‘Zero Knowledge Proof’: cómo preservar la privacidad en un mundo basado en datos

Cada día, millones de usuarios navegan por internet, aceptan ‘cookies’ y comparten su información personal a cambio del acceso a servicios y productos digitales. Poco a poco, los usuarios están más expuestos a brechas de seguridad y usos ilícitos de sus datos. Además, a menudo deben renunciar a su privacidad a cambio de los servicios que ofrecen las plataformas digitales –como recomendaciones, asesoramiento, atención personalizada, etc.– a los que no pueden acceder si navegan de forma privada.

“Gracias al uso de datos masivos y de tecnologías como la inteligencia artificial crecen exponencialmente las posibilidades que tenemos a nuestra disposición para tomar mejores decisiones. Pero, al mismo tiempo, crecen los riesgos, tanto de seguridad como de privacidad de los datos”, explica Luis de la Gándara, manager de R&D en BBVA New Digital Businesses (NDB).

La “asimetría” respecto al acceso a la información presente en la sociedad digital actual es una clara preocupación para BBVA, que considera la privacidad y la propiedad de los datos “un derecho fundamental individual que debemos ayudar a las personas a preservar”. “Desde NDB estamos abordando este problema a través de la investigación en nuevos mecanismos, herramientas y métodos científicos y matemáticos que ofrezcan una forma segura de aprovechar el potencial de la economía basada en datos sin perder la privacidad”, explica De la Gándara, quien está liderando esta línea de investigación.

Una de las tecnologías que está demostrando mayor potencial para alcanzar este equilibrio son las pruebas de conocimiento cero o ‘Zero Knowledge Proof’ (ZKP), un conjunto de herramientas que permiten validar que una información es verdadera sin necesidad de exponer los datos que lo demuestran. Esto es posible gracias a una serie de algoritmos criptográficos mediante los cuales un ‘probador’ puede demostrar matemáticamente a un ‘verificador’ que una afirmación computacional es correcta sin revelar ningún dato.

De esta forma, se puede demostrar que ciertos datos son verdaderos sin compartirlos con un tercero. Por ejemplo, un usuario podría demostrar que tiene la edad suficiente para acceder a un producto o servicio, sin necesidad de desvelar cuántos años tiene. O una persona podría probar que cuenta con los suficientes ingresos económicos para comprar un bien, sin necesidad de compartir la cantidad exacta de dinero que tiene.

“Gracias a este protocolo pueden crearse, por ejemplo, sistemas de autentificación de la identidad sin riesgo a que la información sea robada, ya que para probar la identidad no es necesario compartir ningún dato personal”, asegura el experto. Pero, ¿cómo funciona?

Alice, Bob y la clave secreta

En el ámbito académico se emplea habitualmente un sencillo ejemplo para ilustrar la lógica que sustenta el algoritmo criptográfico que hace posible esta tecnología: ‘La cueva de Alí Babá’. Imaginemos para ello a dos personajes, Alice y Bob, que se encuentran a las puertas de una cueva que tiene dos entradas distintas por dos caminos separados (A y B). En el interior de la cueva hay una puerta que comunica ambos caminos, pero solo puede abrirse con una clave secreta. Bob (el ‘probador’) posee esta clave y Alice (la ‘verificadora’) quiere comprarla, pero antes quiere estar segura de que Bob no miente.

¿Cómo puede Bob demostrar a Alice que tiene la clave sin revelar su contenido? Para lograrlo, hacen lo siguiente: Alice espera fuera de la cueva y Bob entra al azar por uno de los dos caminos. Una vez dentro, Alice llama a Bob y le pide que salga por uno de los dos caminos. Como Bob tiene la clave secreta, será capaz de volver siempre por el camino que Alice le pida, ya sea A o B.

Alice puede pensar que esto ha sido cuestión de suerte: había un 50% de posibilidades de que ambos hubieran elegido el mismo camino. No obstante, si se realiza este ejercicio múltiples veces, la probabilidad de que Bob salga por el camino señalado por Alice sin tener la clave se van reduciendo progresivamente, hasta ser prácticamente imposible. ¿La conclusión? Si Bob sale un número suficiente de veces por el camino indicado, ha demostrado inequívocamente a Alice la veracidad de su afirmación: tiene la clave secreta. Y para ello no ha hecho falta compartir la clave.

