Aspectos técnicos n.º 3: ¿Por qué confías en la cadena?

En la primera entrega de una serie de dos partes, Esteban García, consultor técnico colaborador de GLEIF, analiza las cadenas de confianza invisibles que mantienen unido nuestro mundo, y por qué la necesidad de verificar cada eslabón de cada cadena requiere algo más que papeleo.

---

---

¿Por qué confías en un médico que te atiende en un hospital?

La historia detrás de esa confianza es la siguiente: el gobierno acredita a una universidad. Esa universidad acreditada otorga a la persona un título de medicina. Una junta de acreditación médica, autorizada por el gobierno, revisa ese título y expide una licencia para ejercer. Un hospital verifica esa licencia y concede al médico privilegios para realizar procedimientos específicos en ese centro. Entonces tú, el paciente, confías en la persona de bata blanca para que te opere.

Las cadenas de confianza invisibles que mantienen unido el mundo

Lo que acabas de leer es una cadena de confianza. Estas cadenas de confianza son omnipresentes y a menudo pasan desapercibidas.

Cada cadena de confianza comienza con una entidad en la parte superior en la que todo el mundo está de acuerdo en confiar. Ese punto de partida se denomina «raíz de confianza». Cada eslabón depende entonces del anterior. Si la universidad pierde la Acreditación, los títulos que expide se vuelven cuestionables. Si la licencia caduca, los privilegios del hospital se desmoronan. La cadena se rompe de arriba abajo.

En la práctica, confías en la bata blanca. Pero, implícitamente, estás confiando en que el hospital ha comprobado la licencia, la junta ha comprobado el título, el gobierno ha comprobado la universidad, y así sucesivamente. Verificas el último eslabón y das por hecho que la cadena se mantiene.

El problema del papel

Aunque estas cadenas de confianza mantienen unida a la civilización, son sorprendentemente frágiles. Funcionan en gran medida a base de papeleo, auditorías periódicas y la suposición de que cada eslabón se verificó adecuadamente antes de que se expidiera una credencial. Parte de ese papeleo es ahora digital, pero un PDF firmado protege el documento, no la cadena que hay detrás. Sigue sin poder verificarse quién autorizó al firmante, o si esa autorización sigue vigente. Las auditorías y la diligencia humana en el momento de la expedición siempre serán necesarias.

Pero, ¿y si cada eslabón fuera tan fácil de verificar como comprobar que el semáforo está en verde? ¿Y si, una vez emitida una credencial, cualquiera pudiera verificar toda la cadena en milisegundos, sin llamar a nadie, sin buscar papeleo, sin preguntarse si la cadena sigue siendo válida?

Ese es el problema que la GLEIF se propuso resolver al crear el Identificador de Entidad Legal verificable (vLEI).

Qué hace el vLEI

El vLEI es un sistema de identidad organizativa verificable criptográficamente. Permite a las organizaciones y a las personas que las representan demostrar quiénes son de una forma que cualquier verificador puede confirmar de manera independiente, sin depender de una autoridad central en el momento de la verificación. El vLEI conecta la identidad organizativa del mundo real a través de una cadena de credenciales cuidadosamente diseñada. Cada credencial de la cadena vLEI es emitida por una entidad que, a su vez, ha sido evaluada y acreditada por el nivel superior, formando una jerarquía arraigada en una única raíz de confianza global: GLEIF.

«Verificable criptográficamente» significa que la identidad organizativa asociada a un vLEI no puede ser falsificada, manipulada ni negada por la parte que lo emitió. Sin embargo, el emisor del vLEI puede revocarlo intencionadamente cuando cambien las circunstancias. Esto aporta garantías sin parangón en ningún otro método de autenticación organizativa.

Un ejemplo práctico

Consideremos este escenario. Una empresa desea firmar un contrato con el gobierno para un proyecto de infraestructura pública. El responsable de adquisiciones debe responder a una pregunta sencilla: ¿Está la persona que firma este contrato autorizada para hacerlo?

Rastreemos la cadena: un registro mercantil inscribe a la empresa. El consejo de administración de la empresa aprueba un acuerdo que autoriza a determinados directivos a actuar en su nombre. El director general firma el contrato. Pero el director general no puede participar en todas las interacciones del proyecto, por lo que delega la autoridad en el vicepresidente de operaciones para el trabajo diario de este proyecto específico. El responsable de compras debe ahora verificarlo todo: ¿Existe la empresa? ¿Es el director general realmente el director general? ¿Tiene el vicepresidente autoridad para este acuerdo específico? ¿Sigue siendo válida la delegación?

Hoy en día, esa verificación implica documentos notariales, apostillas, traducciones juradas, llamadas a los registros y abogados que revisan las actas de la junta. Puede llevar semanas. Con el vLEI, el responsable de compras verifica toda la cadena en segundos, de forma criptográfica, sin llamar a nadie.

La existencia de la empresa, el cargo del director general y la autoridad delegada del vicepresidente para este proyecto concreto: cada uno de ellos se convierte en una credencial verificable, encadenada criptográficamente y trazable hasta la GLEIF como raíz global de confianza. Sin llamadas telefónicas. Sin papeleo. Sin suposiciones. Solo confianza verificable.

En el próximo artículo de esta serie, abriremos la cadena vLEI y analizaremos cada eslabón en detalle: quién emite qué credencial, a quién y por qué la estructura se mantiene cohesionada.

---