La wallet de identidad digital europea: ¿ahora sí sabremos que hacen con nuestros datos personales?
El concepto de “Identidad Autosoberana” promete dejar en el pasado acciones como “mandar fotos de la cédula”, para empezar a enviar solamente los datos estrictamente necesarios: edad, título universitario, representación legal, entre otros, con verificabilidad criptográfica. Este esquema ya fue acogido normativamente por Europa con el Reglamento eIDAS 2, marcando un nuevo paradigma en materia de identidad digital.
¿Por qué este nuevo concepto de identidad autosoberana es un avance significativo?
La tecnología ha avanzado considerablemente y muchos trámites ahora se pueden hacer de manera digital; sin embargo, sigue resultando engorroso para las personas que en distintos trámites electrónicos (tanto con entidades públicas como privadas) siempre se termine solicitando lo mismo: foto de la cédula, selfie, certificado, PDF, “pantallazo”. El hecho de entregar esta información varias veces, de la misma forma, se debe no a la “falta de tecnología”, sino a algo más básico: la identidad digital sigue siendo, en muchos casos, un “parche”.
En teoría, vivimos en una era donde se puede abrir una cuenta bancaria desde el celular, firmar documentos sin imprimirlos y consultar servicios del Estado sin hacer fila. En la práctica, seguimos operando con una identidad fragmentada: un usuario para el banco, otro para el correo, otro para la EPS, otro para la universidad, etc.; y cuando un tercero quiere “estar seguro”, no valida atributos, valida capturas. Ese modelo genera fricción, expone datos y vuelve el fraude más rentable.
El contexto global confirma que esto ya no es marginal. En la Unión Europea, según datos de estadística de Eurostat, se encontró que en 2024 el 70 % de la población entre 16 y 74 años usó la web o una app de una autoridad pública en los 12 meses anteriores. Es decir, la relación “ciudadano–Estado” ya es digital para la mayoría, y por eso la identidad dejó de ser un detalle técnico: se volvió infraestructura.
Con esa realidad de fondo, Europa decidió pasar de la recomendación a la obligación. Lo hizo con eIDAS 2, que crea la European Digital Identity Wallet (EUDI Wallet) como pieza central, permitiendo la construcción de una nueva forma de identificación digital. Esta innovación, con sus pros y contras, abre preguntas inevitables: ¿es la identidad autosoberana el camino correcto para la identificación digital? ¿Colombia se encuentra preparada para acoger un esquema de identidad autosoberana?
Para responder a estas preguntas, lo más importante es entender el concepto de identidad digital, cómo impacta en la vida diaria y cuáles son los cambios que se generan cuando esa identidad se vuelve autosoberana, como lo propone la Unión Europea.
Aclarando conceptos: identidad digital, autenticación y qué significa “autosoberana”
Para no perderse, conviene separar tres ideas que suelen mezclarse. En primer lugar, la identidad digital es el conjunto de datos y señales que representan a una persona en entornos electrónicos. A veces se asocian a datos reales de la persona (como el nombre o el número de cédula), y a veces es una máscara útil (un seudónimo, una cuenta). Lo importante es que, en lo digital, la pregunta cambia: no es solo “¿quién eres?”, sino también “¿cómo lo pruebo?”.
Justamente, para poder probar y corroborar esa identidad digital, se utiliza el concepto de autenticación, que es el acto de demostrar que una persona es quien dice ser (o que controla una cuenta electrónica, bien sea de correo electrónico, de una red social, etc.). En la vida diaria, la autenticación se hace con una contraseña, preguntas reto, un OTP, un token, biometría facial o dactilar, o una combinación de varios de los factores indicados.
Al conocer la definición de autenticación, se puede comprobar que la mayoría de las personas se autentican en la vida diaria, al desbloquear el celular, acceder a un correo electrónico, ingresar a una red social o para hacer transacciones a través de una banca virtual. Cada una de estas empresas, bien sea el proveedor de correo (como Google o Microsoft), el fabricante de celular (Apple, Samsung o Xiaomi), las redes sociales (X, Instagram o Snapchat), o los distintos bancos, almacenan la información de autenticación de las personas; en otras palabras, todos ellos tienen las huellas, el rostro, las claves y los patrones de sus usuarios.
Este esquema de autenticación actual tiene, al menos, dos inconvenientes: el primero es que se exige cada vez más que la persona tenga métodos de autenticación para prácticamente todo y el segundo es que aun con la autenticación, no se brinda toda la información requerida.