Identificando oportunidades desde NDB

¿Qué significa todo esto para los servicios digitales? “Desde NDB ya estamos trabajando en distintos escenarios donde podría aplicarse esta tecnología para crear sistemas que permitan a los usuarios interactuar con servicios digitales en los que puedan confiar, que le aporten un valor añadido y con una buena usabilidad, y al mismo tiempo respeten la seguridad y privacidad de sus datos”, explica Ignacio Sueiro, Head del pilar “Beyond Core” de NDB.

Un ejemplo es el sector inmobiliario. Habitualmente, incluso antes de realizar una visita, los vendedores o empresas de alquiler pueden pedir a los posibles inquilinos que compartan sus últimas nóminas, extractos bancarios u otra documentación personal sensible para garantizar que cuentan con los ingresos suficientes para asumir el precio. En este caso, un sistema basado en ZKP podría facilitar a los usuarios la posibilidad de demostrar que sus ingresos son suficientes sin necesidad de compartir con el vendedor ningún dato privado.

“Gracias a ZKP se puede demostrar que ciertos datos son verdaderos sin compartirlos con un tercero"

No obstante, la tecnología tiene potencial para mejorar la privacidad y seguridad de los datos en un amplio abanico de casos de uso, desde sistemas de prevención de fraude que requieren la edad del usuario, hasta el uso de datos anónimos para alimentar el internet de las cosas (IoT). Este último es también un ejemplo del beneficio que esta tecnología podría aportar de cara a condicionantes regulatorios como GDPR, la normativa de protección de datos europea.

Otro de los casos de uso que está explorando NDB es utilizar la tecnología ZKP para añadir una capa de seguridad y privacidad en los oráculos de ‘blockchain’. Estas herramientas informáticas permiten actualizar el estado de los  ‘smart contracts’ con la incorporación de información externa de fuentes verificadas para desencadenar las órdenes o eventos programados. Por ejemplo, efectuar un pago cuando se cuente con una cantidad determinada de dinero en una cuenta.

En estos casos, ZKP podría facilitar la ejecución de estos sistemas garantizando al mismo tiempo la privacidad de los datos externos que deben interactuar con la cadena de bloques, al permitir que se desencadene la acción programa sin necesidad compartir el dato en sí. Esto podría aplicarse tanto en sistemas centralizados donde el origen de los datos es una entidad de confianza, como un banco o un regulador; o bien en sistemas descentralizados o DApps, donde la confianza está basada únicamente en mecanismos matemáticos.

Los retos a superar

Por ahora, la tecnología se encuentra en fase temprana de adopción, y aún son pocos los actores internacionales que están haciendo avances con ella. Uno de los retos a los que se enfrenta es la ausencia de estándares, sistemas y lenguajes homogéneos que permitan que distintos actores puedan interactuar con servicios basados en esta tecnología, “que es lo que realmente permitiría aprovechar su potencial”, explica Carlos Kuchkovsky, responsable de I+D y tecnología en NDB.

La escalabilidad también es otro de los desafíos técnicos que aún debe abordarse, así como la elevada capacidad de computación que por ahora requieren estos algoritmos.

Kuchkovsky es uno de los miembros de NDB que está participando activamente en algunas de las iniciativas y consorcios internacionales en torno a esta tecnología como ZKProof, una organización que trabaja para crear estándares globales que faciliten su implementación. El experto también ha sido ponente en eventos de referencia como el de ZKProof organizado este año en Berkeley (EEUU).

“Desde NDB apostamos por colaborar activamente con el mundo académico y ‘open source’ para seguir de cerca los avances en esta tecnología y participar en los esfuerzos para acelerar su adopción”, añade Kuchkovsky. “ZKP puede ser la clave para desencadenar el verdadero potencial de tecnologías como la inteligencia artificial y el internet de las cosas en un futuro descentralizado y basado en datos, donde los usuarios puedan interactuar con otras personas, objetos o empresas de forma segura y privada”, concluye el experto.