Seleccionar página

El futuro de la identidad: wallets, identidad digital autosoberana (SSI), regulación e innovación

por | Verificación de Identidad

digital identity future

Avanzamos hacia un mercado digital único en el que el futuro de la identidad digital juega un papel de vital importancia para la confianza y seguridad de los servicios que se presten de forma remota, hasta el punto de que se ha convertido en un campo estratégico y de disputa global.

En el tablero geopolítico nos encontramos con modelos opuestos que chocan entre si: sistemas centralizados gestionados por una sola autoridad (por ejemplo, el Aadhaar de India) frente a arquitecturas descentralizadas (SSI) en las que el usuario retiene el control de sus datos.

A su vez, se enfrentan esquemas estatales frente a soluciones comerciales privadas. Por una parte, hay  gobiernos que reclaman identidades nacionales biométricas propias, mientras que las empresas tecnológicas promueven monederos digitales y plataformas privadas de validación.

Estos modelos determinarán quién controla la confianza digital y la gestión de datos personales en el futuro, por lo que la forma en que gestionemos la identidad digital durante los próximos años determinará el acceso a derechos fundamentales y servicios esenciales para millones de personas.

Perspectivas globales de la identidad digital: Europa, Estados Unidos y China

¿Cómo esta evolucionando en la actualidad la identidad digital en distintas regiones del planeta?

En Europa predomina un enfoque regulatorio coordinado entre los Estados Miembro. Bajo el reglamento eIDAS/EUDI, cada país debe ofrecer una cartera digital nacional (wallet) donde almacenar credenciales oficiales reconocidas en toda la UE, y que hayan sido emitidas por un organismo central.

Por el contrario, Estados Unidos no tiene un sistema unificado como el que tenemos en Europa, ya que en EEUU se confía mucho en la innovación privada. Tanto es así, que distintos consorcios tecnológicos han impulsado licencias de conducir digitales (mDL) y gigantes como Apple o Google permiten la integración de documentos de identidad oficiales en sus wallets de Android e iOS. A su vez, las distintas administraciones, tanto Demócratas como Republicanas han enfatizado que la lucha contra el fraude derivado del robo de identidad es una prioridad para el Gobierno.

En China, por contra, prevalece un esquema estatal centralizado que busca un mayor control y vigilancia por parte del Estado. Para ello se ha propuesto el Internet ID, que obliga a los ciudadanos al registro en una plataforma online a través del documento nacional de identidad y reconocimiento facial.

Identidad Digital en Europa

Si nos centramos en la Unión Europea, tenemos un reglamento que marca los pasos a seguir en los próximos años. El Reglamento eIDAS 2.0 (o EUDI) – publicado en abril de 2024 como actualización del eIDAS original (2014) – establece un marco común para la identidad electrónica en la UE. Bajo este reglamento cada Estado miembro deberá emitir billeteras o wallets digitales de identidad antes de 2026, que permitan a los ciudadanos y empresas identificarse ante organismos públicos y privados.

Estos wallets electrónicos permitirán un sistema de identificación “seguro, fiable y privado” para todos los europeos, tal como lo describe la propia Comisión Europea. Así mismo y en paralelo a estas iniciativas, no para de crecer el interés en modelos descentralizados (SSI) y en la adopción de tecnologías como la IA o la blockchain para gestionar identidades digitales.

 

Carteras digitales de identidad (Digital Identity Wallets)

Una cartera digital de identidad o (monedero electrónico) es una aplicación (en móvil o en la nube) que almacena, gestiona y presenta credenciales digitales de una persona, reemplazando el monedero físico donde guardamos dinero, tarjetas y documentos de identidad.

Así lo describe el supervisor europeo EDPS (European Data Protection Supervisor): “Una Digital Identity Wallet (DIW) es una aplicación que permite el almacenamiento seguro, la gestión y el uso compartido de datos personales de identificación”.

 

De forma análoga a un carnet de conducir o la tarjeta de crédito, el usuario lleva sus credenciales en su propio teléfono móvil. De hecho, no es raro encontrar estudios que comparen la wallet digital con su homólogo físico, ya que la billetera se guarda en el móvil del usuario y contiene diversas acreditaciones, como el carnet de empleado o la licencia de conducir, al igual que la cartera de piel que llevamos en el bolso.