Respecto del primer punto, las personas deben autenticarse con su cuenta de correo, de red social, huellas, rostro o creando un nuevo usuario y contraseña, dejando más información de la que realmente se necesita; al mismo tiempo (y de manera paradójica) la autenticación muchas veces no brinda los datos necesarios para ciertos trámites, pues una persona podrá comprobar quién es, pero no podrá certificar, por ejemplo, que tiene un título profesional y se encontrará en el deber de cargar su respectivo diploma y tarjeta profesional luego de autenticarse.
Para solucionar estos inconvenientes aparece la Identidad Autosoberana (Self-Sovereign Identity, SSI) como enfoque: en lugar de que la identidad esté “custodiada” por una o múltiples plataformas (como cuentas de correo o redes sociales), ahora se busca que sea la misma persona la que pueda recibir y portar credenciales verificables emitidas por terceros confiables (Estado, universidad o empresa), guardarlas en una wallet y presentarlas a un verificador cuando sea necesario.
En el ecosistema de identidad autosoberana se habla normalmente de tres roles: titular (la persona), emisor (quien certifica algo sobre la persona) y verificador (quien lo valida), lo cual implica un cambio de repositorios centralizados a credenciales portables.
¿Por qué esta diferencia importa para el ciudadano común? Porque la identidad autosoberana (bien implementada) permite algo muy simple: probar lo mínimo necesario. Si un servicio solo necesita saber que una persona es mayor de edad, no tendría por qué quedarse con la fecha completa de nacimiento o una foto del documento.
Como se observa, esto permite una mayor privacidad del dato, pues ya no es necesario que se comparta la copia completa del documento de identidad solo para probar la mayoría de edad, ni tampoco será necesario compartir múltiples documentos para acreditar que se tiene una cualificación especial, como ser profesional o tener permiso de conducción.
Un dato reciente evidencia que este cambio no solamente es práctico, sino también necesario: el Entrust Identity Fraud Report 2024 indicó que los documentos de identificación de las personas fueron el tipo de documento más atacado por defraudadores, representando 46,8 % del fraude documental observado. En pocas palabras: el modelo de “mándeme foto del documento” ya no es solo incómodo; es un imán para fraude.
Europa y eIDAS 2: ¿qué es? ¿qué cambia? y ¿quién hace qué?
eIDAS nació en 2014 (Reglamento (UE) 910/2014) como marco para la identificación electrónica y servicios de confianza (firmas, sellos, certificados, sellado de tiempo, etc.), regulando aspectos similares a los de la Ley 527 de 1999 y las entidades de certificación digital en Colombia. Sin embargo, la experiencia real en Europa mostró un límite: había identificación electrónica, sí, pero no se convirtió en una llave transversal para el día a día, especialmente fuera del sector público.
Por eso llega eIDAS 2, a través del Reglamento 2024/1183, que reforma el marco anterior e introduce formalmente la European Digital Identity Wallet (EUDI Wallet). El objetivo es que cualquier persona pueda contar con una billetera digital para identificarse, autenticarse, almacenar y presentar atributos, y que el ecosistema tenga reglas comunes de interoperabilidad, seguridad y aceptación transfronteriza.
El European Digital Identity Framework entró en vigor en mayo de 2024, y cada Estado miembro deberá ofrecer al menos una versión de la EU Digital Identity Wallet, basada en especificaciones comunes, para 2026. Esa “wallet” no es un simple monedero de documentos, dado que la promesa normativa es más ambiciosa: validación de identidad en medios digitales, compartir datos de manera selectiva y firmar documentos digitales dentro de un marco regulado.
Lo anterior significa que el nombre “wallet” no se escogió solamente por ser llamativo, sino porque en parte quiere asimilar lo que sucede con las billeteras físicas: si una autoridad pide la acreditación de identidad al ingresar a un edificio, la persona muestra la cédula, la autoridad lo comprueba y la persona vuelve a guardar la cédula, sin que al final quede una copia del documento en la recepción de la entidad.
Bajo este esquema, cada país de la Unión Europea queda encargado de proveer al menos una wallet y de sostener el esquema: supervisión, certificación, requisitos técnicos y mecanismos para que el ciudadano no dependa del capricho de un proveedor privado único.
El ecosistema se organiza con emisores de atributos (públicos o privados, según el caso), verificadores y prestadores de servicios de confianza (incluidos cualificados). La pieza central no es “una cuenta”, sino atributos verificables: licencias, diplomas, poderes de representación, afiliaciones, etc.
Los verificadores (por ejemplo, bancos, plataformas, universidades, proveedores de servicios) no pueden comportarse como hoy se comportan muchas apps: pidiendo de más “por si acaso”. En el diseño eIDAS 2, el verificador debe ser identificable y operar bajo reglas del ecosistema.
