¡Bienvenido a la parte 4 de nuestra serie de blogs sobre credenciales digitales verificables (VDCs)! En publicaciones de blog anteriores, preparamos el escenario para por qué son importantes las VDCs, analizamos qué son las VDCs y exploramos casos de uso prácticos donde las VDCs agregan valor.
En esta publicación, analizaremos más a fondo el ecosistema VDC, que incluye:
- Terminología clave
- Cómo se comparan los VDC con la federación y las claves de acceso
- Estándares y protocolos
- Cómo se emiten y se confían las credenciales
- Dónde encajan Okta y Auth0
¡Sumérjase!
Terminología
Para que los detalles técnicos sean más fáciles de digerir, revisemos el escenario de la tienda de fuegos artificiales de nuestro blog anterior. Imagina que estás intentando comprar bengalas y ruedas giratorias en línea, y la tienda necesita verificar que tienes más de 18 años. Así es como los principales actores y conceptos en el mundo de las credenciales digitales verificables (VDC) se relacionan con esa experiencia:
Los actores
Es el titular: Es la persona en posesión de la credencial. (En algunos casos, un padre podría tener las credenciales de un niño en su nombre).
La tienda de fuegos artificiales es el verificador: Solicita y valida la credencial para confirmar su edad.
Su DMV estatal es el emisor: Afirma cosas sobre usted, en este caso, que tiene 18 años o más, al emitir una licencia de conducir móvil (mDL).
Las herramientas
Su billetera es la aplicación en su teléfono que almacena y presenta las credenciales (un tipo de administrador de credenciales, que de manera más amplia incluye software para administrar contraseñas, llaves de acceso e identificaciones digitales).
El mDL en sí es la credencial digital verificable (VDC), una credencial digital que es criptográficamente verificable.
Confianza y control
Cuando realiza el pago, puede utilizar la divulgación selectiva para compartir solo el hecho de que tiene 18 años, sin revelar tu fecha de nacimiento completa o tu dirección particular.
La tienda de fuegos artificiales sabe que puede confiar en el DMV porque el DMV es parte de una lista de confianza: un registro de emisores confiables y sus anclajes criptográficos...
Detrás de esa lista de confianza hay un marco de confianza: las reglas comerciales y de política que determinan cómo los emisores entran en la lista y qué estándares deben seguir.
¿En qué se diferencian las VDC de la federación y las passkeys?
Los VDC no reemplazan la federación ni las claves de acceso. Piense en ellos como herramientas complementarias: la federación conecta identidades a través de los sistemas, las claves de acceso aseguran la autenticación y los VDC aportan información portátil y verificable a la combinación. Juntos, crean un ecosistema de identidad más fuerte y fácil de usar.
Federación
El inicio de sesión federado (también conocido como inicio de sesión social) ha sido un elemento básico de la autenticación de consumidores y empresas durante años. Así es como funciona:
- El usuario inicia sesión a través de un proveedor de identidad (IdP) como Google.
- El IdP autentica al usuario y emite un token (con reclamaciones como nombre, correo electrónico, teléfono).
- El token se envía de vuelta al servicio, que configura una cuenta para el usuario.
La ventaja: Los usuarios no necesitan recordar otra contraseña.
La desventaja: Cada vez que usas un IdP federado, indicas a qué servicio intentas acceder, junto con metadatos como tu ubicación aproximada. Si bien el IdP federado es útil en contextos laborales, esto crea importantes riesgos de privacidad para los consumidores.
VDC
- Puede pensar en las VDC como una forma evolucionada de federación.
- Un emisor (similar a un IdP en la federación) afirma declaraciones sobre usted.
- Usted, el titular, presenta esas reclamaciones a un verificador (similar a un proveedor de servicios en la federación).
- El verificador comprueba la validez utilizando una o más listas de confianza.
Diferencia clave: Usted puede mantener y controlar lo que se comparte en el VDC. No es necesario que sus datos personales se almacenen en su cuenta federada (o de inicio de sesión social). Y la empresa propietaria de su cuenta federada no tiene que guardar su información personal, y no ve cuándo ni cómo la está utilizando. De esta manera, los VDC aumentan la privacidad al brindarle más control sobre sus datos de identidad.
Claves de acceso
Las llaves de acceso han surgido como una alternativa resistente al phishing a las contraseñas, los OTP y los enlaces mágicos. A primera vista, pueden parecerse a los VDC (ambos implican criptografía y pueden residir dentro de una billetera o administrador de credenciales), pero resuelven un problema diferente:
Passkeys = para la autenticación (demostrando “soy yo” a un servicio).
