Las traducciones de este sitio web a otros idiomas distintos del inglés se realizan mediante IA. No garantizamos la exactitud y no somos responsables de los errores o daños derivados del uso del contenido traducido. En caso de incoherencias o ambigüedades, la versión inglesa prevalecerá.
Sala de prensa y Medios
Blog de la GLEIF
Las traducciones de este sitio web a otros idiomas distintos del inglés se realizan mediante IA. No garantizamos la exactitud y no somos responsables de los errores o daños derivados del uso del contenido traducido. En caso de incoherencias o ambigüedades, la versión inglesa prevalecerá.
De las contraseñas a las pruebas: Cómo el autenticador vLEI establece funciones organizativas verificables
El Dr. Andre Kudra, CIO de esatus AG, ofrece un análisis técnico en profundidad de cómo el Autenticador vLEI, desarrollado en colaboración con la GLEIF, hace operativo el uso de la vLEI en los sistemas de gestión de identidades y accesos para permitir un proceso de inicio de sesión que valida automáticamente el rol y la autoridad organizativa de una persona.
Autor: Dr. Andre Kudra, CIO de esatus AG
Fecha: 2026-02-24
Visualizaciones:
En la gestión de identidades digitales, la autenticación sigue dependiendo de suposiciones. Verificamos credenciales, contraseñas o tokens que nos dicen quién dice ser un usuario, pero rara vez a quién representa o bajo qué autoridad actúa. El Dr. Andre Kudra, CIO de esatus AG, explicó anteriormente cómo el vLEI Authenticator -desarrollado en colaboración con la GLEIF- salva esta laguna estableciendo una identidad organizativa verificable y funciones delegadas, construidas sobre pruebas criptográficas en lugar de afirmaciones de confianza. En este artículo, el Dr. Kudra profundiza en los fundamentos técnicos del autenticador vLEI.
Cuando "quién" no es suficiente
En los sistemas empresariales, los usuarios inician sesión como individuos. Pero muchos procesos, como las auditorías de Cumplimiento normativo, la incorporación de proveedores, el acceso a datos y los informes reglamentarios, requieren conocer la organización que hay detrás de la persona y su función formal dentro de ella. Además, los sistemas de identidad tradicionales, incluso los federados o basados en SSO, se basan en afirmaciones como "el usuario X pertenece a la empresa Y" Estas afirmaciones no son verificables criptográficamente y dependen del mantenimiento de directorios o de la confianza contractual.
El Identificador de Entidad Legal verificable (vLEI) aborda estas limitaciones. Utilizando la tecnología Authentic Chained Data Container (ACDC) y el protocolo Key Event Receipt Infrastructure (KERI), es una credencial digital para organizaciones, emitida por Emisores Cualificados del vLEI (ECIV) bajo la Gobernanza de la GLEIF. Verifica que una organización existe oficialmente y que determinadas personas están autorizadas a actuar en su nombre. Toda la información está protegida criptográficamente, es legible por máquina y verificable dentro del ecosistema de vLEI de la GLEIF.
Cuando se combina con una credencial de Función Corporativa Oficial (OOR) o de Función de Contexto de Compromiso (ECR), un vLEI puede expresar no sólo a qué organización pertenece una persona, sino también la función que desempeña, por ejemplo, como Director Financiero, responsable de cumplimiento o representante autorizado.
El Autenticador vLEI hace operativo este concepto en los sistemas de Gestión de Identidad y Acceso (IAM) del mundo real. He aquí cómo funciona.
De la identidad a la verificación: Una arquitectura práctica
El Autenticador vLEI se integra con Keycloak, la solución IAM de código abierto, a través de su Interfaz de Proveedor de Servicios (SPI). No modifica Keycloak en sí, sino que amplía el flujo de autenticación con un paso de verificación adicional.
Cuando un usuario elige "Iniciar sesión con vLEI", Keycloak delega el proceso en SOWL, que es la capa de orquestación desarrollada por esatus. SOWL conecta componentes de identidad descentralizados como monederos, verificadores y emisores con infraestructuras IAM empresariales. Coordina la solicitud, presentación y validación de credenciales verificables y, a continuación, devuelve un resultado de verificación firmado a Keycloak, que emite el token habitual de OpenID Connect (OIDC) o SAML.
En la práctica, la mayor parte del proceso se ejecuta automáticamente en segundo plano. Esto significa que, desde la perspectiva de un usuario, iniciar sesión con una vLEI es tan sencillo como seleccionar la opción y confirmar la presentación de la credencial en su cartera.
La siguiente secuencia describe lo que ocurre entre bastidores:
El usuario selecciona "Iniciar sesión con vLEI" en una aplicación como Nextcloud.
Keycloak activa el flujo de autenticación SOWL.
SOWL interactúa con la extensión de navegador KERIAuth, que solicita la credencial vLEI OOR o ECR del usuario a su KERIa Cloud Wallet.
El monedero crea una presentación verificable y las cabeceras de firma, para que la presentación verificable pueda ser enviada al verificador.
A continuación, devuelve la presentación verificable y las cabeceras de firma a través de la extensión KERIAuth a SOWL.
El SOWL envía la presentación al Verificador vLEI, que comprueba la autenticidad y la integridad a través de la cadena de confianza KERI bajo la Gobernanza de la GLEIF.
Una vez validado, SOWL confirma el resultado a Keycloak, que completa la autenticación y emite el token de acceso.
Las contraseñas son opcionales en este flujo, y se mantiene la compatibilidad con los inicios de sesión existentes con nombre de usuario y contraseña. El inicio de sesión sólo tiene éxito si tanto la credencial de la organización (vLEI) como la credencial de la función (OOR o ECR) son válidas, están firmadas criptográficamente y se pueden rastrear hasta un emisor autorizado. La GLEIF denomina a esto la cadena de confianza vLEI.
