Archivo de la categoría: Blockchain

No es DLT: es RJT, o mejor, simplemente Blockchain


Ya he comentado en este blog que en contextos de Blockchain (y otros) no es recomendable realizar traducciones de términos usando los “falsos amigos de la traducción” sino que resulta preferible expresar los conceptos con los términos correctos en español.

Un caso de “falso amigo” es la palabra “constipation” que muchos traducirían por “constipado” pero que significa “estreñimiento”.

Otro caso es la “self sovereign identity” que yo traduzco por Identidad Juan Palomo. Una modalidad de gestión de identidades basada en Blockchain

Otro término generalizado que es incorrecto es DLT: “Distributed Ledger Technology”.

RJT-Replicated-Journal-Technology

Ni siquiera es correcta en inglés, como para pensar que pueda ser correcta en español.

El término “cadena de bloques” o “blockchain” es una metonimia del tipo “designación de la parte por el todo”, y por tanto una sinécdoque. Su extensión y amplitud de significado ha llevado a que se haya convertido en la antonomasia de varias tecnologías.

En efecto. Aunque la cadena de bloques es solo uno de los componentes de la tecnología (la parte que guarda información con ciertas medidas de seguridad) el término engloba también la función de aprobación de bloques para la construcción de la cadena, la función de creación de una cartera que conlleva la generación de una pareja de claves pública y privada para criptografía asimétrica (utilizada en la firma electrónica), la función de firma electrónica que se realiza en la cartera electrónica para transferir valor, la función de comprobación de firma que realizan los mineros para verificar las transacciones que pueden formar parte de un bloque, la verificación de saldos que se realiza para comprobar si una transacción transfiere cantidades menores que las que ha recibido previamente su remitente, la gestión de colas de transacciones, a la espera de confirmación, la replicación de bloques confirmados, la ejecución de condiciones asociadas a transacciones (scripts o smartcontracs),…

Por tanto, podemos aceptar blockchain como un concepto que engloba varias tecnologías.

Pero DLT (Distributed Ledger Technology) como sinónimo de Blockchain es un término incorrecto por varias razones:

  • Solo se referiría a usos de blockchain que registren valores contabilizables.
  • Ledger significa “libro mayor” lo que conlleva la estructuración de la información por sus cuenta contables. Aunque algunas blockchain permiten hacer “instantáneas” del estado de todas las cuentas en un momento dado, lo que en verdad se registra son las transacciones individuales incluidas en los bloques ordenados cronológicamente por orden de confirmación. Es decir, lo que se denomina “Libro Diario” en contabilidad. Por tanto el término correcto sería Journal.
  • La información de los bloques no está distribuida, sino replicada. Todas las cadenas tienen toda la información. Hay carteras gestionadas con parte de la información en servidores (precisamente para evitar tener que replicar toda la cadena de bloques) pero los sistemas que conservan la cadena de bloques, la tienen completa. No existe el concepto de base de datos distribuida en el que unos datos se guardan en unos sistemas y otros datos en otros sistemas.
  • Excluye conceptualmente otros elementos tecnológicos que sí se admiten como subsumidos en blockchain (criptografía de curva elíptica, firma electrónica,…)

Por tanto el término correcto para sustituir a DLT es RJT Replicated Journal Technology.

En este tipo de tecnologías lo que está distribuido o “descentralizado” es la potestad de confirmar bloques, algo que puede llevar a cabo cualquier nodo de confirmación, los nodos denominados “mineros”, que reciben un premio por resolver un acertijo de cálculo de valores resumen (hash) antes que los demás, lo que es un reto que se renueva con cada bloque confirmado para tratar de confirmar el siguiente.

Aunque el concepto de RJT es más correcto que el de DLT, todavía faltaría por dirimir si contiene en su significado el resto de componentes de la tecnología, que se entiende subsumidos en “Blockchain“.

