Transcripción al español de “Verified Tweets”
Publicado en el canal de Youtube de Charles Hoskinson el 9 de Enero de 2024
Enlace a la versión doblada al español
Hola, este es Charles Hoskinson transmitiendo en vivo desde la cálida y soleada Colorado, siempre cálida, siempre soleada, a veces Colorado. Hoy es 9 de enero de 2024 y estoy haciendo un video para hablar sobre un tema del que hablé hace aproximadamente uno o dos años, no recuerdo exactamente cuándo, pero originalmente me dirigí a Jack Dorsey, probablemente hace dos años, y hablaba sobre Twitter 2.0 y las cosas que se podrían hacer con la tecnología blockchain y la industria de las criptomonedas y las redes sociales descentralizadas. Surgió la idea de verificar tweets, así que quería hacer un video rápido en la pizarra sobre el concepto y hablar al respecto. Sin más preámbulos, permítanme compartir mi pantalla, wuaaa.
Muy bien, aquí vamos. Tweets verificados. Normalmente, el flujo de cuenta de Twitter es cuando un usuario, llamémoslo Bob, va a Twitter o X, o como sea que lo llamen estos días, el Paso Uno es este concepto de inicio de sesión, y esto se llama típicamente Control de Acceso. Básicamente, la idea es que esto permite al usuario tener acceso a su cuenta. Ahora, el concepto y el tema del Control de Acceso son muy amplios en ciberseguridad y seguridad de la información, y hay miles de matices e interesantes cosas. Por ejemplo, ¿es un usuario único o múltiple? Hay políticas que se aplican al flujo del Control de Acceso, control de acceso es si por ejemplo Bob inicia sesión versus si lo hace Alice, tal vez Alice sea la experta en redes sociales para Bob, Bob es una celebridad o algo así. Cuando ella inicia sesión, puede twittear, por ejemplo, pero no puede leer los mensajes privados, cosas así.
Varios sistemas de inicio de sesión tienen diferentes Sistemas de Control de Acceso conectados a uno o muchos usuarios, las políticas sobre lo que esos usuarios pueden hacer, las capas de control de acceso. Y, típicamente, tenés, up, se alejo el zoom, a veces estos pads se ponen muy sensibles, hace mucho que no hago un video de pizarra. Típicamente tenés un factor, dos, tres factores. Puedes tener más técnicamente, pero rara vez se ven tres factores o más, y así tenemos dos factores. Por lo general, un factor es una contraseña, dos factores suelen ser una contraseña más algún mecanismo, como Google Authenticator o un mensaje de texto, algo así. Y tres factores se utilizan típicamente en situaciones de alta seguridad, por ejemplo Skiff, lo que mantiene la información clasificada. Skiff es una instalación para información compartimentada. Esto generalmente tiene lo que tenés, lo que sos y lo que sabés. Lo que sabés es una contraseña, lo que tenés usualmente es una tarjeta CAC, o algo así, y lo que sos usualmente es autenticación biométrica. Hay muchas opciones, como escaneos de palma, escaneos de iris, huellas dactilares o alguna combinación de esas cosas, y tienen escáneres muy sofisticados. Incluso si tu contraseña se ve comprometida o alguien roba tu tarjeta de acceso, necesitas las tres cosas para obtener acceso, por lo que las instalaciones altamente seguras tienden a utilizar la autenticación de tres factores. La mayoría de las personas se están moviendo hacia la autenticación de dos factores y el más alto nivel de seguridad es con un dispositivo de hardware. Los métodos antiguos son alguna forma de contraseña, que suele ser la peor manera de hacer Control de Acceso.
