Desglosando las credenciales verificables: Base teórica y usos prácticos

Aunque la adopción de las credenciales verificables apenas está comenzando a crecer, ya es evidente que este nuevo método de verificación de identidad (IDV) tiene un potencial enorme. Los titulares podrán probar instantáneamente su edad, confirmar su diploma o verificar su estatus como empleado de una manera controlable y segura, todo con una sola herramienta. Al mismo tiempo, las preocupaciones sobre la velocidad de adopción y la excesiva dependencia de un solo dispositivo no son infundadas.

En este artículo, desglosaremos qué hace que las credenciales verificables funcionen: cómo operan, por qué son importantes y dónde ya se están utilizando.

Una credencial verificable (VC) es una prueba digital a prueba de manipulaciones que contiene cierta información sobre un individuo, similar a los campos de datos que se encuentran en un pasaporte. Cada VC es firmada criptográficamente por la clave privada de un emisor, lo que permite que cualquier persona que posea la credencial pueda verificar su autenticidad e integridad utilizando la clave pública del emisor.

En la práctica, esto significa que las credenciales digitales verificables pueden ser verificadas automáticamente por software, sin necesidad de inspección manual y sin exponer más información personal de la necesaria.

Un ecosistema típico de VC involucra tres roles principales:

1. El emisor: una entidad confiable que crea y emite la credencial. Suele ser una fuente autorizada de información. Verifica la identidad o las calificaciones del sujeto (por ejemplo, como parte de una verificación de antecedentes) antes de emitir la credencial.
   Luego, firma criptográficamente la credencial, vinculando su autoridad a la información que contiene.

2. El titular: la persona o entidad que recibe la credencial y la almacena en una billetera digital bajo su control. En la mayoría de los casos, el titular también es el sujeto de la credencial. Sin embargo, podría ser un tutor o representante que maneja credenciales verificadas en nombre de otra persona. El titular decide cuándo y con quién compartir la credencial.
   

3. El verificador: la entidad que solicita y valida una credencial presentada por el titular (por ejemplo, un oficial de aduanas revisando una credencial digital de viaje). Su función es confirmar que la credencial es auténtica y evaluar la relevancia y confiabilidad de la información que contiene.

A nivel técnico, una VC se compone de cuatro elementos clave:

Las credenciales verificables se definen por un modelo de datos estándar que garantiza que estén estructuradas y sean legibles por máquinas. El formato más común es JSON-LD (JSON for Linked Data), que permite que cada campo de la credencial esté vinculado a un contexto específico. Por ejemplo, términos como “nombre” o “título” pueden asociarse a identificadores uniformes de recursos (URIs), eliminando cualquier ambigüedad.

Una credencial verificable típica contiene los siguientes componentes, según el modelo de datos de la W3C:

• Contexto: una lista de URIs que describen el vocabulario y los esquemas usados en la credencial.

• Tipo: especifica el tipo de credencial (diploma, licencia de conducir, etc.) y el esquema esperado.

• Emisor: un URI o identificador descentralizado para la entidad emisora.

• Sujeto de la credencial: identificador de la persona sobre la que se hacen las afirmaciones.

• Afirmaciones: la información contenida en la credencial (nombre, edad, título universitario, estado de vacunación, número ID de empleado).

• Prueba: la firma digital del emisor que hace que la credencial sea verificable.

Para poder confirmar la autoridad e identidad del emisor, un verificador debe obtener de alguna manera la clave pública del emisor. Esto es para lo que sirven los identificadores descentralizados (DIDs): son URIs que representan de forma única a un emisor. Más específicamente, los DIDs pueden resolverse en un Documento DID, que es un pequeño documento JSON que contiene todas las claves públicas de verificación del emisor y otros metadatos potenciales, como un identificador de clave o un punto final para verificaciones de estado.

Es importante señalar, sin embargo, que no todas las implementaciones de VC utilizan DIDs.
Algunas implementaciones usan identificadores web estándar: un emisor puede simplemente usar una URL HTTPS como su identificador y publicar una JSON Web Key (JWK) en su sitio web, la cual se puede obtener para verificar firmas.

En el corazón de cada VC se encuentra una firma digital, que proporciona una garantía criptográfica de que la credencial fue emitida por un emisor legítimo y de que su contenido no ha sido alterado. La firma (normalmente codificada en la sección “proof” de la credencial verificable) puede verificarse más adelante por cualquier persona que tenga la clave pública del emisor.

Los titulares pueden administrar sus credenciales verificables usando una billetera digital, que con mayor frecuencia se presenta en forma de una aplicación para teléfonos inteligentes. 

Las funciones principales de la billetera son almacenar las credenciales de forma segura, permitir al titular organizar y seleccionar sus credenciales, facilitar la presentación de credenciales a los verificadores cuando sea necesario.

Cuando un titular necesita probar algo ante un verificador (por ejemplo, un viajero que se aproxima a una puerta en un aeropuerto), utilizará la billetera para crear una presentación verificable. Si es compatible, la billetera incluso podría omitir ciertos detalles irrelevantes durante la presentación (por ejemplo, la ocupación), de manera que una parte de los datos del titular se mantenga privada.