Por cierto, en ocasiones se he matizado el significado de “Blockchain” como un sistema de creencias de cipherpunks, resistentes a la autoridad, y defensores del “Proof of Work” lo que justificaría un término diferente que para cuando la tecnología se use en contextos más dóciles y con algoritmos de aprobación de bloques variopintos. Si en algún momento eso fue así, en la actualidad el término ha superado a sus promotores iniciales y ya no es necesario usar otros términos para designar variantes.

John Cock-pigeon Identity – Blockchain


Las denominaciones de los sistemas y de las tecnologías deberían ser significativas para los usuarios.

Traigo el tema a colación de la denominación “Self Sovereign Identity” que suele traducirse como “identidad autosoberana” trasladando a un contexto jurídico continental principios de gestión de identidad que nos son ajenos y responden a necesidades de países que adoptan el derecho de la “Common Law”, tan diferente del nuestro. Es un tipo de propuesta, normalmente basada en infraestructuras de tipo Blockchain, que encuentra eco en nuestra sociedad.

En España, acreditar la identidad a distancia es sumamente sencillo, con el DNI electrónico, si bien, hay que reconocer que algo falla cuando el uso actual de esta posibilidad es tan escaso.

En países en los que no existe el DNI se opta por emitir un “carné de conducir de no conductores” que no deja de ser un documento de identidad expedido por el estado.

Pero en muchos contextos, uno acredita su identidad con lo que puede: contratos en los que se indica el nombre y apellidos y la otra parte los admite, facturas en las que figuran datos de identificación y de dirección de suministro (agua, gas, electricidad, teléfono fijo)…

En el fondo, no hay un buen sistema de gestión de identidad y se recurre a empresas como Experian y Equifax (o Dun & Bradstreet  en el caso de empresas) que recopilan datos de identidad y de comportamiento de pagos para refrendar la identidad alegada.

Que en esos contexto se propongan sistemas de tipo SSI (“Self Sovereign Identity”) o similares (caso de Sovrin o uPort) es una consecuencia lógica de la carencia que tratan de resolver.

Sin embargo, en nuestro contexto, la gestión de la identidad no tiene nada que ver con la soberanía (mucho menos a nivel individual) por lo que sistemas de base tan primitiva la podríamos llamar “Identidad Juan Palomo” (“yo me lo guiso, yo me lo como) y todo el mundo entendería la base de la propuesta: acreditamos un dato que nos pidan con algún “papel” que nos haya expedido un tercero tras cumplir ciertos requisitos (el carné del videoclub, una factura, un título universitario,…).

No es que en España no se use la “Identidad Juan Palomo”, lo que sucede es que la demostración más sencilla y eficaz de la identidad a secas la proporciona el DNI:

El DNI tiene suficiente valor, por sí solo, para acreditar la identidad y los datos personales de su titular que en él se consignen, así como la nacionalidad española del mismo. (RD 1553/2005)

Los servicios de Equifax y Experian siguen siendo útiles en la prevención del fraude (como ya expliqué en los artículos de “Documentos Perdidos/Sustraídos” y “Documentos Robados/Extraviados“) pero no se consideran una primera referencia para la gestión de identidad.

De modo que si nos llega a parecer que la denominación “John Cock-pigeon Identity” no es la mejor traducción del concepto para un angloparlante, quizá debamos cuestionar si la denominación “Identidad autosoberana” significa lo mismo en español.

Digital por diseño


Va llegando el momento de abandonar el término “transformación digital” que transmite la idea de que hay que cambiar los procesos de las organizaciones, conforme avanza la digitalización de la sociedad y la adopción masiva de las tecnologías de la información.

Con el estado actual de la tecnología y de la legislación, no tiene sentido diseñar procesos de información, contratación o mero trámite que no estén diseñados desde el principio pensando en el valor probatorio de los registros digitales administrados con ayuda de la criptografía.

En todo caso, cualquier concesión a procedimientos o actuaciones arcaicos debe ser en atención a la experiencia de usuario.