SOWL: Hacer que las credenciales verificables funcionen a escala empresarial
Como ya se ha mencionado, SOWL es una plataforma desarrollada por esatus para gestionar credenciales verificables en diversos sistemas. Su diseño se ajusta al Marco de Referencia de Arquitectura (ARF) de la UE y es compatible con Estándares como OpenID4VCI y OpenID4VP, así como con formatos de credenciales como SD-JWT y mDoc.
En el caso de uso del Autenticador vLEI, SOWL proporciona tres capacidades básicas:
Orquestación: coordinar el flujo entre monederos, verificadores y sistemas IAM manteniendo separados los dominios de confianza.
Estandarización: exponiendo interfaces REST uniformes para que Keycloak, y potencialmente otros sistemas IAM en el futuro, puedan consumir los resultados de la verificación como decisiones de autenticación.
Cumplimiento normativo y auditabilidad: garantizar que cada evento de verificación se registra, es reproducible y se ajusta al modelo de Gobernanza de la GLEIF.
Al desvincular la lógica de verificación de los sistemas IAM, SOWL permite que las infraestructuras existentes utilicen credenciales verificables sin necesidad de rediseño. Amplía los límites de la confianza al ámbito de la identidad descentralizada, manteniendo al mismo tiempo el control y la trazabilidad de la empresa.
Combinación de Gobernanza y Criptografía
En el ecosistema de la vLEI, Gobernanza y criptografía van de la mano. La GLEIF define las normas y los anclajes de confianza para los IPJ y los IPV, pero no los emite. Los IVC expiden bajo una Gobernanza definida los vLEI de entidad jurídica, así como las credenciales de OOR, y las entidades jurídicas gestionan sus propias credenciales ECR. Este modelo de confianza por capas conecta la Gobernanza, la emisión, la verificación y el control de acceso en una única cadena:
La GLEIF proporciona Gobernanza global y anclajes de confianza.
Los IVC y las personas jurídicas expiden las credenciales.
Verificadores independientes las validan criptográficamente.
Los sistemas IAM como Keycloak consumen los resultados a través de SOWL.
El resultado es que la autenticación se convierte en un proceso gobernado y verificable, no sólo en una decisión de confianza local.
Lo que nos enseñó la integración en el mundo real
La autenticación basada en vLEI se probó y desplegó en un entorno empresarial productivo, revelando claras lecciones clave:
Integración: El enfoque SPI de Keycloak permitió una integración modular y de bajo esfuerzo.
Experiencia del usuario: El flujo de inicio de sesión es intuitivo y no depende de contraseñas.
Seguridad: Los monederos custodiados simplifican las operaciones pero requieren disponibilidad; las frases de contraseña siguen siendo esenciales para la protección de las claves.
Rendimiento: La verificación se completa en cuestión de segundos.
Estabilidad: La presentación basada en navegador a través de KERIAuth demostró ser sólida e interoperable.
El resultado es un proceso de inicio de sesión que valida automáticamente la función y la autoridad organizativa de una persona mediante credenciales verificables. Las organizaciones utilizaron con éxito el vLEI Authenticator para verificar tanto su identidad corporativa como la autorización de los empleados para actuar en su nombre. El acceso a los datos sólo se concedía tras la verificación. El proceso duró segundos y sustituyó a las revisiones manuales que suelen durar horas o días.
Aunque la implantación en el ecosistema de la GLEIF demuestra que la autenticación verificable está lista para su uso en el mundo real, el siguiente reto es la interoperabilidad. El trabajo futuro se centra en integrar el Autenticador con marcos de identidad basados en monederos, como el monedero empresarial de la Identidad Digital Europea (EUDI). Aunque KERI/ACDC y SD-JWT VC se basan en fundamentos diferentes, ambos comparten un principio común: la confianza distribuida verificada por criptografía. Unir estas arquitecturas vincularía la IAM empresarial con la infraestructura de identidad digital europea, convirtiendo la "confianza" en una capa operativa compartida en lugar de una suposición.
Del inicio de sesión a la creación de confianza
El Autenticador vLEI muestra cómo la identidad organizativa y las funciones delegadas pueden integrarse en los sistemas empresariales sin alterar las arquitecturas existentes. Combinando la Gobernanza de la GLEIF, las credenciales verificables y la orquestación de SOWL, la autenticación se convierte en verificable por diseño, comprobable criptográficamente, auditable y dirigida por políticas.
Esto apunta hacia un futuro en el que el acceso a la empresa no se base en secretos compartidos, sino en una verdad compartida y verificable en todas las organizaciones y sectores.
Si quiere hacer comentarios sobre algún artículo del blog, identifíquese con su nombre y sus apellidos. Su nombre aparecerá junto a su comentario. No se publicarán las direcciones de correo electrónico. Tenga en cuenta que, mediante su acceso al foro de debate o su contribución en él, acuerda cumplir los términos de las Directrices sobre los blogs de la GLEIF, por lo que le pedimos que los lea detenidamente.
El Dr. Andre Kudra es CIO de esatus AG. Está reconocido internacionalmente como una de las figuras definitorias de la Identidad Auto-Soberana. Participa activamente en organismos de normalización y Gobernanza, como IDunion, Trust over IP e iniciativas globales como vLEI. Combina profundos conocimientos técnicos con una comprensión estratégica de los marcos normativos. Como empresario y líder tecnológico, lleva años impulsando el desarrollo de ecosistemas de identidad digital confiables.
