Cookies Q.E.P.D.

La crisis de las Cookies es síntoma de la crisis de privacidad debida al desarrollo centralizado existente en un internet sin capa de identidad.

Desde la entrada de la RGPD, cerrar los avisos de Cookies se ha convertido en un acto cotidiano, repetitivo y sin sentido, salvo el de cerrar el aviso mismo para que no moleste. Desactivar las cookies no es opción. Entre el esfuerzo de tener que entenderse con configuraciones del navegador y el potencial e incalculable riesgo de perder prestaciones de las páginas a las que ya accedes de forma cotidiana o incluso nuevas páginas por descubrir, eliges el pequeño esfuerzo de cerrar el aviso. Una y otra y otra vez. Las y los  atrevidos que prueban su suerte rechazando el guardado de cookies se encuentran con el mismo aviso de cookies o incluso avisos amenazantes de que las páginas puede que no funcionen bien. ¿Qué es lo que no va a funcionar? La gran incógnita.

Las investigaciones más formales apuntan a que menos del 0,2% de los usuarios ha optado por rechazar las cookies. El almacenaje local – otro tipo de almacenamiento de datos de los navegadores del que nadie habla pero que los desarrolladores utilizamos mucho especialmente en el desarrollo de PWAs – ronda el 2%.

Nuestra página funciona sin cookies y por lo tanto sin avisos. Se puede navegar tranquilamente y leer sus contenidos en varios idiomas sin interrupciones e incluso nos puedes enviar un mensaje mediante un formulario de contacto. No tienes que dar tu consentimiento para nada de esto. Ni a nosotros ni a nadie. 

Internet nació para ese propósito: intercambiar mensajes entre dos ordenadores conectados a la misma red. Por ejemplo, el servidor donde está alojada nuestra web le envía a tu navegador un mensaje que tiene forma de una página web. Pero – y esto es fundamental – esta manera de intercambio no tiene memoria. Por eso cada vez que nuestro servidor te envía una página web no sabe si o cual página te ha enviado anteriormente. Es decir, un intercambio de mensajes sucede sin saber de ninguno de los intercambios anteriores. Esto ha sido así desde la invención de internet  y sigue siendo así hasta el día de hoy. Internet es “stateless” o “sin estado”.

Pero a principios de los 90 el que todo fuera “sin estado” y nada se memorizara hacía imposible un simple carrito de compras: se necesitaba recordar lo que un usuario en un momento ponía en el carrito de compras para luego poderlo comprar. Lo que hoy parece tan sencillo no era posible.

A mediados de los 90 nació la cookie que daba memoria a los navegadores. Después de tantos años sin memoria fue un momento mágico y de hecho le llamaron “magic cookie”. Desde entonces se ha convertido en la base no solo para carritos de compra sino de toda la industria actual de marketing y venta en donde partiendo de las cookies se le da seguimiento al comportamiento de los usuarios para aumentar las ventas. 

Pero el uso quizás más importante de las cookies es la autenticación. Esto es la posibilidad de poder acceder a servicios partiendo de un proceso en donde después de enviar tus datos y estos guardarse en una base de datos ajena y fuera de tu control, se te envía a cambio una cookie que tienes que aceptar – es decir guardar en tu navegador – para poder mantenerse en un estado: de alta.  Estando de alta puedes navegar por todas las páginas que reconocen esa cookie como la suya para que cada vez el servicio web sepa que sigues siendo la misma o el mismo de antes y por lo tanto poder darte permiso. 

El modelo centralizado o
“todo para mi”

La autenticación es un proceso de validación en sistemas permisionados en línea. Actualmente requieren que el usuario envíe datos que el sistema guarda o contrasta con los que tiene guardado en un fichero o base de datos propios. En navegadores, tras haber validado los datos enviados y para mantenerse en el estado “de alta”,  el sistema envía a cambio una cookie que guardas en tu navegador para que futuras interacciones no requiera nuevamente de enviar tus credenciales. En cada interacción tu navegador envía la cookie que será validada antes de toda respuesta. La cookie se convierte así en la llave. Si pierdes o borras la llave, pierdes el acceso, te das de baja, y tienes que solicitar al sistema remoto una nueva llave pasando nuevamente por el proceso inicial de acreditación (login).

