Imagina por un momento que quieres participar en una votación descentralizada sobre el futuro de un protocolo que maneja millones de dólares. Necesitas demostrar que eres un ciudadano real de un país concreto, mayor de edad y que solo votas una vez. Pero, claro, estás en una blockchain pública donde hasta el más mínimo dato queda grabado para siempre a la vista de todos. ¿Cómo diablos haces visible tu derecho sin volver visible tu vida?
En ese instante te topas de bruces con una realidad incómoda que muchos venden como resuelta y que, en mi opinión, es todo lo contrario: verificar identidad en una blockchain pública sin exponer datos personales sigue siendo un problema sin solución estándar. Y lo que es más grave, creo que la obsesión por encontrar una solución estándar está frenando conversaciones más honestas sobre lo que realmente necesitamos.
No me malinterpretes. No digo que sea imposible. De hecho, tenemos los ladrillos tecnológicos más fascinantes que ha visto la criptografía moderna. Las Credenciales Verificables y los Identificadores Descentralizados del W3C son una genialidad conceptual: le devuelven al individuo el control de sus atributos y permiten que un tercero confiable —un gobierno, una universidad, un banco— emita una afirmación digital que luego tú presentas sin necesidad de una autoridad central que intermedie en cada acto.
Súmale las pruebas de conocimiento cero, esas maravillas matemáticas que permiten decir «soy mayor de edad» sin soltar tu fecha de nacimiento, o «pertenezco al conjunto de ciudadanos verificados» sin revelar quién eres. Proyectos como KILT, Polygon ID, World ID o Sismo han demostrado que el selective disclosure funciona, que con zk-SNARKs puedes anclar una prueba en Ethereum sin derramar una gota de información personal.
Entonces, ¿dónde está el problema? ¿Por qué me atrevo a decir que no hay un estándar y que eso es un agujero enorme en la promesa de la identidad descentralizada?
Porque otra cosa muy distinta es pasar de los demos técnicos y los ecosistemas aislados a una capa de identidad interoperable, jurídicamente vinculante y con la confianza distribuida que una sociedad global necesita. Hoy el paisaje es un archipiélago de soluciones brillantes que hablan idiomas incompatibles.
Un pasaporte digital emitido bajo el modelo de KILT en la red Kusama no lo puede verificar fácilmente una dApp en Optimism que solo entiende las atestaciones de Ethereum Attestation Service. Y si mañana un banco colombiano emite una credencial siguiendo la especificación del DIF, pero una startup en Suiza usa Ceramic y otra en Japón usa una solución propietaria de zero-knowledge, el usuario medio —ese que no sabe qué es una curva elíptica— se queda fuera.
Peor aún, cada una de estas soluciones asume un modelo de confianza distinto: quién es el emisor válido, cómo se revoca una credencial, cómo se maneja la privacidad a largo plazo. Sin acuerdos básicos, la identidad digital termina siendo otro jardín vallado con candados criptográficos preciosos pero inútiles fuera de su propio parque.
Aquí es donde mi opinión se vuelve quizás incómoda
Creo firmemente que el verdadero estándar en la identidad descentralizada no va a ser —ni debería ser— un monolito similar a un estándar ISO o un protocolo único grabado en piedra. La naturaleza misma de la identidad humana es contextual, múltiple.
Exigirle a todas las culturas, jurisdicciones y casos de uso que converjan en la solución estándar me parece un error de arrogancia occidental y tecnocrática. La apuesta sensata, y veo los brotes verdes, es un ecosistema de estándares interoperables que funcionen como un conjunto de protocolos composables, algo parecido a cómo internet no es un único estándar sino la combinación de TCP/IP, HTTP, DNS y un montón de RFC que permiten que todo encaje.
Para la identidad, la columna vertebral ya existe: DIDs y VCs del W3C son ese sustrato común. Sobre él podemos montar distintas capas de anonimización con ZK, distintos métodos de verificación de credenciales y, sobre todo, distintos marcos de gobernanza que respondan a las leyes locales sin romper la descentralización global.
Sin embargo, ese sueño de mesa de laboratorio choca una y otra vez contra la pared de la realidad: la enorme dificultad de que los emisores del mundo real —gobiernos, grandes corporaciones, registros civiles— emitan credenciales verificables en formatos abiertos.
La Unión Europea con eIDAS 2.0 está dando pasos de gigante, sí, pero está creando su propio ecosistema regulado con un alto riesgo de centralización en manos de los Estados.
Mientras tanto, gigantes como Worldcoin ponen el foco en la prueba de humanidad y ofrecen una verificación anónima que ya usan aplicaciones reales, pero a costa de depender de un hardware y una corporación que recolecta iris.
¿Es ese el estándar que queremos? Personalmente, me aterra la idea de que la solución de facto a este problema termine siendo una mezcla de biometría masiva y cajas negras corporativas, por muy envueltas en conocimiento cero que estén. El precio de la estandarización no puede ser renunciar a la soberanía individual.
Por eso, cuando releo la frase «verificar identidad sin exponer datos personales es un problema sin solución estándar», siento que contiene más verdad de la que sus críticos admiten. No hay un único camino, y probablemente no lo habrá en el sentido decimonónico de la palabra estándar.
Pero hay, y esa es la chispa que me mantiene optimista, una convergencia creciente alrededor de un patrón de diseño: credenciales emitidas off-chain, almacenadas en el monedero del usuario y presentadas mediante pruebas de conocimiento cero a contratos inteligentes que solo validan el resultado sin almacenar los datos.
Ese patrón se repite en Polygon ID, en el trabajo de la Fundación Decentralized Identity, en los pilotos del gobierno de El Salvador con identidad autosoberana y en los experimentos del sector bancario. No es un estándar oficial, pero sí una práctica emergente que tiene visos de convertirse en la columna vertebral técnica.
Lo que falta es voluntad política y madurez de la industria. Falta que los reguladores entiendan que la identidad descentralizada no es un truco para evadir la ley, sino la mejor herramienta para cumplirla sin masacrar la privacidad.
Falta que los desarrolladores dejen de competir por crear «el estándar definitivo» y se sienten a coser los puentes que hacen falta entre sus islas. Y falta, sobre todo, que la sociedad civil exija soluciones que realmente nos devuelvan el control, porque si nos dormimos, la identidad digital del futuro será un carnet único expedido por la alianza más poderosa entre corporaciones y estados que hayamos visto.
En resumidas cuentas, no tenemos una solución estándar en el sentido tradicional porque el problema es demasiado humano para ser resuelto con una sola firma criptográfica. Lo que tenemos es una promesa en construcción que nos obliga a repensar qué significa identificarse. Mientras no haya un acuerdo amplio sobre la gobernanza, la confianza y la interoperabilidad, seguirá siendo cierto que no existe ese estándar milagroso.
Pero estoy convencido de que esa ausencia no es un fracaso, sino el síntoma inevitable de una tecnología adolescente que aún no ha encontrado su lugar en el mundo real. La cuestión no es cuándo llegará el estándar, sino si llegará siendo fiel a los principios de privacidad y descentralización con los que soñamos o como un caballo de Troya que termine por encerrarnos en una vigilancia todavía más sutil.
