CONCEPTOS

DID institucional: la identidad emisora de tu universidad

Por qué el identificador, y no el logotipo, es la verdadera firma de la institución

DID institucional: la identidad emisora de tu universidad

Toda credencial lleva una firma. No la firma escaneada que aparece en la parte inferior del documento, sino la firma criptográfica que garantiza, matemáticamente, que quien la emitió es quien dice ser y que el contenido no ha sido alterado.

Esa firma necesita una identidad. Necesita un quién que firma, reconocible, verificable y persistente.

Durante décadas, esa identidad ha sido un nombre, un logotipo, un registro administrativo o, en el mejor de los casos, un certificado de firma electrónica emitido por una autoridad central. Todos estos mecanismos comparten una limitación estructural: dependen de un tercero para ser verificados.

Los Identificadores Descentralizados —DID, por sus siglas en inglés— son la primera infraestructura de identidad digital que rompe con esa dependencia. No porque eliminen la necesidad de confianza, sino porque sitúan a la institución como la autoridad última sobre su propia identidad emisora.

Este artículo explica qué es un DID, por qué importa para la certificación universitaria, qué problemas resuelve y —quizá más importante— qué problemas no resuelve.

1. El problema de fondo: la identidad prestada

Cuando una institución educativa emite un título en formato papel, su identidad emisora está compuesta por elementos físicos: el logotipo impreso, el sello de tinta, la firma autógrafa del rector o del secretario académico. Estos elementos son difíciles de replicar con precisión, pero su verificación depende enteramente de la pericia del receptor: saber cómo es el sello auténtico, conocer la firma del funcionario, detectar variaciones en la tinta o el papel.

En el entorno digital, esta fragilidad se agravó inicialmente. Un logotipo se copia con un clic. Una firma escaneada se inserta en cualquier PDF. El documento digital, por sí mismo, no contiene ningún elemento que pruebe su pertenencia a la institución.

La primera respuesta a este problema fue el certificado de firma electrónica. Emitido por una autoridad de certificación —generalmente una empresa o entidad gubernamental—, este certificado vincula la identidad legal de la institución con una clave criptográfica. Permite firmar digitalmente documentos de manera que cualquier receptor pueda verificar que la firma corresponde a esa institución.

Este modelo funcionó —y aún funciona— para muchos contextos. Pero tiene tres limitaciones estructurales:

  1. La identidad es alquilada, no propia. Los certificados expiran, deben renovarse periódicamente y su validez depende de la autoridad que los emitió.

  2. La verificación requiere confiar en la autoridad de certificación. El receptor no solo debe confiar en la institución emisora, sino también en la entidad que certificó su clave.

  3. No hay portabilidad. Un certificado de firma electrónica está vinculado a un documento o a un dispositivo; no puede ser transportado por la institución como parte de su identidad permanente [^1].

Los DID emergen precisamente para resolver estas tres limitaciones.

2. ¿Qué es un DID?

Un Identificador Descentralizado —DID— es, en su definición más simple, un identificador único global que la institución controla directamente, sin depender de una autoridad de registro central.

Técnicamente, un DID es una cadena de texto con una estructura definida por el estándar del W3C:

Cada componente significa:

  • did: el prefijo que identifica el tipo de identificador.

  • método: el sistema específico de registro y resolución (ej: ebsiindykeyweb).

  • identificador único: la cadena que distingue a esa institución dentro de ese método.

Lo que hace especial a un DID no es su formato, sino dónde y cómo se resuelve. Para verificar la firma de una credencial emitida con un DID, el receptor no necesita consultar una autoridad central. Necesita resolver el DID a través del método correspondiente y obtener el documento DID asociado, que contiene —entre otras cosas— la clave pública de la institución [^2].

Este proceso es técnicamente complejo, pero su implicación institucional es simple y profunda:

La institución ya no alquila su identidad digital. La posee.

3. ¿Qué aporta un DID institucional a la certificación?