Uno de los aspectos claves del nuevo paradigma es la gestión de la identidad digital de las personas con las que se relacionan las entidades que debería tener en cuenta la posibilidad de acceso de personas de diversa procedencia y medios de identificación.

Las “piezas de lego” que facilitan la gestión digital por diseño de los procedimientos preservando la seguridad jurídica son componentes como las firmas electrónicas de persona, los sellos electrónicos de empresa, los sistemas de conservación digital de documentos electrónicos (incluso con códigos seguros de verificación) y evidencias electrónicas, los sellos de tiempo electrónicos, los sistemas de gestión de información de representación (de otras personas o de empresas) los sistemas que permiten comprobar la validez de las firmas y de los sellos, los que permiten gestionar mecanismos de identificación y de firmas y sellos “en la nube”, los que permiten realizar la digitalización certificada de documentos, los que permiten la identificación remota co y los que permiten acreditar las notificaciones electrónicas.

En la actualidad. el Reglamento (UE) Nº 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (eIDAS), ofrece una buena base para construir sistemas digitales con valor legal admisibles en todos los países miembros, sea cual sea el país de origen, de entre los europeos.

Un aspecto clave en la digitalización por diseño es que la experiencia de usuario debe ser una de las principales prioridades en el diseño de los procesos, para evitar repetir errores de usabilidad  que en el pasado no contribuyeron a poner en valor tecnologías como el DNI electrónico, que se expide desde 2006.

El despliegue de sistemas digitales de gestión debería preservar principios esenciales como el “soporte duradero” o la “simetría probatoria” (igualdad de armas) para que los usuarios de las plataformas cuenten con la misma posición respecto a la prueba digital que los promotores de las plataformas.

El conocimiento técnico y legal de estos principios de despliegue digital ayudará a las entidades a diseñar sistemas digitales eficientes, sencillos y con valor probatorio por lo que es útil contar con especialistas a los que consultar.

Los sistemas de gestión de identidad disponibles ya contemplan la interoperabilidad entre países con “nodos eIDAS” como el español que se instancia a través del sistema “Cl@ve“.

 

Smart Degrees y los eTítulos


SmartDegrees es una plataforma española que facilita la gestión digital de títulos y certificados académicos, y que utiliza como mecanismo de gestión de evidencias electrónicas el registro en blockchain.

Entre otros aspectos, cuenta con Apps para móvil (Android e iOS) y se integra fácilmente con LinkedIn y en otras plataformas de búsqueda de empleo.

De momento, la Universidad Carlos III ya ofrece conexión con SmartDegrees y otras universidades se irán añadiendo en el futuro.

SmartDegrees utiliza la blockchain Quorum, para la anotación de evidencias electrónicas relacionadas con la expedición de títulos.

Quorum™ es una implementación de código abierto de la Blockchain de Ethereum, desarrollada por JP Morgan Chase que mejora aspectos como la velocidad en la gestión de transacciones. La red Ethereum se caracteriza por dar soporte a SmartContracts (contratos inteligentes) más sofisticados que los disponibles en la red Bitcoin, para los que se utiliza el lenguaje Solidity, similar al JavaScript.

Esta iniciativa se suma a la desarrollada por Ibermática y las tres universidades de CEU en Madrid, Valencia y Barcelona y que mencioné en el artículo sobre Gestión de eTítulos universitarios mediante Blockchain

La normativa más importante sobre los requisitos de expedición de títulos universitarios oficiales es el Real Decreto 1002/2010, de 5 de agosto, sobre expedición de títulos universitarios oficiales.

