Gataca, la startup española nacida en el MIT que lo peta en la UE con su identidad digital

Guanina, Adenina, Timina, Timina, Adenina, Citosina y Adenina. Esta es la secuencia del ADN que dio título a Gattaca, la película del 97 protagonizada por Ethan Hawke, Uma Thurman y Jude Law. La singularidad de las instrucciones genéticas de cada humano dio lugar a la popular película que pone en jaque cuestiones como la suplantación de la identidad, la selección natural o el destino. Esta misma cadena de ADN, con el permiso de una de las Timinas, también ha dado lugar a Gataca; una startup española que, dejando a un lado la cada día más real selección genética, quería posicionarse en el concepto de la identidad digital para su uso en la administración, redes sociales o el mundo digital en su totalidad. Una suerte de documento único que debería ser tan singular como nuestro propio ADN.

Y es española porque actualmente el equipo de Gataca se encuentra afincado en el país. Su origen real está en Estados Unidos bajo el ala del MIT. Tanto en investigación como en financiación, la startup fundada por Irene Hernández dio sus primeros pasos en la prestigiosa universidad norteamericana y pronto puso rumbo a Europa. La cuestión de la privacidad de los datos, el consenso de la Unión Europea y la cultura del continente tenían más sentido para el proyecto en el que la investigadora estaba a punto de meterse. Ponían sobre la mesa una startup que quería jugar en la liga de la identidad digital, también conocida como identidad única digital, identidad 2.0 o identidad online.

¿Su peculiar nombre? Su fundadora aclara que no conocía la película y la selección del nombre nacía de la misma conclusión que el largometraje. La particularidad que cada uno de nuestros puntos de la secuencia de ADN nos aporta es el concepto que querían trasladar a su empresa. Ahora, conociendo el éxito de la película, asumen que luchan día a día por el SEO y la confusión entre los nombres.

Sea como fuere, el caso de Gataca es uno de esos que nace a modo de spin-off de proyectos universitarios e investigaciones que tienen validez en la vida real. Y que, además, ha conquistado a la Unión Europea.

Una investigación y una empresa, Gataca

Irene Hernández, fundadora de Gataca, venía trabajando desde hace años en el departamento blockchain del MIT. Mucho antes de que la burbuja de la criptomonedas, Bitcoin, Dogcoin y Elon Musk comenzasen su efervescencia. Pero sí durante el momento en el que se tenía conciencia de que blockchain podía tener un futuro prometedor más allá de la incipiente moneda digital. Hernández, concretamente, estaba especializándose en su aplicación en el sector enérgético.

La buena o mala suerte quiso que la investigadora fuera víctima de uno más de esos ataques cibernéticos: el famoso hackeo de 2017 a Equifax. Sin ninguna consecuencia económica para la fundadora, sí que puso sobre su camino la cuestión de la protección de datos y los ataques. "Los datos eran escalofriantes en un mundo cada vez más digitalizado, ahora más con la pandemia si cabe, por lo que con este escenario solicité a la universidad un proyecto de investigación para ver si el blockchain podía ayudar a resolver este problema", explica a Hipertextual.

Su tesis era sencilla dentro de lo complejo del tema. El problema fundamental residía, y sigue estando, en que los ataques vienen derivados de una arquitectura obsoleta de las autenticaciones en internet.

O dicho de otro modo, se deja en manos de los usuarios la identificación y custodia de todas esas contraseñas personales mientras miles de millones de líneas de información de estos residen en bases de datos y servidores de empresas privadas.

Esto, a final del día, es un caramelo muy atractivo para aquel que sea capaz de entrar en ese lugar protegido. Y a la vista está.

Facebook, Twitter, Zoom Chrome, el SEPE, el Ministerio de Economía o Hacienda en España; una larga lista de apps de citas han sido víctimas en los últimos meses de ataques malware o ramsonware.