Puedes utilizar otras formas de Control de Acceso, de hecho, soy un gran fan del “web of trust” y eso es un concepto de un desafío-respuesta. Tienes una clave pública que tiene una clave privada correspondiente, y cuando creas una cuenta, registras tu clave pública. Cuando registrás esa clave, lo que sucede es que el servidor, que es donde está tu cuenta, envía un desafío a Bob. Generalmente encriptan algo con tu clave pub, y la única forma de desencriptarlo es si tienes una copia de la clave privada. Luego, envías de vuelta el mensaje descifrado en texto plano. Hay muchas formas de abordar estos protocolos de desafío-respuesta, y esta es una simplificación de grosso modo, pero básicamente requiere que tengas acceso a un par de claves pública-privada. Es una forma muy sólida de hacer las cosas y es mucho más fácil porque, por lo general, solo necesitas ingresar un código PIN o escribir algo, y es algo instantáneo. No necesitas recordar una contraseña y es mucho mejor hacerlo con un solo factor, y aún puedes combinarlo con los otros dos factores. Puedes agregar una Yubikey, una autenticación biométrica, como una huella digital más a Yubikey más firma de llave, sería casi in hackeable, porque la probabilidad de que esas tres cosas sean comprometidas es casi cero, por eso es el estándar para recintos de información clasificada.
El Control de Acceso es muy poderoso, muy importante, y luego viene la entrada con política. La entrada con política significa que tu vista de la experiencia, del producto, el tablero de mando de experiencia de usuario, la interfaz del usuario, sigue la política. Por ejemplo, en el escenario aquí donde tenemos acceso multiusuario y es Alice quien tiene esa vista en particular, ella ve la capacidad de twittear, pero no puede hacer clic en el botón para ver los mensajes privados, mientras que Bob tiene la vista completa de las cosas. Entonces, hay una pregunta muy obvia que surge: ¿qué sucede cuando alguien de alguna manera obtiene acceso a tu cuenta y no es un usuario legítimo? Entonces, ponemos a un pequeño hacker aquí y lo llamaremos, pequeño sombrero de copa y cuernos, le damos un bastón y un monóculo. Lo llamaremos James. ¿Qué sucede cuando el malvado James puede eludir y obtener acceso a tu cuenta, como lo hizo una agencia federal en particular que permanecerá sin nombre?
Bueno, entonces, lo que James puede hacer, siguiendo la política, es que James puede, en el caso de Twitter, twittear cosas no autorizadas y luego todos vemos esos tweets y decimos: “Oh, Bob está loco. No puedo creer que Bob haya dicho eso”. Y James ha causado exitosamente travesuras y caos. El concepto de un tweet verificado es que, durante la creación de la cuenta, cuando Bob crea su cuenta, lo que Bob haría es registrar un DID, Identificador Descentralizado. Esto proviene del mundo de SSI (Identidad Auto-soberana) y el DID es un estándar del W3C, y todo el espacio se ha movido en esta dirección. Es la forma de organizar y gestionar la identidad. Cuando registras un DID, lo que sucede es que podés hacer cosas, podés verificarlo, verificar su identidad humana en la vida real. También puedes agregar credenciales criptográficas de cualquier tipo. Puedes agregar, por ejemplo, el estándar X.509, PGP, una clave pública de un sistema cripto, como SHA, la curva elíptica Bitcoin SEC p256 K1, curvas Twisted Edward que usamos en Cardano, puedes hacer lo que quieras. Pero una vez que has registrado y verificado ese DID, hay dos cosas que obtienes instantáneamente. En primer lugar, nunca más necesitas una contraseña, porque puedes usar un protocolo de desafío-respuesta, y la experiencia del usuario es básicamente tan simple como tocar cualquier dispositivo de hardware o PGP, o lo que sea que estés usando para gestionar tu sistema de claves. Es muy similar a realizar una transacción de criptomonedas y es significativamente más seguro porque estas son respuestas de desafío únicas, se envían a través de un canal cifrado, son frescas y se generan sobre la marcha basándose en una solicitud de inicio de sesión, y solo si la persona tiene tu clave, realmente puede iniciar sesión, y la probabilidad de que eso suceda es muy baja.