Puede que este cambio de esquema parezca, a simple vista, insignificante, pero encierra una gran relevancia para todos los ciudadanos: cambia el costo invisible de vivir en la era digital. Si la wallet funciona como se promete, el ciudadano debería sufrir menos fricción (menos trámites repetidos), ganar portabilidad (menos “re-registros” si cambia de proveedor o de país) y obtener verificabilidad real (menos dependencia de capturas, PDF y validaciones improvisadas).
Lo anterior también significa que habrá menos datos personales circulando, no se compartirán datos que no sean significativos e incluso puede que en algunos casos ni siquiera haya necesidad de compartir datos personales.
Ejemplos prácticos de la identidad autosoberana
De manera complementaria al contexto brindado anteriormente, a continuación se exponen algunos ejemplos que pueden ayudar a comprender mejor el concepto de identidad autosoberana:
1) Abrir una cuenta o contratar un servicio sin repetir validaciones de identidad.
El problema cotidiano es claro: distintas empresas piden la misma verificación (documento, selfie, datos), guardan copias en sus sistemas y el ciudadano repite el proceso una y otra vez. Con credenciales verificables, el banco podría pedir exactamente lo necesario: “esta persona existe”, “vive en Colombia”, “es mayor de edad”, “su documento está vigente”, y validar la veracidad de la información a través de criptografía.
2) Educación y empleo: títulos, certificaciones y experiencia verificable.
Hoy muchos procesos se resuelven con PDF: diplomas escaneados, certificados laborales o constancias. Una credencial verificable emitida por una universidad permitiría que el empleador valide autenticidad y vigencia sin tener que almacenar el documento completo, y sin que el trabajador pierda control sobre su uso.
3) Representación legal y trámites empresariales.
Uno de los dolores de cabeza más frecuentes es probar la representación de personas y empresas, debiendo presentar poderes, certificados y otros documentos, según sea el caso. Con atributos verificables emitidos por una fuente auténtica, muchas verificaciones podrían hacerse con mínima fricción. De nuevo, el valor no es “lo digital”, sino la verificabilidad.
Estos ejemplos son los que explican por qué Europa va a implementar este nuevo mecanismo de identidad autosoberana, entendiendo la wallet como un medio para identificarse, almacenar, compartir y firmar documentos digitales, con un estándar común.
Mientras tanto, ¿qué sucede en Colombia con identidad digital?
En materia de identidad digital, Colombia tiene bases jurídicas y piezas institucionales importantes. Desde la Ley 527 de 1999 se empezó a configurar un esquema de autenticación que hoy permite la firma de documentos electrónicos con la misma validez que los físicos; las personas pueden autenticarse por medios digitales, aceptar términos y condiciones con un clic, abrir cuentas bancarias desde su celular e ingresar a los edificios a través de su información biométrica, como las huellas o el rostro.
Además, Colombia viene consolidando una arquitectura de gobierno digital donde los Servicios Ciudadanos Digitales actúan como habilitadores transversales (interoperabilidad, carpeta ciudadana y autenticación), posibilitando que la relación ciudadano-Estado por medios electrónicos sea una realidad en muchos casos.
Para brindar seguridad tecnológica a este esquema, la Registraduría Nacional, a través de la Resolución 27145 de 2023, crea los “Operadores de Autenticación de Identidad Digital”, que permitirán la verificación de identidad a través de las bases de datos biométricas de la Registraduría, pudiendo validar huellas dactilares, el rostro y la cédula digital.
Colombia ya está construyendo un lenguaje normativo sobre identidad digital que se parece a lo que el ciudadano espera: menos fricción, más trazabilidad y límites al uso de datos. Así mismo, el hecho de contar con un esquema donde existen entidades de certificación digital, operadores autorizados por la Registraduría Nacional y servicios de autenticación brindados por la Agencia Nacional Digital, brinda seguridad al ciudadano y reduce riesgos de suplantación por medios electrónicos.
Sin embargo, lo anterior no quiere decir que el panorama de la identidad digital no esté exento de riesgos y retos. Según el informe Digital de Datareportal, con corte a octubre de 2025 el 77,8 % de los habitantes de Colombia ya tenía acceso a internet, lo cual significa que todavía más del 20 % de las personas se encuentran desconectadas y, por ende, no pueden tener una identidad digital.