Su artículo 16 trata sobre el Soporte documental o físico y requisitos y dice lo siguiente:

  1. La cartulina soporte de los títulos, de idéntico tamaño para todos ellos, será de material especial con determinadas claves de autenticidad, normalizado en formato UNE A-3, de acuerdo con las prescripciones técnicas y de seguridad determinadas en el Anexo XI. Por Resolución del Director General de Política Universitaria se determinarán las condiciones de suministro de dichas cartulinas a las universidades.
  2. Las cartulinas llevarán incorporado el Escudo Nacional en el ángulo superior izquierdo. Estarán numeradas mediante serie alfanumérica, cuyo control corresponderá a las unidades responsables del proceso de expedición de los títulos.
  3. Las universidades adoptarán, para los títulos que expidan, los atributos, colores, orlas y demás grafismos que estimen convenientes, sin más limitaciones que las establecidas en este real decreto. Asimismo, podrán incorporar a los títulos que expidan su propio escudo u otros, nunca en mayor tamaño que el Escudo Nacional.
  4. Los títulos llevarán impreso todo su texto, así como la firma del rector o rectores de las universidades correspondientes. No se permitirá la incorporación de inscripción alguna no impresa, salvo la firma del interesado y la del responsable de la unidad de títulos oficiales de la universidad.
  5. Cada universidad, previamente a su entrega al interesado, efectuará en el título una estampación en seco de su sello oficial, igual para todos los títulos que expida. Remitirá muestra de dicho motivo a la Subdirección General de Títulos y Reconocimiento de Cualificaciones de este Departamento, a efectos de conocimiento y control de autenticidad.

Es interesante que aunque este artículo parece dar a entender que los título se tienen que expedir en soporte papel, en realidad no es así, ya que la normativa administrativa (Ley 39/2015) permite realizar copias auténticas en soporte papel.

La primera copia auténtica en papel sería la que requeriría dar cumplimiento a los indicados requisitos, mientras que el documento original expedido por la universidad sería el electrónico, y sería posible crear copias auténticas en papel adicionales a la primera, que sería la única dotada de solemnidades especiales.

En concreto, el artículo 27 indica

(…)

2. Tendrán la consideración de copia auténtica de un documento público administrativo o privado las realizadas, cualquiera que sea su soporte, por los órganos competentes de las Administraciones Públicas en las que quede garantizada la identidad del órgano que ha realizado la copia y su contenido.

Las copias auténticas tendrán la misma validez y eficacia que los documentos originales.

(…)

c) Las copias en soporte papel de documentos electrónicos requerirán que en las mismas figure la condición de copia y contendrán un código generado electrónicamente u otro sistema de verificación, que permitirá contrastar la autenticidad de la copia mediante el acceso a los archivos electrónicos del órgano u Organismo público emisor.

En el caso de las universidades privadas, su procedimiento es similar, pero basado en el Reglamento europeo UE 910/2014 (EIDAS) que en su artículo 46 indica:

No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a un documento electrónico por el mero hecho de estar en formato electrónico.

 

 

Gestión de eTítulos universitarios mediante Blockchain


Se ha llevado a cabo en España un uso pionero de blockchain para la gestión inter-universitaria de títulos, desarrollada por Ibermática y las tres universidades de CEU en Madrid, Valencia y Barcelona, asociadas a @Alastria Blockchain Ecosystem. Surge de un planteamiento de transformación digital desde el laboratorio universitario Blockchain & DLT Lab CEU.

Aunque la acreditación curricular de las titulaciones oficiales se basa en la posesión física de un documento en soporte cartáceo al que se le deben incorporar medidas de seguridad para evitar la falsificación, debido a los requisitos formales definidos en el Real Decreto 1002/2010, de 5 de agosto, sobre expedición de títulos universitarios oficiales, el desarrollo de la normativa orientada a la digitalización de las administraciones públicas abre otras opciones a la gestión de su autenticidad.

Los sistemas probatorios digitales como la firma electrónica o los códigos seguros de verificación facilitan la creación de documentos electrónicos con consideración de original, aunque se facilite su transcripción a documentos en soporte papel como medio de presentación en contextos desconectados.

En los sistemas de tipo blockchain se combinan habitualmente técnicas de firma electrónica junto con otras de preservación digital, lo que permite usarlos en contextos diferentes a la gestión de ciberdivisas.