La otra cosa es que puedes hablar incluso de multisig, donde varios usuarios están allí. Por ejemplo, cada vez que Alice quiere iniciar sesión, Bob recibe una notificación y debe autorizar ese inicio de sesión. También puedes adjuntar políticas a las claves y los DIDs son un estándar excelente y son muy fáciles de rotar. La segunda cosa que obtienes es, digamos que James, por alguna razón, obtuvo acceso a tu cuenta, tan improbable como sea, tal vez James sea un infiltrado que trabaja en Twitter, y ese fue realmente el caso con el panel de control de Twitter cuando las cuentas de Bill Gates, Bill Clinton, Biden y otras se vieron comprometidas porque alguien realmente tenía una escalada de privilegios y pudo usar el panel de administración para obtener acceso a las cuentas de las personas. Ahora, de repente, tienes este concepto de tweets verificados y no verificados. Espera un minuto, ¿qué significa eso? Bueno, un tweet verificado es un tweet que ha sido firmado por la clave. Incluso si James es un infiltrado en Twitter, es un atacante malicioso muy inteligente, es muy improbable que tenga una copia de la clave de Bob. Al firmar con la clave de Bob, lo que obtienes es una experiencia del usuario donde el tweet se ve visualmente diferente y tiene una autenticación, y es muy similar a este tipo de cosas que ves en el mundo, como con StreamYard. Vamos a ir a Twitter, por ejemplo, y ves aquí que dice “la conexión es segura”. Cuando hacemos clic en ese candado, puedes ver que está verificado y puedo ver la información del certificado que me muestra que este es el verdadero Twitter, así que el nombre de la organización twitter.com, el nombre común twitter.com Twitter Incorporated, el emisor de los certificados dig assert y aquí está toda la información y puedo ver toda esa línea de tiempo completa. Se emitió el 8 de noviembre de 2023 y vence el 7 de noviembre. Miren la huella digital SHA y todo ese tipo de cosas, todo existe dentro de ese dominio. Bueno, la misma vista se puede crear aquí y lo interesante es que cuando nos suscribimos a personas, lo que estarías suscribiendo en este sistema sería agregar el DiD de Bob a tu lista. Entonces, el software automáticamente obtendría las credenciales criptográficas de Bob, su clave pública y, cada vez que Bob tuitea, tu cliente puede verificar que ese tuit es legítimo sin depender de Twitter. Es interesante, ahora, supongamos que James tuitea en nombre de Bob. Lo que sucederá es que James no tiene la capacidad de replicar la firma, así que aparecerá diferente en la interfaz y dará una representación diferente y en la interfaz dirá “no firmado”, “no verificado”.
¿Por qué es importante? Bueno, en una organización, cuando realizan comunicaciones oficiales, especialmente comunicaciones importantes a accionistas o al público en general, a una agencia federal, como política, cada comunicación debería tener una propiedad llamada “no rechazable”. Ser no rechazable es una política general que impide que alguien niegue que fue él. Utilizan firmas para lograr que sea no rechazable y también para verificar la integridad del mensaje, ya que se hace un hash del mensaje y se firma el hash del mensaje, incluyéndolo en los metadatos. Así que cualquiera que quiera verificar hará un hash del mensaje y luego verificará la firma contra el esquema de firma, su lista de personas, y ellos mismos pueden verificar que sólo fue firmado por Bob, pero también es el mensaje apropiado, no ha sido reemplazado es una propiedad llamada no maleabilidad.
Entonces, esto resolvería todo este problema porque incluso si alguien obtiene acceso a la cuenta, probablemente no tendría acceso a las claves, ya que probablemente residirían en hardware y estarían físicamente presentes con las personas autorizadas a manipular las cuentas. Además, si Alice no tiene la capacidad de firmar tweets o firma tweets con una clave diferente, se identificaría como el administrador de redes sociales y podrías ver quién envió esos tweets. Es un sistema mucho más utilizable e interesante y realmente resuelve este tipo de problemas. Es una forma de adoptar los estándares de la W3C que nuestra industria ha creado, el estándar DID, y esos DIDs incluso podrían almacenarse en una blockchain. El registro de DIDs, por ejemplo, cuando los verificas, podrías ponerlos en Bitcoin, Ethereum o Cardano y hay muchos proveedores de SSI para hacer estas cosas. Soy un gran defensor de esto porque creo que soluciona la mayor inconveniencia de Internet, que es el débil control de acceso, y realmente te brinda una forma más matizada de manejar las comunicaciones con las personas para que no te encuentres con estos problemas de escalada de privilegios. Incluso si tienes un control de acceso perfecto, si los internos se ven comprometidos, como fue el caso del hackeo de Twitter anteriormente con Bill Gates y el resto de las personas, el servicio en sí puede suplantar tu identidad y comunicarse en tu nombre, lo que crea un escenario en el que la gente piensa “oh, está loco, es una mala persona, está tuiteando cosas malas”. Pone la responsabilidad de la seguridad en el usuario y depende de ellos obtener un DID y programar su control de acceso en consecuencia.