"[Estas empresas] acaban acumulando una ingente cantidad de información muy sensible, y esto es muy atractivo para los hackers. La idea, inspirado en la arquitectura de blockchain, es trasladar este sistema a los extremos. Al usuario. Lo que queremos es eliminar los procesos de autenticación. Dotar al usuario de una única identidad digital única para acceder a todo en vez de tener una por cada plataforma."

Irene Hernández, fundadora de Gataca.

Tras la idea de pasar la gestión de la identificación del usuario a blockchain se concluyó, en una investigación que comenzó en 2017 y culminó en 2018, que había una oportunidad en el sector.

Con una inversión inicial del MIT para la identidad digital única

Hernández lo tenía claro. Pese a haber nacido bajo el amparo del MIT, Estados Unidos no era el mejor lugar para una startup dedicada a innovar en el campo de la identidad digital única.

Los primeros pasos de esta credencial estarían soportados, en gran medida, por un lugar en el que las administraciones públicas tuviesen un peso predominante sobre los intereses privados –al menos en teoría–. Y donde la regulación en lo que a protección de datos fuese una máxima desde hacía años. Esto significaba volver a Europa.

En cualquier caso, Gataca logró una primera financiación del propio MIT para posicionar los cimientos del ambicioso proyecto. Después llegaron algunos Business Angels, varias subvenciones de la Unión Europea y el más reciente préstamo Enisa en España.

Ahora trabajan en su primera ronda de financiación oficial con inversores privados que valide su modelo de negocio. Con cierta solvencia gracias a los clientes que Gataca ya gestiona, el objetivo está en crecer rápido para posicionarse a ojos de las grandes administraciones. De momento son pocas las compañías, no más de cuatro, las que tienen control del sector de la identidad digital única. Pero son cientos, y cada día nace una nueva, que quieren ocupar su lugar en lo que se viene.

Y es que lo que tienen entre manos es un proyecto que se podría catalogar como monumental. "Lo que pretendemos es que todos los usuarios digitales se creen una identidad digital única y que todos los proveedores lo acepten. Esto requiere regulación, porque queremos que esto sea para los entornos regulados también. Para un DNI o una cuenta bancaria, no solo para Facebook", explica la fundadora. Todo eso cuesta mucho dinero.

Blockchain para la identidad digital única más allá de Bitcoin

Era común, hasta hace dos días, confundir la tecnología blockchain con el producto de Bitcoin. Era lo que el buscador de Google a internet para los menos avezados en esos temas. Tecnología y producto se diluyen y confunden a partes iguales.

Ahora blockchain, aunque aún complejo de entender, ya es una constante. Gataca se basa precisamente en esta tecnología, trasparente para el usuario, para gestionar una cartera de identidad única digital a través de un dispositivo móvil. Es decir, una app en nuestro smartphone. ¿La novedad? "Todas las credenciales se digitalizan sobre un estándar común, que es el que están adoptando todas las administraciones", explican a este medio.

Tras esto, el objetivo es que al final de día el ciudadano tenga una sola aplicación en la que se concentren todas sus credenciales para cada una de las competencias administrativas. Estas, por su parte, no varían su actividad puesto que serían las mismas emisoras de esos permisos. Solo se añadiría, por tanto, un estándar común para todos. Algo en lo que entrarían en juego también las empresas privadas (redes sociales, billetes de tren o avión, el famoso pasaporte covid...). El objetivo de Gataca es acabar con las millones de contraseñas y poder validar la presencia de uno mismo de una forma rápida y unificada.

¿Solo con una aplicación? Sería una locura pensar que en los tiempos en los que estamos una sola empresa controle la gestión de las credenciales de la totalidad de los usuarios. Por este motivo, Gataca y empresas similares de identidad digital única trabajan basadas en un sistema de interoperativilidad, "lo que permite que cualquier wallet pueda operar con cualquier plataforma y que se pueda aceptar una credencial en cualquier wallet aprobado previamente".