Las entidades citadas han puesto en funcionamiento el primer sistema interuniversitario de gestión, acreditación y reconocimiento de titulaciones universitarias mediante la tecnología Blockchain, destinado a dar soporte a la autenticidad de los títulos por vía electrónica.

La posibilidad de falsificar títulos, los complejos procedimientos probatorios para demostrar la formación recibida en el acceso a Másteres oficiales y a Doctorado (tanto para los grados oficiales como para cualquier otra formación complementaria), los potenciales casos de fraude, y el creciente interés por los denominados Grados Abiertos, plantean retos para cuya resolución pueden utilizarse mecanismos digitales.

Entre ellos, cabe destacar las potenciales ventajas de las tecnologías DLT (Distributed Ledger Technologies) o RJT (Replicated Journal Technologies) entre las que se encuentra la conocida como blockchain.

Tras analizar los retos y las posibles soluciones, Ibermática y el Grupo de Universidades CEU, ambos miembros de ALASTRIA -la red nacional de Blockchain-, han trabajado en el desarrollo de un sistema sobre la plataforma chainTalent junto con el Blockchain & DLT Lab de la Universidad CEU San Pablo, dirigido por José Luis Roig y Ricardo Palomo.

Este innovador sistema de gestión de titulaciones permitirá que los estudiantes añadan, de forma complementaria a su acreditación formativa convencional, un registro distribuido que aporta verificabilidad inmediata y que se integra en su identidad digital, salvaguardando los requerimientos de la normativa de protección de datos.

La aplicación de este sistema de gestión universitaria es ampliable a muchos procesos administrativos de su entorno. Es destacable su potencial en el contexto del Espacio Europeo de Educación Superior y de la movilidad internacional de los estudiantes, por lo que esta primera aplicación supone un paso decisivo en el establecimiento de los criterios estandarizados para el intercambio de datos académicos, no sólo entre universidades, sino también con empresas e instituciones. El sistema, bajo el estándar openbadges, permite incluir también la acreditación de competencias y habilidades formativas, así como formación extracurricular o prácticas.

UNIA-eTitulo-BlockchainEn este sentido, tanto ALASTRIA como la Conferencia de Rectores Universitarios de España CRUE (igualmente miembro de ALASTRIA) han organizado en los meses anteriores diversos encuentros universitarios para avanzar en este campo.

Pablo Carretero, director de Estrategia Blockchain de Ibermática, considera que “el gran reto de chainTalent es convertirse en una plataforma para el tratamiento y gestión del talento de las personas, poner en valor la información curricular como un activo de gran importancia en el presente y futuro de las personas”. “En este camino por recorrer, es primordial para Ibermática la creación de un ecosistema, no sólo de instituciones académicas, sino también de cualquier compañía pública y privada que sume en la identidad de un individuo”, explica.

Ricardo Palomo es Catedrático de la Universidad CEU San Pablo, vicepresidente de la Fundación para la Innovación Financiera y la Economía Digital (FIFED) y miembro de la Comisión de Investigación y Transformación Tecnológica (ITT) de Alastria. A su juicio, “la certificación mediante blockchain supone la irrupción de una verdadera transformación digital del S. XXI en la gestión universitaria, que va más allá de su vertiente administrativa, pues aporta a los estudiantes la inmediatez y garantía de veracidad que demandan las empresas; y permite incluir no sólo calificaciones y títulos, sino también las competencias y capacidades que adquieren en su proceso de formación universitaria y postuniversitaria. Por otra parte, el paso de los estudiantes por la universidad es un buen momento para arrancar con el uso de su primera identidad digital sobre la que blockchain añadirá capas de valor y de utilidad”.