Asentemos los actores y lo que sucede:

En el modelo centralizado tenemos dos actores: Tú y el sistema remoto. Tú envías datos (credenciales) que el sistema accepta y valida para si y te devuelve una llave en forma de cookie para las siguientes interacciones. El sistema remoto cumple aquí con tres funciones: 

  1. guarda tus credenciales en su base de datos
  2. emite una llave (cookie) correspondiente a las credenciales
  3. valida las llaves y/o credenciales

Este sistema centralizado de autenticación requiere que el sistema remoto guarde tus credenciales en una base de datos para luego poder cumplir la función de validación. En esa base de datos se guardan tus datos junto a todos los datos de todos los usuarios que se quieren conectar. Y con esto tenemos el problema servido que mortifica al mundo entero: las brechas de seguridad donde atacantes acceden no sólo a tus credenciales si no a las de miles otros más a la vez. Demasiado se ha escrito y se ha invertido en remedios que no dan solución definitiva a lo que por diseño ha sido una característica (feature) pero en términos a seguridad y soberanidad ha sido un fallo (failure): basar nuestra identidad en un modelo centralizado con un “punto único de fallo” (single point of failure).

El modelo descentralizado o
“a cada cual lo que le corresponde”

La tecnología Blockchain aplicada a la identidad cambia todo esto. Especialmente con el protocolo criptográfico de prueba de cero conocimiento o ZKP por sus siglas en inglés que hace posible la comprobación de la veracidad de un dato sin revelar el dato en si (vease la diferencia entre “Sí, soy mayor de edad.” y “Si, tengo 43 años.”). Da una solución distribuida de validación de permisos y credenciales. Lo que sucede en un sistema de identidad distribuida (DID) se basa en la “separación de poderes” en cuanto a que se separan y delegan las funciones antes centralizadas.

Ahora, el sistema remoto solo cumple con una función – la tercera – que valida tus credenciales para darte acceso a sus servicios. No las guarda (1) ni las emite (2). El emisor de tu identidad o credenciales pasa a ser una entidad que hace solo eso: te emite (2) una credencial que coloca o guarda (1) en una especie de buzón, una cuenta digital y encriptada en una blockchain. Al buzón o cuenta blockchain solo tienes acceso tu con una llave que solo tu conoces y que se llama tu clave privada. El emisor puede ser una autoridad institucional (gobierno, universidad) o privada como puede ser una empresa, una asociación o bueno, incluso tu mismo aunque lo último viene obviamente a cometer el fallo de la centralización y de fallar a nivel práctico (solo te creerán los que ya te conocen) incluso bajo juramento asertorio.

Pero por favor, ¡en términos prácticos!

A día de hoy puedes navegar con cualquier navegador o móvil de forma conectada a tecnología blockchain usando la extensión o App de Metamask u otras maneras como con el navegador Brave o Opera. En breve podrás acceder así a págias web llamadas DApps que en vez de pedirte el alta o registro te pedirán “firmar” una de verificación de identidad. En tu navegador te saltará un aviso de solicitud de verificación con los datos solicitados y de la entidad emisora de certificados que la DApp esta dispuesta a aceptar, p.e. los certificados que te emitió el Ayuntamiento de la ciudad donde resides o la universidad donde estudias. A partir de ahí estarás dado de alta en la página web (o DApp) y podrás percibir el servicio que ofrece. En caso de querer terminar la relación con ese servicio puedes simplemente revocar el permiso de acceso a la verificación en tu navegador. No tienes que solicitar el borrado de tus datos a la web. Tu identidad estará en tus manos y eso será simplemente increible, increiblemente natural.

Si haz llegado leer hasta aquí conoces la diferencia entre un internet sin y otro con privacidad. No dan ganas de pasar de cookies ofrecer DApps, eliminar el riesgo y miedo de brechas de seguridad y tener tu identidad en tus manos?

Pues alégrate que vamos a por ello.