Así será la 'cartera' digital para identificarse que tendrá Europa en 2022, según una startup española que ha impulsado esta tecnología

En un futuro no dependeremos de nuestra cartera física para identificarnos. Tampoco tendremos que recordar la fecha de validez del DNI ni recurrir a farragosos certificados de navegador para poder trámites online con la Administración.

Todo ello será posible gracias al auge de la identidad digital soberana, una tecnología cuyo mercado es incipiente pero que ya existe y que también se conoce por sus siglas en inglés: SSI.

Irene Hernández es la CEO y fundadora de Gataca, una de las startups españolas seleccionadas por fondos consultados por este mediocomo una de las compañías del sector de la ciberseguridad a tener en cuenta en 2021. "Somos una empresa de ciberseguridad porque la identidad digital cae en ese campo, ya que sirve para proteger las transacciones en línea".

La pandemia ha acelerado la digitalización en muchos sectores económicos y en muchas facetas de la vida. Por ello es cada vez más imprescindible contar con una "capa de identidad para internet", como se refiere Hernández a este sistema. En junio, Financial Times avanzaba que Bruselas ya trabaja en un sistema de identificación digital para los 27 Estados miembros.

El diario británico apuntaba además que, con ese sistema, la Unión Europea permitiría a los ciudadanos pagar impuestos, realizar trámites e identificarse ante las administraciones públicas. El proyecto ya está en marcha y es probable que esté desplegado antes de que pase un año. 

Por si fuera poco, semanas después, España, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial, rubricaba un convenio con Alemania. 

El propósito de ese acuerdo era que ambos países colaborasen con la puesta en marcha de diversos pilotos para comprobar la eficacia de esta tecnología mediante transacciones transfronterizas, como la reserva de una habitación de hotel.

El desarrollo y despliegue de iniciativas como esta viene acompañado de un sector incipiente, como explica Hernández, y de una serie de proveedores tecnológicos, como es Gataca. Esta es su historia.

Gataca, una empresa española de origen estadounidense

Irene Hernández estaba haciendo un posgrado en 2017 en el Instituto Tecnológico de Massachusetts (MIT, por sus siglas en inglés). Al mismo tiempo, trabajaba en el MediaLab, el laboratorio del MIT en el que se hacen investigaciones sobre algunas de las tecnologías más vanguardistas. En aquel momento, Hernández se vio estudiando sobre cómo aplicar el blockchain al sector energético.

Por eso se le ocurrió aplicar esta tecnología al combate contra los fraudes de identidad. Comenzó una investigación y sus resultados fueron "tan prometedores" que decidió poner en marcha una spin off.

Aquello ocurrió en 2018 y la compañía nació en Estados Unidos. A los pocos meses, en 2019, trasladó toda la operativa de Gataca a España, donde tiene su propiedad industrial y su plantilla. Mantienen la sede en Madrid, aunque la sociedad norteamericana todavía actúa como holdingpor una cuestión prácticamente "histórica".

España acuerda participar en el sistema de identidad digital que Alemania ya está probando y que en Europa será una realidad a partir de 2022

Gataca es una de esas "pocas afortunadas" que se han visto beneficiadas por la pandemia. "Nos hemos visto favorecidos porque al final todas las empresas, incluso administraciones públicas, han tenido que transicionar a una modalidad digital y se han dado cuenta de las deficiencias que tienen a la hora de identificar a ciudadanos, clientes, trabajadores...".

Durante la crisis sanitaria y los sucesivos confinamientos han proliferado "los fraudes de identidad", lo que también hizo despertar el interés de los gobiernos por esta tecnología. Así, Gataca está creciendo mediante la financiación de inversores, de un crédito de Enisa y de subvenciones europeas. Pero, poco a poco, "empiezan a predominar los ingresos que vienen de nuestros clientes".

