en la gestión de identidad digital, alineando seguridad, privacidad y soberanía del usuario. Al reemplazar las contraseñas con mecanismos criptográficos verificados sobre blockchain y wallets personales, se logra un ecosistema resistente a amenazas modernas y adaptable a múltiples entornos (web, móvil, IoT).

Este modelo no solo cumple con los principios del W3C en cuanto a descentralización y control del usuario (https://www.w3.org/TR/did-core/), sino que también se alinea con tendencias globales como la eliminación de contraseñas (FIDO2), la portabilidad de credenciales entre dominios y el respeto a la privacidad del usuario.

A medida que soluciones como Microsoft Entra Verified ID y Spruce ID maduren, se consolidará un nuevo estándar para la autenticación en línea, más seguro, más privado y verdaderamente centrado en el individuo.

Leer mas

• Tecnologías cuántica, Blockchain y Edge le dan ciberseguridad a IoT
• Colombia sorprende como importante punto de encuentro del ecosistema Blockchain regional
• Los hábitos de los consumidores impulsan el blockchain, la IA y la robótica