VDC = para presentar reclamaciones (demostrando algo sobre ti).
Vale la pena señalar que las passkeys son únicas para cada sitio web o aplicación, como tener una llave diferente para cada cerradura, lo que las hace inherentemente respetuosas con la privacidad. Ningún servicio puede vincular su uso de passkeys en diferentes sitios. Por el contrario, los VDC requieren salvaguardas adicionales (como criptografía avanzada y emisión masiva) para ayudar a garantizar que no se conviertan en vectores de seguimiento cuando se presentan en línea.
Cómo trabajan juntos
Las passkeys, la federación y las VDC abordan diferentes capas de la pila de identidad y son complementarias en lugar de competitivas. En la práctica, estos a menudo trabajan juntos:
Una solicitud de hipoteca podría comenzar con un VDC emitido por el gobierno para probar la identidad. Una vez que se verifica la identidad y se crea una cuenta, se crea una clave de acceso para el usuario para futuros inicios de sesión.
Un servicio de entrega de alcohol podría permitir el registro a través de un IdP federado (por ejemplo. Iniciar sesión con Google), autenticar con una passkey en ese IdP (para no depender de una contraseña) y luego solicitar un VDC emitido por el gobierno durante el pago para verificar la edad.
Para una inmersión más profunda, consulta mi sesión de Identiverse 2025: Passkeys and Verifiable Digital Credentials: Friends or Foes?
SD-JWT VC, Digital Credentials API, OpenID for Verifiable Presentations, Oh My
El ecosistema de credenciales digitales verificables es bastante extenso e involucra muchos estándares técnicos diferentes desarrollados en muchas organizaciones de desarrollo de estándares. Los estándares cubren todos los rincones del ecosistema para respaldar la interoperabilidad: identificadores, administración de claves, esquemas, formatos de credenciales, protocolos de presentación, protocolos de emisión, API web y más. Aquí hay algunos estándares centrales.
Formatos de credenciales
SD-JWT VC es un formato de credencial VDC que admite la divulgación selectiva y se basa en el conocido y amigable para los desarrolladores JSON Web Token. SD-JWT VC se desarrolla en la IETF.
El formato mdoc, definido en la especificación ISO 18013-5, se utiliza principalmente para mDL y otros documentos de identidad emitidos por el gobierno. Si bien el mdoc define la estructura de la credencial, la norma ISO 18013-5 también especifica reglas para la emisión y el uso físico en persona. La norma ISO 18013-7 extiende esto a escenarios de presentación remota (en línea), perfilando especificaciones existentes como OpenID4VP y la API de credenciales digitales para admitir la verificación segura a través de la web.
*Nota: Las especificaciones ISO no están disponibles gratuitamente y deben ser compradas por todos los lectores.
Protocolos
OpenID for Verifiable Credential Issuance (OpenID4VCI) define cómo un emisor y un administrador de credenciales (billetera) intercambian información para emitir un VDC. Admite múltiples formatos de credenciales y se puede utilizar solo o a través de la API de credenciales digitales.
OpenID for Verifiable Presentations (OpenID4VP) define cómo un administrador de credenciales (billetera) presenta una VDC a un verificador. El protocolo es independiente del formato de credenciales y puede ser soportado por cualquier billetera. OpenID4VP se puede utilizar con flujos tradicionales basados en redireccionamiento o a través de la API de Digital Credentials.
Juntos, OpenID4VCI y OpenID4VP forman la familia OpenID for Verifiable Credentials, desarrollada en la OpenID Foundation.
API
La W3C Digital Credentials API, un esfuerzo impulsado por Okta en colaboración con algunos socios de la industria, es una pieza crucial del ecosistema VDC. Permite la emisión y presentación seguras y fáciles de usar de los VDC en la web y en las aplicaciones. Si está familiarizado con la WebAuthn API para las llaves de acceso, la Digital Credentials API juega un papel similar para los VDC.
He aquí por qué eso importa:
Visual izquierdo: Flujo de presentación de VDC con "esquema personalizado" — un usuario ve un mensaje vago para seleccionar una billetera y carece de contexto sobre la solicitud.
- Imagen correcta: Flujo de presentación de VDC con la API de credenciales digitales: el usuario ve quién solicita la credencial y un carrusel claro de opciones para cumplirla, sin necesidad de que el usuario recuerde dónde almacenó cada credencial.