Por lo tanto, las wallets digitales permiten al usuario controlar qué atributos comparte con terceros, como el nombre, edad, dirección, certificados profesionales, etc. Cada credencial (por ejemplo, carné de conducir, título universitario, certificado médico) ha de ser firmada criptográficamente por una autoridad emisora de confianza (gubernamental o privada), que garantice su autenticidad.

 

En el modelo tradicional de wallet “la fiabilidad de los atributos se asegura mediante la firma criptográfica de autoridades, típicamente una jerarquía de certificados”.

 

En la práctica, esto significa que el Estado o una entidad de certificación cualificada emite cada dato (p.ej. un pasaporte digital) y la wallet lo almacena.

El reglamento eIDAS 2.0 exige que estas credenciales usen estándares internacionales: por ejemplo, las implementaciones deben emplear el Modelo de Credenciales Verificables (W3C Verifiable Credentials) para asegurar interoperabilidad y privacidad.

Dado que las comunicaciones deben ser seguras y privadas, los datos se cifran y solo se comparten los atributos estrictamente necesarios. El modelo europeo prevé que cada Estado miembro provea al menos una cartera oficial para todos sus ciudadanos y empresas. Esta wallet del área EUDI (espacio digital donde se implementarán las carteras de identidad digital de la UE) simplificará procesos como iniciar sesión en portales gubernamentales, firmar documentos electrónicamente o presentar prueba de edad sin papeleo físico, siempre teniendo en cuenta que este proceso está bajo el control del propio usuario.

Los distintos gobiernos europeos están desarrollando pilotos de wallets nacionales y consorcios (como el EUDI Wallet Consortium) estudian casos de uso para las wallets. Por ejemplo, un ciudadano podría cargar en su wallet una licencia de conducir y un título universitario, y luego presentar solo la información relevante (“mayor de edad”, “título en Ingeniería Civil”) a un servicio online, sin revelar más datos que los estrictamente necesarios. Del mismo modo, empresas podrían aceptar logins federados con credenciales de la wallet eIDAS para el onboarding digital (KYC) o pagos seguros.

Identity Proofing en las carteras digitales de seguridad

Tan importante como el uso de los monederos electrónicos de identidad, es asegurar de forma fehaciente la identidad de la persona que usa el wallet. Aquí entra en juego el Identity Proofing, un procedimiento diseñado para autenticar la identidad de un usuario antes de permitirle acceder a un sistema o servicio (también conocido como verificación de identidad.)

En general, este proceso suele combinar distintas técnicas, como la validación de datos personales mediante fuentes externas, el análisis de documentos de identidad legales y la confirmación de la identidad a través de reconocimiento facial.

Aunque la acreditación de identidad no se considera un servicio de confianza por sí mismo según el reglamento eIDAS, sí es un elemento esencial dentro de estos servicios. Por ello, muchos proveedores de confianza (PSCs) optan por delegar esta tarea en empresas especializadas en verificación digital.

Para estandarizar estos procesos, en 2021 se publicaron normativas técnicas que establecen los requisitos para equiparar la verificación remota con la presencial, destacando:

  • ETSI RT 119 460: Analiza tecnologías y exigencias regulatorias para la verificación de identidad en servicios de confianza.
  • ETSI RT 119 461: Define políticas y estándares de seguridad aplicables a estos procesos.

Identidad digital descentralizada (SSI)

La identidad digital descentralizada o identidad digital auto-soberana, también conocida por las siglas SSI (Self-Sovereign Identity) es un modelo radicalmente distinto en el que cada individuo posee y controla directamente sus identificadores y credenciales, sin depender de una autoridad central.

SSI es un modelo de gestión de identidad que otorga a las personas plena propiedad y control de sus identidades digitales sin depender de una autoridad central.

La idea clave es que el usuario genera su propio identificador descentralizado (Decentralized IDentifier ó DID) y recibe credenciales de diversos emisores (públicos o privados) en un wallet personal. Así, por ejemplo, una universidad puede emitir un título como credencial verificable (Verifiable Credential) a una persona, y ésta la guarda en su wallet bajo su control, para presentar la credencial cuando haga falta.

Técnicamente, el framework SSI se apoya en los estándares emergentes del W3C:

  • los Identificadores Descentralizados (DIDs) y
  • las Credenciales Verificables (VCs).