6 personas que miran a toda Europa

Clientes que surgen más allá de España. "La identidad digital se puede aplicar a cualquier industria, la aplicabilidad es casi infinita", detalla Hernández, que sí reconoce que en este caso los early adopters están siendo fundamentalmente las administraciones centrales de distintos Estados europeos: "Son nuestros clientes potenciales y ya trabajamos con varios".

También miran a la universidad. Una credencial no es necesariamente un DNI (o no solo un documento de identidad). También pueden ser las notas del curso. Gataca ya tiene proyectos activos con universidades y consorcios. Si un estudiante va a cursar un año en el extranjero, la universidad receptora necesitará saber si su expediente académico es real.

Para solucionarlo, muchas universidades contratan empresas que se encargan de hacer las pesquisas y llamar a los centros de origen para corroborar que esos expedientes académicos son verdaderos y no son falsificaciones. Es un coste que se pueden ahorrar gracias a la identidad digital soberana, resume la CEO de Gataca.

El programa que lleva a cabo la Comisión Europea para desplegar el SSI en todo el continente lo comandan en España la Secretaría General de Administración Digital (SGAD) y la Fabrica Nacional de Moneda y Timbre (FNMT). Tanto la SGAD como la FNMT están trabajando con la tecnología de Gataca en su proyecto.

Y, a pesar de ello, son 6 personas. "Estamos involucrados en proyectos de gran impacto con un equipo todavía relativamente modesto", concede Hernández, que aspira a que la compañía crezca en 2022 y reivindica cómo incluso siendo tan pocos han sido fichados como asesores en diversas ocasiones.

Cómo funciona la identidad digital soberana

En múltiples ocasiones, tanto la presidenta de la Comisión Europea, Ursula von der Leyen, como algunos de sus comisarios, han reivindicado la necesidad de que la digitalización se dé en Europa conforme a valores europeos. 

La privacidad por bandera: quieren garantizar que los usuarios puedan seleccionar qué datos comparten con las grandes tecnológicas que nos proveen de servicios hoy por hoy.

La SSI es la tecnología habilitada para ello. Irene Hernández la explica con una metáfora. "Es como la cartera que tenemos en nuestro bolsillo. En el bolsillo tenemos el DNI, el carnet de conducir y el dinero. La idea es que con la cartera de identidad tengamos varias credenciales, sin límites de espacio".

Europa estudia blindar sus fronteras con las mismas tecnologías que quiere reguladas en su interior: "Los migrantes merecen el mismo amparo que cualquier otra persona"

Además, es una cartera que trata de "invertir la arquitectura con la que nos autenticamos en internet". "En internet nos suscribimos a servicios creando una cuenta de usuario, una mini identidad, con nuestros datos", explica. "Al final son identidades aisladas que solo nos dan acceso a ese servicio en concreto", como pueden ser, por ejemplo, Facebook o Netflix.

Con una cartera SSI instalada en el móvil podría ser al revés. En este caso, serían las plataformas, servicios o administraciones las que se suscribirían a la identidad de los usuarios. Y serían los usuarios quienes tendrían la última palabra a la hora de decidir con quién comparten sus datos, revocando el acceso a las plataformas en cualquier momento.

Seguridad y privacidad, esenciales en la SSI

Hernández expone además 2 importantes innovaciones para entender el despliegue de esta tecnología y sus garantías.

La primera es que todas las carteras de identificación digital soberana se están elaborando conforme a un estándar global, de la misma manera que ocurrió con el certificado de vacunación COVID-19 que consensuó la Unión Europea, cuya experiencia sirvió para "educar" a políticos y ciudadanos sobre la necesidad de contar con estas tecnologías.

La segunda es que las credenciales que podremos almacenar en las carteras digitales vienen firmadas criptográficamente por entidades emisoras, que pueden ser la Fabrica Nacional de Moneda y Timbre para una firma electrónica, el Ministerio de Educación para un expediente académico o una entidad bancaria (del sector privado) para acceder a tu cuenta corriente.