Debido a la naturaleza extremadamente sensible de esta información, una billetera digital puede estar protegida por la seguridad del propio dispositivo mediante controles biométricos para prevenir accesos no autorizados. Por ejemplo, una solución como Regula Face SDK puede ser un facilitador de este proceso, ya que puede realizar reconocimiento facial avanzado con prueba de vida para verificar a los usuarios y prevenir fraudes.

Es importante señalar que las billeteras digitales son una tecnología en desarrollo y que, a mayo de 2025, la gran mayoría de ellas se encuentran ya sea en la etapa conceptual o en la etapa piloto. Un ejemplo destacado es la European Digital Identity Wallet (EUDI Wallet), adoptada formalmente por la Unión Europea en 2024 como parte de la regulación revisada eIDAS. El nuevo marco exige que cada estado miembro ofrezca una billetera de identidad digital para 2026 y que reconozca las billeteras de otros países de la UE. La EUDI Wallet permitirá a los ciudadanos vincular sus identificaciones digitales nacionales con otras credenciales personales (por ejemplo, una licencia de conducir) y usarlas sin tener que depender de proveedores privados de identidad o compartir datos innecesarios.

Para obtener una visión completa de lo que ofrecen las credenciales digitales verificables, debemos analizarlas desde múltiples perspectivas: desde el punto de vista de un individuo (probablemente el titular) y desde el punto de vista de una organización (probablemente el verificador).

Divulgación selectiva

Las credenciales verificables permiten a los individuos compartir únicamente la información específica requerida, manteniendo todo lo demás privado. Esto le permite a una persona probar una afirmación (como ser mayor de 18 años) sin revelar datos personales no relacionados, como su fecha de nacimiento exacta. De esta forma, los individuos obtienen un mayor control sobre quién ve sus datos.

Propiedad total de la identidad

Con las credenciales verificables, los individuos mantienen la propiedad y el control total de sus credenciales en una billetera personal, en lugar de depender de una autoridad central cada vez que necesitan verificar algo. Una vez que una credencial se emite al usuario, esta permanece bajo la custodia y el consentimiento del usuario. Como resultado, los usuarios no están atados a un único proveedor y no tienen que preocuparse de que un servicio externo elimine su cuenta o pierdan acceso a sus calificaciones.

Portabilidad e interoperabilidad (potencial)

Las credenciales verificables son altamente portátiles: una persona puede almacenar múltiples credenciales (identificaciones, licencias, diplomas, etc.) en una sola billetera digital y puede llevarlas a cualquier lugar en su teléfono inteligente. Además, dado que se adhieren a estándares abiertos, las VCs pueden potencialmente reutilizarse en múltiples servicios y organizaciones sin necesidad de volver a verificarlas desde cero cada vez. Por ejemplo, un título universitario emitido como credencial verificable podría ser reconocido al instante por empleadores, juntas de licenciamiento o instituciones extranjeras que utilicen los mismos estándares de verificación.

Precaución: dependencia de dispositivos y riesgos de recuperación

Por otro lado, el uso de credenciales digitales verificables generalmente requiere un teléfono inteligente o una computadora, lo que introduce un elemento de dependencia de dispositivos y acceso a internet. Si el teléfono de un usuario se pierde, es robado o simplemente se queda sin batería en un momento crítico, la persona podría no poder presentar sus credenciales cuando las necesite. A diferencia de una tarjeta de identificación física que puede llevar como respaldo, una credencial digital podría no ser accesible sin su dispositivo, a menos que se haya configurado un método alternativo de acceso.

Verificación instantánea de credenciales

En primer lugar, las organizaciones podrán verificar credenciales instantáneamente y de manera automática, ya que una VC presentada por un usuario puede validarse criptográficamente en cuestión de segundos. Esto acelera procesos como la incorporación de clientes, la verificación de usuarios y los controles de cumplimiento, lo que conduce a ganancias significativas en eficiencia. Por ejemplo, un empleador o proveedor de servicios puede usar software para confirmar el certificado digital o la identificación de un candidato sin tener que llamar al emisor ni manejar registros en papel.

Reducción del fraude

Las credenciales verificables también proporcionan sólidas garantías de seguridad que ayudan a las organizaciones a reducir el fraude, ya que cada credencial firmada digitalmente es a prueba de manipulaciones. Para el verificador (ya sea un empleador, banco o sitio web), esto significa una mayor confianza en la autenticidad “Lo que ve es auténtico”: la credencial se valida perfectamente o no se valida en absoluto. De esta forma, las organizaciones pueden rechazar automáticamente credenciales alteradas o no confiables, protegiéndose a sí mismas y a sus clientes de esquemas fraudulentos sin perder tiempo.

Mejora de la experiencia del usuario

Cuando las personas ya no tienen que pasar por procesos repetitivos de completar formularios y cargar documentos para cada nuevo servicio, es menos probable que abandonen el proceso de registro. La conveniencia del modelo “traiga sus propias credenciales” hace que los usuarios se sientan empoderados y respetados, ya que comparten solo lo necesario y mantienen el control de sus datos. Esto, a su vez, fomenta la confianza: los usuarios saben que la organización no está almacenando todos sus datos personales, sino únicamente verificando la información requerida.