1. Permanencia

Un certificado de firma electrónica tradicional tiene una fecha de expiración. Cuando expira, las credenciales firmadas con él no se vuelven inválidas automáticamente, pero la capacidad de verificar su vigencia se complica. El receptor debe confiar en que la autoridad de certificación mantenga accesibles los registros de revocación.

Un DID, bien gestionado, no expira. La institución puede seguir usándolo mientras exista y decida mantenerlo. Si migra de plataforma, el DID puede migrar con ella. Si cambia de proveedor tecnológico, el DID sigue siendo el mismo.

2. Portabilidad

Un DID no está atado a un software específico. Puede ser generado, almacenado y utilizado desde cualquier sistema compatible con el estándar. Esto significa que la identidad emisora de la institución no es rehén de su proveedor.

Si una plataforma deja de operar o la institución decide cambiar de proveedor, el DID —y todas las credenciales emitidas con él— sigue siendo verificable. La historia de certificación de la institución no se pierde.

3. Verificación sin intermediarios

Para verificar una credencial firmada con un certificado tradicional, el receptor debe confiar en la autoridad de certificación que emitió ese certificado. Esa autoridad es un tercero necesario en la cadena de confianza.

Para verificar una credencial firmada con un DID, el receptor solo necesita resolver el DID. No hay un tercero necesario. La confianza reside en el método DID y en la gestión que la institución haga de su propia identidad.

4. Control institucional efectivo

Ninguna de estas propiedades es automática. Un DID no es "autogestionado" por el hecho de ser descentralizado; requiere que la institución ejerza efectivamente ese control.

Pero la posibilidad de ejercerlo es la diferencia crucial. Una institución con un DID propio puede, si así lo decide, gestionar su identidad emisora de forma autónoma. Una institución sin DID propio no puede, aunque quisiera [^3].

4. Lo que un DID no es

Es igualmente importante aclarar lo que un DID no es:

No es un registro legal.
Un DID no reemplaza al RFC, al RUC, al NIT ni a ningún otro identificador fiscal o legal. Es una identidad técnica para el ecosistema de credenciales verificables, no una identidad jurídica.

No es una prueba de reconocimiento oficial.
Que una institución tenga un DID no significa que sus títulos estén reconocidos por la autoridad educativa. El DID certifica identidad criptográfica, no habilitación legal.

No es intrínsecamente más seguro.
Un DID mal gestionado —claves privadas comprometidas, métodos débiles, falta de respaldo— es tan inseguro como cualquier otro mecanismo de identidad. La seguridad no la da el formato, sino las prácticas institucionales.

No es obligatorio para emitir credenciales verificables.
Es posible emitir credenciales verificables utilizando otros mecanismos de identidad, como certificados tradicionales o identificadores federados. El DID es una optimización de soberanía, no un requisito técnico [^4].

5. DID vs. Identidad federada: una distinción estratégica

Muchas instituciones educativas están familiarizadas con modelos de identidad federada, como los utilizados en redes académicas internacionales (eduGAIN, por ejemplo). En estos modelos, la institución confía en una federación que actúa como intermediaria de confianza entre proveedores de identidad y de servicios.

Este modelo es útil para el control de acceso y la autenticación de usuarios. Pero no está diseñado para la certificación de largo plazo.

 
Característica Identidad federada DID institucional
Dependencia Requiere membresía en una federación Autónomo, no requiere membresía
Vigencia Mientras dure la membresía Perpetua (si se gestiona adecuadamente)
Portabilidad Limitada al ámbito de la federación Global, independiente de jurisdicciones
Verificación Requiere consultar a la federación Autónoma, basada en resolución DID
Control La federación puede revocar Solo la institución controla

Ambos modelos pueden coexistir. Una institución puede usar identidad federada para acceso a recursos y DID para emisión de credenciales. Pero no son sustituibles: resuelven problemas distintos [^5].

6. El método DID: una decisión con implicaciones

El estándar DID define la estructura y el modelo de resolución, pero no define un método único. Existen decenas de métodos DID, cada uno con diferentes propiedades técnicas y de gobernanza:

  • did:key: el más simple; el DID se deriva directamente de una clave pública. No requiere registro ni resolución externa. Máxima portabilidad, mínima infraestructura.