Un DID (Decentralized IDentifier) es un nuevo tipo de identificador único, generable por el propio usuario, que está vinculado a un documento DID en la blockchain o ledger correspondiente. Esto permite probar la identidad descentralizada de manera criptográfica. Por su parte, una Verifiable Credential es un formato de datos para expresar un conjunto de afirmaciones firmadas por un emisor, tal como “Carrera: Informática” o “Cuenta bancaria verificada”. Las VCs definen cómo certificar información de forma extensible y resistente a manipulaciones.

Las posibilidades de la identidad digital descentralizada son amplias y aplicables a múltiples casos de uso. Por ejemplo, la Blockchain europea EBSI está desarrollando un caso de “identidad digital europea” que combine identificadores descentralizados y credenciales sobre blockchain: “los usuarios podrán crear y controlar su propia identidad entre fronteras, sin depender de autoridades centralizadas”. En la práctica esto podría agilizar trámites como la convalidación de títulos en otro país, o el acceso transfronterizo a servicios públicos. Otros casos de uso habituales son:

  • Validación de credenciales profesionales y educativas. Almacenar diplomas y certificados laborales en formato «verifiable credential» en procesos de contratación donde las empresas puedan verificar rápidamente la autenticidad de los estudios o licencias de los candidatos.
  • Intercambio de historial médico. Pacientes que portan en sus wallets sus registros básicos de salud, permitiendo compartirlos de forma segura con médicos y hospitales sin necesidad de transcribir datos de forma manual.
  • Procedimientos KYC/AML. Bancos y fintechs pueden reutilizar acreditaciones verificables (como la residencia o identidad) emitidas por otros servicios, simplificando el onboarding digital de clientes.
  • Servicios gubernamentales transfronterizos. Por ejemplo, un migrante podría presentar un historial de empleo o estudios emitidos en su país de origen y validados en una institución internacional.

En definitiva, la identidad descentralizada busca un nuevo ecosistema donde cualquier emisor de confianza (universidad, banco, autoridad sanitaria, etc) pueda publicar credenciales verificables, y cada persona las gestione independientemente mediante DIDs/VCs.

Diferencias clave: Identity Wallets vs Identidad digital descentralizada

Aunque ambos modelos utilizan credenciales digitales en wallets, existen diferencias estructurales y de gobernanza:

Aspecto Digital Identity Wallet (DIW) Self-Sovereign Identity (SSI)
Naturaleza Herramienta (app, software) Modelo/paradigma de identidad
Control de datos Usuario decide qué compartir Usuario posee y gestiona toda su identidad
Emisión de credenciales Autoridades centralizadas (gobiernos, bancos) Puede incluir emisores descentralizados o alternativos
Verificación Requiere conexión con entidad emisora en muchos casos Pruebas criptográficas autosuficientes
Infraestructura Cloud o infra centralizada Redes descentralizadas (blockchain, DLT)
Privacidad y trazabilidad Depende de cómo esté diseñado Máxima privacidad (zero-knowledge, selective disclosure)
Ejemplo europeo EU Digital Identity Wallet ESSIF (European Self-Sovereign Identity Framework)

 

Marco regulatorio en Europa: eIDAS 2.0, GDPR y AI Act

La regulación europea aborda de manera complementaria ambos modelos de identidad.

  • eIDAS 2.0 (Reglamento EUDI Wallet): Este reglamento define el funcionamiento de las carteras digitales. Exige que cada Estado ofrezca al menos una wallet oficial para ciudadanos, cumpliendo estándares técnicos comunes. Además, eIDAS 2.0 introduce nuevos servicios de confianza basados en la tecnología (por ejemplo firmas electrónicas cualificadas) que podrán integrarse en estos wallets. El cumplimiento con el Reglamento GDPR está asegurado: de hecho, se enfatiza que las carteras deben ser “compliant con GDPR” y que el control de los datos recae en el propio usuario. Por tanto, se refuerza el consentimiento explícito y la minimización de datos en todos los procesos de identidad digital.
  • GDPR: El Reglamento General de Protección de Datos sigue vigente para cualquier solución de identidad. En particular, los datos biométricos utilizados en estos sistemas se consideran “datos sensibles” (categoría especial) si sirven para identificar de forma única a una persona. Esto obliga a tener el consentimiento explícito u otra base legal para procesar huellas, rasgos faciales u otros datos biométricos.
  • AI Act (Ley de Inteligencia Artificial de la UE): La primera ley mundia de IA impone restricciones adicionales en sistemas de identificación automatizada. En concreto, prohíbe el uso en tiempo real de identificación biométrica remota a través de cámaras de vigilancia para la policía y fuerzas de seguridad, salvo casos muy limitados. Todos los demás usos de identificación remota (por ejemplo, verificar la identidad a distancia con reconocimiento facial) están permitidos pero se clasifican como alto riesgo, lo que requiere controles estrictos (gestión de riesgos, supervisión humana, registro de las bases de datos usadas). De forma similar, el AI Act prohibe los sistemas de categorización biométrica basados en características sensibles (raza, religión, orientación sexual, etc.), considerándolos inaceptables.