Con el nacimiento de chainTalent, los alumnos de CEU y de todas aquellas universidades que se unan a este ecosistema podrán participar en los procesos de selección de profesionales con la garantía de estar compartiendo su información curricular en un entorno fiable y transparente. Los usuarios de chainTalent podrán compartir sus titulaciones en otras redes sociales del ámbito profesional referenciando el link que la aplicación les proporciona para su validación. En este sentido, desde Ibermática y el CEU ya trabajan conjuntamente para conseguir la regulación y legitimidad de los títulos, tanto públicos como privados, en plataforma blockchain.

VI Curso experto legal en blockchain, smart contracts e ICOS


Los próximos días 28, 29 y 30 de noviembre de 2018 el Instituto Jurídico de Blockchain organiza un curso de ‘Experto legal en Blockchain, Smart Contracts e ICOS, que se celebrará en la sede del Consejo General de la Abogacía (Paseo de Recoletos, 13. Madrid). 

El curso está dirigido a abogados y profesionales del Derecho, miembros de la Administración Pública, académicos y docentes y empresas que estén valorando el lanzamiento de un proyecto de blockchain y se divide en cinco módulos.

  • ‘Tecnología blockchain, bitcoin, ethereum y principales retos jurídicos’,
  • ‘Identidad digital’,
  • Smart Contracts’,
  • ‘ICOS’ y
  • ‘Tokenización de activos. Aspectos jurídicos’.

La formación teórica se completará con distintas actividades prácticas, como la exploración de transacciones en una blockchain o la programación de un Smart Contract en Solidity.

Yo impartiré el módulo de Identidad Digital.

He mencionado en otras ocasiones alguna de las ediciones anteriores.

Vulnerabilidades de entornos Blockchain


Aunque los entornos Blockchain gozan de mecanismos  de “seguridad por diseño” para algunas funcionalidades, son un queso de gruyere para otras, especialmente cuando los usuarios no conocen bien cuales son sus responsabilidades en el mantenimiento de prácticas de uso seguras.

Uno de los aspectos críticos es la protección de la clave privada de la “cartera” o del mecanismos para solicitar transacciones al sistema, que se basa en criptografía de clave pública, pero con mecanismos mucho más primitivos que los que se usan en los contextos de “firma electrónica cualificada”.

Eso sin contar con que en muchos proyectos se introducen vulnerabilidades por defectos en la implementación.

Bitcoin y Ethereum, por ejemplo, han experimentado importantes episodios de explotación de vulnerabilidades que han tenido cierto eco y que han revelado debilidades inherentes de seguridad de blockchain que deben ser entendidas.

Los mecanismos de incorporación de código fuente a Github crean un vector de ataque que se puede abrir intencionadamente o por descuido cuando se hace necesario añadir una funcionalidad o corregir un error. Aunque hay muchos ojos comprobando que el software “está limpio”, también hay otros que identifican vulnerabilidades y no las comunican a la comunidad pensando en explotarlas más adelante.

Cada nuevo proyecto puede reaprovechar trabajos ya realizados y añadir nuevas funcionalidades pero la complejidad crece tan deprisa que es muy difícil cubrir todos los flancos, y, a veces se producen errores de regresión porque vuelven a aparecer vulnerabilidades identificada que ya se parchearon en ocasiones anteriores. No puede darse por sentado que las funcionales del punto de partida ya eran seguras en todos sus aspectos.

Aspectos de implementación como carteras autónomas (con copia propia de la cadena de bloques y protección de claves privadas) o servicios de cartera en web (delegando a un servidor remoto el almacenamiento de la copia propia de la cadena de bloques o de la clave privada) presentan retos diferentes sobre la forma de gestionar la seguridad y su implementación y administración deberían ser revisadas.

Estos son solo algunos de los problemas que una empresa debe considerar para garantizar la seguridad de blockchain. Existen grandes diferencias de funcionamiento entre las implementaciones, no solo en los detalles de la tecnología, sino también en el entorno de seguridad general de la empresa de la organización. Estas preocupaciones deben ser consideradas cuidadosamente.