Se debe hacer mucho trabajo en nuestra industria, por ejemplo, me encantaría un DSL de control de acceso para ser muy detallado y permitir a las personas pintar por números cómo funcionará el control de acceso, y estos grandes servicios como X, honestamente en 2023 no deberían estar donde están, deberían abrazar este tipo de credenciales criptográficas, son bastante fáciles de trabajar. Nuestra industria ha sido pionera en la innovación de estas cosas y las ha llevado al siguiente nivel porque cada usuario de criptomonedas tiene que manejar un par de claves público-privadas para tener más de 100 millones de personas que viven en esa realidad, realmente muestra que hemos creado una tecnología bastante usable y buena. Si no lo haces, te encuentras en la situación en la que todos los tweets son creados igualmente y terminas teniendo tweets realmente malos que causan alteraciones en el mercado, manipulaciones del mercado y todo tipo de cosas.
La otra cosa es que se abren patrones de comunicación interesantes. Supongamos que alguien tuitea algo interesante, podrías tener otros firmantes también, arbitrariamente muchos, y hay un concepto de “vouching”. No es solo un retweet o un me gusta, sino que básicamente puedes respaldar y puedes saber con certeza que eso fue respaldado por la agencia, fue respaldado por una agencia de noticias, fue respaldado por una persona en una posición de confianza, entonces desde eso puedes inferir una métrica de verdad. Otra cosa realmente genial es el concepto llamado “bonos de veracidad” donde realmente adjuntas, esto es lo que quería hacer cuando pensaba en comprar Coindesk, bonos de veracidad, puedes adjuntar fondos a un paquete de información con un valor de verdad. Entonces, lo que un bono de veracidad te da efectivamente la capacidad de hacer es que cuando ven esto, pueden preguntar quién lo respalda y si hay dinero detrás, oh Dios mío, hay un millón de dólares en ADA detrás de esto y si se demuestra que es falso, el dinero se pierde. ¿Confías en esa información? Bueno, ciertamente confiaría en eso más que en información que las personas no están dispuestas a respaldar. ¿No sería divertido si los periodistas fueran sometidos a ese mismo estándar, que la organización de noticias, cuando publican una historia, tiene que respaldarla con dinero y si resulta ser engañosa o falsa o propaganda, el bono se llama y pierden todo su dinero y los fondos se recortan?, uuuuu. Ahora estamos entrando en la verdad. Estas son algunas de las bases de una red social de próxima generación y el poder de la verificación. Realmente espero que Elon Musk vea este video y otras personas en el espacio, quienes construyen cosas como Mastodon y estas grandes redes sociales, piensen en estas cosas. También, Jack Dorsey, de vuelta a ti Jack y el protocolo APP, realmente me encantaría que vean alguna extensión de su trabajo para incluir el estándar DID para que podamos empezar a tener tweets verificados. Esto resolvería completamente el problema de los bots, resolvería completamente el problema de otras cosas porque si alguien me suplanta o suplanta a otras personas, todos sus tweets serían rojos. Por cierto, también el problema de deepfakes, este mismo concepto puede incluir un concepto de NFT y tendrías este concepto de un NFT de origen. Entonces, cada vez que creas contenido, tu contenido también crearía un NFT que mostraría la fecha de creación, mostraría la historia de creación. Un video, imagen, canción, infografía, podés usar estos mismos principios para tener esto de vuelta a algún tipo de autor y el autor estaría identificado con, oh, por Dios, un DID. Esto resuelve completamente tu problema de IA generativa. Cuando ves algo, si no tiene un NFT de origen que muestre la procedencia, básicamente se coloca en la categoría de no firmado, no verificado. No necesariamente no es cierto, podría ser una copia de algo que es cierto, pero