Principales retos

  • Deepfakes y suplantación avanzada: El auge de la IA generativa permite crear imágenes, vídeos y voces sintéticas extremadamente realistas. Actualmente resulta prácticamente imposible distinguir a simple vista una imagen real de una deepfake. Esto supone un grave reto para la verificación biométrica tradicional ya qu, se pueden clonar rostros o voces de usuarios legítimos. Para contrarrestarlo se requieren capas adicionales de seguridad con pruebas de vida o liveness como las proporcionadas por Mobbeel, ya que sin estas capas, un atacante podría usar un video o máscara 3D para engañar al sistema de verificación.
  • Ataques de suplantación (phishing y fraude de identidad): Los atacantes pueden usar técnicas como el phishing  potenciado por IA. Por ejemplo, pueden emplear ataques de inyección (usando cámaras virtuales para introducir videos sintéticos en sistemas de identificación) y plantillas digitales (generando documentos de identidad falsos a partir de datos reales). La IA facilita crear documentos de identidad falsos muy reales y automatizar el robo de credenciales. Esto aumenta la sofisticación de fraudes como la suplantación de voz en atención telefónica o la generación de perfiles falsos completos. En Mobbeel hemos realizado pruebas con documentos generados por chatbots de IA y nuestra tecnología ha detectado que son falsos.
  • Trazabilidad y privacidad: Paradójicamente, la propia privacidad del los sistemas de identidad descentralizada complica el rastreo de fraudes. Al diseñar sistemas donde “los datos no pueden rastrearse ni correlacionarse” con un individuo, se dificulta seguir la pista a un atacante. Una credencial emitida puede usarse varias veces de forma anónima, y si se comete un fraude no hay un registro central claro para auditar. Además, en blockchains es imposible borrar datos (conflicto con el “derecho al olvido”) por lo que existe un gran reto para encontrar el equilibrio entre la trazabilidad sin sacrificar privacidad de los usuarios.

Uso de IA en identidad digital

Como ya habrás deducido, la IA juega un doble rol en esta partida: es una poderosa herramienta de autenticación y al mismo tiempo un arma en manos de atacantes con intenciones maliciosas.

El reconocimiento facial impulsado por redes neuronales (Deep Learning), como el desarrollado por Mobbeel, es cada vez más preciso. El sistema de la wallet puede usar reconocimiento de rostro capturado por una cámara y compararlo con datos oficiales. Dado que “ahora es imposible distinguir de manera fiable” una imagen real de una sintética con el ojo humano, las soluciones biométricas respaldadas por IA son “la única defensa confiable” contra los deepfakes. Para ello se usan redes convolucionales entrenadas en millones de rostros, capaces de detectar incoherencias sutiles. Además, se incorpora el liveness detection para verificar que la persona está física y conscientemente presente.

A la hora de detectar documentos de identidad falsos, contamos con sistemas capaces de leer estos documentos a través de OCR avanzado y comparar fotos con biometría. Además, los módulos de detección de fraude en los documentos emplean IA para verificar elementos de seguridad (microtextos, fondos UV, patrones). 

Las soluciones también aplican IA para el caso de detección de un “deepfake de voz”. En Mobbeel  recomendamos el uso combinado de biometría facial, detección de vida y modelos de IA generativa para identificar ataques de suplantación de identidad en la captura de documentos o en conferencias remotas.

Escenarios de futuro: convergencia de los wallets y la identidad digital descentralizada

Mirando adelante, todo indica que el escenario más previsible sea la convergencia progresiva de ambos modelos y una mayor interoperabilidad global.