  • did:web: el DID se resuelve mediante un dominio web. Aprovecha la infraestructura existente, pero hereda sus dependencias (DNS, servidores web).

  • did:ebsi: utilizado en la infraestructura europea de blockchain para credenciales. Requiere registro en la European Blockchain Services Infrastructure.

  • did:indy: diseñado para redes Sovrin/Hyperledger Indy, con énfasis en gobernanza descentralizada.

  • did:ethr: basado en Ethereum, con registro en esa red blockchain.

La elección del método DID no es neutral. Determina:

  • Dónde y cómo se resuelve el DID.

  • Qué infraestructura subyacente se requiere.

  • Qué nivel de descentralización efectiva se alcanza.

  • Qué dependencias se mantienen o se eliminan.

Una institución que elige un método DID basado en blockchain pública obtiene alta resiliencia y descentralización, pero asume costos operativos y complejidad técnica. Una institución que elige did:key obtiene máxima simplicidad y portabilidad, pero menor capacidad de rotación de claves y gobernanza.

No hay una respuesta universal. La hay, nuevamente, institucional: la elección debe corresponder a la estrategia y capacidades de cada universidad [^2].

7. La pregunta institucional

Una vez que una institución comprende qué es un DID y qué implicaciones tiene para su soberanía emisora, la pregunta relevante ya no es técnica:

"¿Qué método DID debemos usar?"

Sino institucional:

"¿Quién controla la identidad con la que firmamos nuestras credenciales y qué pasa si ese control se delega o se pierde?"

Esta pregunta admite respuestas diversas. Algunas instituciones preferirán que su proveedor tecnológico gestione el DID, confiando en su experiencia y disponibilidad. Otras exigirán tener control directo sobre las claves privadas, asumiendo la responsabilidad de su resguardo. Otras buscarán modelos híbridos, con esquemas de recuperación y gobernanza compartida.

Lo que ya no es admisible es no saber que esta pregunta existe.

Porque la identidad emisora es, en última instancia, la institución misma proyectada en el tiempo. Si esa identidad está en manos de un tercero sin mecanismos de recuperación, sin portabilidad, sin capacidad de ser reclamada por la institución si el proveedor desaparece, entonces la institución ha transferido —quizá sin saberlo— un atributo central de su soberanía.

Cierre del artículo

Conclusiones

La identidad como soberanía

La adopción de DID institucionales no es, para la mayoría de las universidades, una urgencia inmediata. Es posible emitir credenciales verificables con otros mecanismos de identidad, y muchos de ellos son perfectamente funcionales durante años.

Pero la pregunta sobre la identidad emisora no admite postergación indefinida. Cada credencial emitida hoy con una identidad que la institución no controla plenamente es una credencial cuya verificabilidad futura depende de factores que la institución no puede garantizar.

Los DID no son la única respuesta a este problema. Son, sin embargo, la respuesta más madura, estandarizada y soberana disponible actualmente.

Representan, para las instituciones educativas, la posibilidad de ejercer sobre su identidad digital el mismo control que históricamente han ejercido sobre su nombre, su sello y su firma autógrafa.

Representan, en suma, la diferencia entre tener una identidad prestada y tener una identidad propia.

Soporte documental

Referencias

[^1]: **W3C Decentralized Identifiers (DIDs) v1.1**. https://www.w3.org/TR/did-core/
[^2]: **W3C DID Specification Registries**. https://www.w3.org/TR/did-spec-registries/
[^3]: **Trust Over IP Foundation (2024). DID Adoption Patterns for Educational Institutions**. https://trustoverip.org/wp-content/uploads/ToIP-DID-Adoption-Education-2024.pdf
[^4]: **European Commission (2024). European Digital Identity Framework: Technical Specifications**. https://ec.europa.eu/digital-building-blocks/sites/display/EUDIGITALIDENTITYWALLET
[^5]: **1EdTech Consortium (2024). Digital Credentials and Identity Federation: A Comparative Analysis**. https://www.1edtech.org/1edtech-article/digital-credentials-and-identity-federation

Contenido relacionado