al menos te da información de que nadie respalda esto de manera discernible. Entonces, debes pasar por un proceso social para ordenar esto y también puedes tener un servicio de verificación, un servicio de verificación donde las personas pueden ejecutar algoritmos y otras cosas para darte una probabilidad de falsificación. Esto es como un mercado de verdad. Una de las cosas que puedes hacer es que si un contenido se vuelve viral, además de tener tu respuesta, tu me gusta y demás, también podrías tener un botón de verificación y podrías donar una microtransacción, una cantidad muy pequeña de criptomonedas, tal vez menos de un centavo y si suficientes personas hacen clic en ese botón, entonces varios dólares podrían ir a un servicio de verificación para ejecutar un algoritmo para verificar el tweet y luego construir una nota comunitaria para algo así. Así es como creas mercados de verdad y eso es un ejemplo de un instrumento de verdad como un bono de veracidad, como firmas no rechazables y, en última instancia los DIDs, y la verificación de los DIDs. Estos son mercados de verdad, las redes sociales necesitan esto y si X no lo hace, no anticiparía que sobrevivan. No morirán de la noche a la mañana, pero alguien que haga esto tendrá una ventaja gigantesca porque podrán combatir los deepfakes, podrán eliminar completamente todos los bots. Por ejemplo, podrías decir que debes tener un DID verificado para poder publicar o puedes crear experiencias de usuario segregadas y tener Twitter adecuado y luego tierra de nadie. Tierra de nadie tiene toda la información no verificada y luego Twitter adecuado tiene toda la información verificada. Todo parece bien, la gente por defecto tiene que ver eso, pero los tweets rojos no los pueden ver, por lo que crea un fuerte incentivo para que las personas se verifiquen. Es bastante simple, creas mercados de verificación y luego mercados de verdad. Y luego puede haber diferentes protocolos que una persona utiliza y las micropropinas son muy efectivas. Tal vez, con una suscripción mensual, obtienes acceso a Grok y verificación de tu DID, servicio de gestión de claves en caso de que las pierdas, entre otras cosas. Además, obtienes una cierta cantidad de créditos para la verificación de veracidad como servicio, entre otras cosas interesantes. Incluso puedes crear NFTs en redes, así que si quieres ser un creador de contenido y crear un sello para un NFT de origen, al pagar una suscripción obtienes un cierto número de derechos de creación por mes. Estos son tipos de modelos de negocios de próxima generación, algo así como web 2.5. Aunque sigue siendo una aplicación que vive en un servidor, utiliza algunos conceptos y backend blockchain para facilitar su actualización y tener un modelo de confianza mucho mejor en general.
Así que espero que este contenido haya sido útil para todos. Es algo que realmente disfruto, hablar de estas cosas. Lamento no haber construido nunca una red social. Algún día creo que tendré que hacerlo, ya sabes, es una de esas cosas en las que siempre estuve ocupado y la tecnología para construirlas es bastante compleja, ya que debes descubrir cómo descentralizar todos los datos. Hay algunos proyectos interesantes en Cardano como Iagon, y en el ecosistema más amplio, proyectos como IPFS y Filecoin que están investigando estos temas, pero llevará tiempo resolverlos. Sin embargo, creo que esta es una de las aplicaciones más importantes y proyectos como el protocolo App lo están llevando al siguiente nivel, mejorando y perfeccionando los protocolos anteriores que hemos tenido en el Fediverso, como los Gabs y los Mastodons, para corregir esas deficiencias que tenemos con cosas como ActivityPub o ActivityHub, no recuerdo el nombre del protocolo predecesor que usa el Fediverso. En fin, espero que esto haya sido útil. Ha sido un día emocionante y, bueno, ten cuidado con lo que lees, supongo. ¡Saludos!