Aunque se plantean como alternativas, es probable que los wallets eIDAS incorporen gradualmente características de SSI. Por ejemplo, se baraja usar identificadores descentralizados (DIDs) nacionales interoperables con otros sistemas, o incluso conectar con blockchains públicas. Proyectos como EBSI ya combinan estos enfoques: su caso de uso “European digital identity” permite que un usuario genere identidades auto-soberanas aplicables a servicios públicos en cualquier país.

Además, desde su concepción, la iniciativa europea enfatiza la usabilidad multinacional simplificando los procesos de verificación transfronteriza. En la práctica, esto significa que un ciudadano español podría usar su wallet en Finlandia sin adaptación manual: las normas técnicas (Usabilidad, API estándares) están diseñadas para que las credenciales emitidas en cualquier Estado miembro sean reconocidas en toda la UE. A nivel mundial, la adopción de identificadores decentralizados (DIDs) permitiría extender estos beneficios más allá de la UE.

Lo que está fuera de toda duda, es el impacto socioeconómico que va a suponer el uso de identidades digitales unificadas:

  • Para los usuarios, implican comodidad y privacidad: se eliminan trámites repetitivos y papeleo físico. 
  • Para las empresas y administraciones, se facilita la expansión de mercado al operar en cualquier país de la UE, reduciendo el fraude de autenticación, y fomentando nuevos modelos de negocio (fintech, regtech, e-Health). 

Recomendaciones para empresas. ¿Cómo verificar a mis usuarios en el futuro?

Ante este panorama, aconsejamos que empresas y responsables tomen acciones proactivas. Las organizaciones deben evaluar sus sistemas actuales frente a los requisitos de eIDAS 2.0, identificando posibles brechas tecnológicas y definiendo una hoja de ruta para adoptar credenciales digitales compatibles.

Además, es crucial invertir en tecnología avanzada: autenticación biométrica y herramientas antifraude basadas en IA.

Es y seguirá siendo prioritario el cumplimiento normativo (GDPR, IA Act), exigiendo políticas de privacidad robustas y auditorías de algoritmos para evitar sesgos de todo tipo.  Paralelamente, es esencial formar equipos técnicos y legales en conceptos como identidad autosoberana (SSI) y concienciar a los usuarios sobre los beneficios y riesgos de estas tecnologías.

Si te ha parecido abrumador el artículo y no tienes claro cómo surfear la ola de la identidad digital, no te agobies: respira hondo, cuenta hasta 10 despacio y después contacta con nosotros, que sabremos aconsejarte. No en vano, llevamos 16 años desarrollando soluciones de identidad digital.

 

Contacta con nuestro equipo si quieres saber cómo usamos la IA para combatir la IA y evitar el fraude de suplantación de identidad.

GUÍA

Identifica a tus usuarios mediante su cara

En esta dualidad analógico-digital, uno de los procesos que sigue siendo crucial para garantizar la seguridad es la verificación de identidad a través del reconocimiento facial. La cara, siendo el espejo del alma, proporciona una defensa única contra el fraude, aportando fiabilidad al proceso de identificación.

Descargar
¿Qué es la biometría multimodal?

¿Qué es la biometría multimodal?

Si pensamos en la palabra multimodal lo primero que se nos viene a la mente es el transporte, donde la combinación de diferentes medios como la...

mobbeel
Resumen de privacidad

Utilizamos cookies propias y de terceros para garantizar el funcionamiento de la web y analizar el uso que hacen los usuarios del sitio web a fin de mejorar nuestros servicios.

Rechazar cookies

¿Qué es una cookie?

Las cookies son archivos enviados desde un servidor web que obtienen información de los dispositivos de los usuarios, por ejemplo, sobre sus preferencias y pautas de navegación.

Las cookies son esenciales para el funcionamiento de internet, ya que ofrecen soluciones técnicas que permiten al usuario navegar por los distintos sitios web; no pueden dañar el equipo/dispositivo del usuario y pueden usarse para identificar y resolver posibles errores de funcionamiento del Sitio Web. También pueden ser utilizadas con finalidades publicitarias o analíticas.

Uso de cookies por Mobbeel

Concretamente, MOBBEEL utiliza cookies propias generadas directamente por este dominio y cookies de terceros generadas desde otros sitios web ajenos a MOBBEEL, pertenecientes a terceras empresas, para las finalidades concretas que a continuación se exponen. Si en un futuro MOBBEEL utilizase otras cookies con el propósito de otorgar más y mejores servicios, se informará al usuario de ello.