Para unir algunas de las piezas (¡acrónimos y todo!), podemos emitir un SD-JWT VC usando OID4VCI a través de la API Digital Credentials, y luego solicitar una presentación del SD-JWT VC usando OID4VP a través de la API Digital Credentials.
¿Cómo obtengo una credencial digital verificable?
Antes de que pueda presentar una VDC, primero debe recibir una. Hay dos formas comunes en que esto sucede:
1. Emisión iniciada por sitio web o aplicación
Piensa en ello como guardar un pase de abordar o un boleto de concierto en tu teléfono. En un sitio web o aplicación, un botón te indica que "Añadas a la cartera". Para los VDC, al hacer clic en esto se invoca la API de credenciales digitales y se pregunta a qué administrador de credenciales (cartera) te gustaría guardar la credencial. La cartera puede mostrar entonces una interfaz de usuario adicional para completar el proceso.
2. Emisión iniciada por el administrador de credenciales o la billetera
A veces, el proceso comienza directamente en su administrador de credenciales o billetera. Esto es típico para las mDL en los EE. UU. o las credenciales derivadas como Google ID Pass. La billetera lo guía a través de la solicitud y el guardado de credenciales sin necesidad de un sitio web o una aplicación separada. A continuación, se muestran ejemplos de las pantallas "Agregar a la billetera" en Apple Wallet, Google Wallet y Samsung Wallet.
Ambos flujos están diseñados para ser simples, seguros y familiares, aprovechando los mismos patrones que los usuarios ya conocen de los boletos digitales, las tarjetas de fidelidad o los pases de abordar.
¿Cómo confío en un VDC?
La confianza en las VDC comienza con la criptografía. Cuando un verificador recibe una credencial, la primera verificación es su firma digital, lo que confirma que fue emitida por una autoridad confiable.
Para que eso sea posible, los ecosistemas confían en listas de confianza y marcos de confianza. Una lista de confianza es esencialmente un conjunto curado de entidades de confianza y sus claves de firma; piénsalo como las CA raíz (autoridades de certificación) en el almacén de confianza de tu navegador. Un marco de confianza define las reglas y políticas sobre cómo los emisores entran en la lista, combinando requisitos tanto comerciales como técnicos.
Tomemos como ejemplo los mDL: en los Estados Unidos y Canadá, los DMV estatales y provinciales publican sus claves de firma a través del American Association of Motor Vehicle Administrators (AAMVA) Digital Trust Service. Estas claves, llamadas Autoridades de Certificación de la Autoridad Emisora (IACA), actúan como anclajes de confianza. Plataformas como Okta y Auth0 pueden sincronizarse periódicamente con AAMVA para garantizar que los nuevos emisores se reconozcan automáticamente.
Este modelo no se limita a las identificaciones gubernamentales. En educación, las federaciones ya negocian la confianza entre universidades y países; en salud, finanzas y otros sectores, las asociaciones de la industria desempeñan un papel similar. Estas listas y marcos de confianza serán lo que mantenga a los VDC interoperables y confiables a través de dominios y fronteras.
¿Dónde encajan Okta y Auth0 en el ecosistema VDC?
Imagine que está creando una nueva aplicación que necesita verificar la edad, el empleo o el estado de certificación de los usuarios. En teoría, suena simple, pero en realidad, navegar por estándares fragmentados, múltiples formatos de credenciales e identificaciones tanto digitales como físicas puede ser abrumador.
Aquí es donde Okta y Auth0 proporcionan valor real. Nuestras plataformas ya manejan funciones clave de identidad: crear afirmaciones, consumirlas de otros proveedores de identidad y proporcionar SDKs y bibliotecas para integrar la identidad en casi cualquier aplicación.
Al ofrecer capacidades de verificación y emisión de VDC, simplificamos la implementación para los desarrolladores, abstrayendo la complejidad de una pila de estándares enredada. Esto sienta las bases para que los VDC se conviertan en un bloque de construcción reutilizable y sin interrupciones para la identidad digital en el futuro.
Estamos construyendo una base que hace de esta nueva capacidad central un bloque de construcción perfecto para el futuro. Para casos de uso más complejos o a largo plazo, como certificaciones profesionales o Smart Health Cards, nuestras herramientas ayudan a los desarrolladores, administradores y consumidores a construir y apoyar de forma segura sus comunidades.
Para obtener más información y ver VDC en acción, visite oktacredentials.dev.