Además, esas credenciales se almacenan en el móvil del usuario y tienne una prueba en sí misma, contenida, con lo que si un tercero debe comprobar la identidad de un usuario, no tiene que comunicarse en ningún momento con el emisor de la misma para corroborar que esta es cierta y no es una falsificación. La tecnología permite comprobarla en el mismo lugar.

Esto es esencial: la clave del éxito de esta tecnología es que sea tan sencilla de utilizar como lo son los botones para iniciar sesión de Google o Facebook, que funcionan con terceras plataformas. Ni Gataca ni ninguna otra plataforma para almacenar estas credenciales debería tener acceso a los datos de los usuarios.

Irene Hernández destaca que no accede ni a los documentos ni a las transacciones que se hagan con esos documentos. "El concepto de identidad digital soberana nace del deseo de implementar una identidad privada en la que el usuario tenga pleno control de sus datos", recuerda.

Estándares, interoperabilidad o la brecha digital, los desafíos

El problema de que este sea un sector por despuntar es que todavía tiene muchas cosas por definir. Irene Hernández asegura que muchas de estas cuestiones ya están superadas. Por ejemplo, la necesidad de contar con un mercado abierto: "Que en cada país no exista un único proveedor de estas carteras digitales".

"El mercado abierto parece que es la preferencia en muchos países, aunque un Estado determinado podrá decir que solo permitirá los certificados en una determinada cartera". No parece que sea lo más habitual, ya que la CEO de Gataca aduce que el desarrollo in house de una aplicación de estas características puede resultar más caro si no se optimiza con el trabajo del sector privado.

Las razones es que la innovación técnica ya se ha puesto en marcha en muchas compañías del sector privado: "Los países no se pueden permitir retrasarse 2 años más para acumular toda esa experiencia previa".

Los presupuestos de la AEPD y de las autoridades de protección de datos europeas se estancan: "Deberían quedarse con el dinero de las multas"

Con un mercado abierto y una industria que abraza la estandarización, cabe preguntarse cómo competirán los distintos proveedores: "En seguridad, privacidad e interfaz de usuario". Lo que se debe descartar desde un primer momento es la idea de que un banco solo trabaje con una determinada cartera o la Administración de un país con otra.

Lo contrario obligaría a los usuarios a tener varias aplicaciones de cartera instaladas en el móvil: "Todo lo que estamos haciendo en la comunidad lo hacemos involucrándonos en los procesos de estandarización. Apostamos por la interoperabilidad entre carteras". Eso permitiría que el mercado evolucione para que no haya empresas con usuarios "secuestrados".

Otros desafíos se refieren también a la brecha digital, que "no solo afecta a nuestros mayores" y que es una cuestión que se debe abordar también desde la perspectiva del desarrollo del hardware: "No es un tema menor".

Más de un millón de euros para 2022

Son 6 personas y están abordando proyectos ambiciosos como el piloto español para poner en marcha este sistema de identificación digital soberano. El modelo de negocio de Gataca se basa en licenciar su tecnología. "La cartera la damos gratis al usuario", aclara. Ya se puede descargar en Android o iOS.

"A un gobierno, a una universidad o a un hospital le vendemos la tecnología para emitir credenciales" y, a una empresa proveedora de servicios, "la tecnología para que puedan autenticar esas credenciales". "Sobre este modelo ya estamos facturando y tenemos contratos con clientes". 

Ahora están en fase de verificar su modelo de negocio y se ponen una meta: superar el millón de euros de ingresos en 2022.

Irene Hernández se despide con una aclaración. No había visto la famosa película de Andrew Niccol cuando le puso el nombre a la empresa. Fue una idea de su pareja y le gustó porque el nombre se incluyen las consonantes G, T y C, que se corresponden con las proteínas presentes en el ADN, como la guanina, la timina o la citosina. Es la máxima expresión de una identidad.

"Lo positivo es que es un nombre muy memorable. Lo negativo es que a ver cómo competimos en SEO contra la película", ríe.