Precaución: incertidumbre sobre la adopción

Los beneficios completos de las VCs realmente se materializan a gran escala, cuando muchos emisores proporcionan credenciales y muchos verificadores las aceptan. En las condiciones actuales, esa escala es limitada. Como resultado, una organización que adopte esta tecnología primero puede no ver un retorno inmediato, ya que está apostando por los efectos de red futuros. Algunos expertos de la industria han argumentado que, actualmente, las VCs a menudo ofrecen poco valor agregado en comparación con alternativas más simples, a menos que se anticipe un crecimiento futuro en la adopción.

Aunque la incertidumbre sobre la adopción es real, las credenciales digitales verificables están avanzando lentamente de la teoría a la práctica. Es difícil predecir cuánto tiempo tomará que se conviertan en un estándar universal, pero se ha observado un progreso claro en los últimos años.

Ya mencionamos la iniciativa de la billetera digital de la UE, y no es el único proyecto gubernamental de VC. En 2024, la Ciudad de Zug, Suiza, se convirtió en uno de los primeros gobiernos municipales en implementar credenciales verificables: emitió certificados digitales de empleados a más de 500 trabajadores de la ciudad (maestros). Estos certificados se entregaron a través de la aplicación móvil eZug ID. Reemplazaron las tarjetas físicas de identificación y permitieron a los maestros probar su estatus para obtener descuentos en tiendas presentando el certificado digital. Aunque se trata de un esfuerzo local, existe un potencial claro de expansión a nivel nacional.

Otra área activa son los documentos de viaje e inmigración. La Organización de Aviación Civil Internacional (ICAO) ha estado desarrollando la Credencial Digital de Viaje (DTC), una VC estandarizada que puede complementar o eventualmente reemplazar un pasaporte para el control fronterizo. En 2023–2024, la ICAO publicó especificaciones para los tipos de DTC:

• Tipo 1 permite a los viajeros generar un clon digital de su pasaporte en su teléfono inteligente, extrayendo los datos del chip de su pasaporte físico. Sin embargo, el documento físico debe llevarse como respaldo.
  
  

• Tipo 2 y Tipo 3 implican la emisión de un pasaporte digital por parte de las autoridades, siendo el Tipo 3 un pasaporte completamente digital que, en el futuro, podría eliminar por completo la necesidad de un pasaporte físico.

Los proveedores de IDV también han comenzado a trabajar con DTC. Por ejemplo, Regula Document Reader SDK puede generar activamente el Componente Virtual de un DTC (DTC-VC) extrayendo datos de un chip RFID y creando una réplica digital del documento físico.

En el ámbito educativo, la Comisión Europea ha construido la infraestructura European Digital Credentials for Learning (EDC), que permite a diversas instituciones emitir credenciales oficiales de aprendizaje en formato verificable. Un EDC es esencialmente una credencial verificable W3C con un perfil específico de la UE, sellado digitalmente por el emisor mediante una firma digital calificada. Varias universidades europeas han iniciado proyectos piloto para emitir diplomas a través del portal EDC, donde pueden ser compartidos con empleadores en toda Europa. Estos empleadores pueden validarlos en el sitio web Europass o en cualquier herramienta que confíe en las firmas de los estados miembros de la UE.

Las credenciales verificables están redefiniendo cómo se maneja la verificación de identidad, pero no se trata de descartar los métodos tradicionales, sino de construir sobre ellos. El proceso de emisión de una VC aún requiere una verificación inicial de identidades, y aquí es donde la tecnología de Regula entra en juego.

Los procedimientos completos de verificación de identidad pueden llevarse a cabo mediante soluciones como Regula Document Reader SDK y Regula Face SDK, las cuales pueden integrarse fácilmente con sus aplicaciones móviles o web existentes.

Regula Document Reader SDK procesa imágenes de documentos y verifica su presencia real mediante comprobación liveness de documentos. El software identifica automáticamente el tipo de documento, extrae toda la información necesaria, valida los datos de manera cruzada y confirma si el documento es genuino mediante una amplia gama de comprobaciones de autenticidad. Regula Document Reader SDK soporta todos los principales elementos de seguridad dinámicos, incluidos hologramas, tintas ópticamente variables (OVI), imágenes múltiples de láser (MLI) y, más recientemente, Dynaprint®.

Al mismo tiempo, Regula Face SDK realiza reconocimiento facial instantáneo y previene ataques de presentación fraudulentos como uso de imágenes estáticas de rostros, fotografías impresas, reproducciones de video, inyecciones de video o máscaras.

En términos prácticos, el software de Regula puede integrarse como la interfaz inicial en el proceso de creación de VC por parte de un emisor. ¿Desea obtener más información? Agende una llamada, y le ayudaremos a que su proceso de verificación de identidad sea confiable, seguro y centrado en el cliente.