La cuestión de la seguridad

Ante toda esta propuesta, centralizada a través de una app móvil –sensible a pérdidas, robos o suplantaciones– cabe preguntarse sobre la viabilidad y la seguridad del proceso.

Gataca lo soluciona con una encriptación en la que solo el emisor y el receptor pueden desbloquear la información. El propio acceso a la aplicación o wallet sería similar a de la app bancaria: con clave y seguridad biométrica. Asimismo, en caso de hackeo o intento del mismo, toda la información alojada se borraría de forma automática a fin de preservar la seguridad del usuario. En caso de robo, la aplicación solo podrá estar activa en un solo dispositivo a la vez evitando así suplantaciones de identidad.

Y aunque la parte de la seguridad de la app la tienen bastante clara, la cuestión de la ciberseguridad en cuanto a hackeos masivos aseguran que es algo incontrolable. El tema de los ciberataques es muy amplio, y "nosotros estamos atacando el tema de la identidad única digital en concreto", explica. Que es el que más ha crecido en los últimos años y el que más impacto tiene en los usuarios, pero esto no acabaría con el resto de ataques en internet.

Sí que asumen, por otro lado, que a largo plazo el uso de la identidad digital única sería un mecanismo que evitaría que las empresas guardasen copias de los datos de los usuarios para su autentificación. Los hackers tendría, por tanto, cada aplicación de cada usuario para obtener el total de la fotografía. De momento, explican, esto está lejos "porque las empresas querrán seguir guardando sus copias para integrarlas y mantener sus intereses".

La normativa, el problema y la experiencia

La Unión Europea lleva tiempo trabajando en el concepto de identidad digital única. Gataca, que comenzó antes de que la administración se pusiese manos a la obra, se posicionó pronto en el sector. Hasta entonces, y aunque gustaba el discurso, solo habían recibido una palmadita en la espalda y un deseo de buena suerte a futuro. Ahora, Europa cuenta con un acuerdo internacional de uso de blockchain para la identidad 2.0 en el que, por supuesto, participa Gataca. Porque desde la startup española lo tienen claro: necesitan de una firme regulación a todos los niveles para que su objetivo se cumpla y que sirva para vencer el mayor problema de esta iniciativa: la confianza.

En línea con la confianza y seguridad, el abogado especializado en temas digitales, Sergio Carrasco, apunta a que "crear el sistema al final es lo sencillo, lo complejo es conseguir que todos lo usen por mucho que crees mecanismos de interoperabilidad de inicio.

Deberán participar lógicamente instituciones públicas, pero además pensemos que una gran parte del tráfico al final pertenece a entes privados, y que confiar en sistemas de terceros es complejo. Al final estás dependiendo para tu servicio de un tercero". Trabajar estos puntos será, por tanto, el mayor reto al que se enfrente el sector.

Pese a todo, no es la única experiencia que en el sector. Ya en 2018, el Swiss ID en Suiza lleva probando el sistema de la identidad online.

Con 9 empresas del país en el proyecto, que concentran servicios de casi el 50% de la población de la región, y un apoyo gubernamental apoyado por una legislación ad hoc, Suiza es el terreno de pruebas más fértil para esta iniciativa.

Tras ellos algunas intenciones y proyectos con menos potencial centradas en el desarrollo económico y global. Big Net, en India, pretendía otorgar la mencionada identidad digital única a sus millones de ciudadanos. Esto permitía la visibilidad y el acceso de muchos servicios actualmente fuera del alance de muchos de ellos. ¿El problema? La accesibilidad de la población. Un proyecto similar al lanzado por Facebook de la mano de Libra, su criptomoneda. La compañía de Zuckerberg quería replicar la experiencia con Libra. De esta manera, los usuarios podían emplear esa identidad única en cualquier servicio de internet permitiendo una documentación validada a millones de personas. En este caso, el problema es el propio Facebook controlando identidades únicas.