A lo anterior se suman los inconvenientes derivados de falta de energía eléctrica o cortes de luz persistentes, ausencia de alcantarillado y agua potable, ausencia de programas de asistencia básica en salud, entre otros. Si las personas no tienen acceso a derechos básicos que son imprescindibles para una vida digna, la existencia o no de una identidad digital es un problema que pasa a segundo plano. En consecuencia, este sector de la población con dificultades de acceso a internet y servicios básicos será excluida de entornos virtuales y no podrá tener una identidad digital.
Además, el riesgo en el país no es solo exclusión, sino que también es la cibercriminalidad. Según el estudio de fraude realizado por Experian en el año 2025, las modalidades de fraude más significativas son las estafas en compras online y el fraude digital, lo cual significa que los entornos electrónicos siguen siendo ambientes de alto riesgo.
Este panorama de brecha digital, ausencia de servicios básicos e inseguridad en entornos digitales parece obstaculizar el fortalecimiento de esquemas de identidad digital; pese a ello, también es importante resaltar que, mirando en retrospectiva, el país tiene cada vez mejores cifras en conectividad, acceso a servicios y seguridad en entornos digitales, de tal forma que estos problemas, aunque deben tenerse en cuenta, no deben ser un freno para continuar avanzando en mecanismos de identidad digital.
Ahora bien, en Colombia no hay mecanismos regulatorios que creen una wallet al estilo europeo, aunque el marco normativo, a través de iniciativas de innovación pública y servicios ciudadanos digitales especiales, sumado a un diálogo y mecanismos de articulación e interoperabilidad entre los sectores público y privado, pueden ser los insumos iniciales para que en Colombia los ciudadanos también puedan empezar a conocer los esquemas de identidad autosoberana.
Dilemas y riesgos de la identidad autosoberana
El esquema de la wallet y la identidad autosoberana no es infalible y, por ende, también está sujeto a riesgos, críticas y revisiones, las cuales se deben estudiar a profundidad para evitar perjuicios a los usuarios de esta tecnología.
La primera crítica (más aplicable a países como Colombia que a los miembros de la Unión Europea), se refiere a la brecha digital y la exclusión. Si la wallet se convierte en requisito de facto para acceder a servicios esenciales, el resultado será la discriminación tecnológica. Las estadísticas de brecha digital y conectividad dadas anteriormente revelan que un esquema obligatorio de wallet trae consigo discriminación y exclusión.
A la par de lo anterior, también se deben tener canales alternativos permanentes, pues siempre se debe garantizar el derecho de libre elección tecnológica a aquellas personas que, aun cuando tengan acceso a la tecnología, decidan continuar utilizando mecanismos convencionales de identificación.
Otro riesgo es el relacionado con la protección de datos personales. El problema no es solo que se “filtren datos”, sino que se puedan correlacionar las interacciones de la persona: qué hace, con quién, cuándo, dónde. Esto implica que la construcción de la wallet y su interoperabilidad con otros sistemas debe evitar identificadores persistentes entre contextos y prohibir por diseño la solicitud de mayor información a la necesaria.
Como ya se observó, este inconveniente suele solucionarse en la identidad autosoberana, con divulgación selectiva y técnicas criptográficas, pero la confianza y la privacidad dependen de la implementación completa del ecosistema, no solo de la teoría.
Un tercer riesgo se relaciona directamente con la seguridad del dispositivo y la suplantación: cuando el celular se vuelve el documento de identificación, el ataque más probable es contra la misma persona: phishing, malware, ingeniería social, toma de cuenta, entre otras modalidades. Al respecto, ENISA (Agencia de la Unión Europea para la Ciberseguridad), en su informe Threat Landscape de 2025, resalta que el 80 % de los incidentes informáticos se originan por hacking; el phishing sigue siendo el vector de intrusión dominante (60 %) y existe un riesgo mayor en sistemas interconectados.
Por esta razón, entidades como el Centro de Respuesta a Incidentes de Seguridad de la Información de la Xunta de Galicia, recalcan que los hábitos de higiene digital en el marco del Eidas 2.0 serán cruciales. Dentro de estos hábitos se incluye el uso de dispositivos actualizados y seguros, el uso de mecanismos de autenticación fuerte, abstenerse de abrir mensajes sospechosos y la revisión de los datos que se comparten con terceros.
Desde el sector empresarial también se han identificado riesgos, oportunidades y situaciones que pueden dificultar el cumplimiento en la creación de una wallet. KPMG ha indicado que el desarrollo de esta tecnología es complejo y ello puede implicar retrasos en su entrada en operación. Así mismo, existen retos en materia de capacitación para ciudadanos y empresas y la readaptación de los procesos de autenticación e identificación actuales.
Edgar Dunn & Company, firma consultora especializada, resalta las bondades de la regulación, pero también señala retos en materia de interoperabilidad transfronteriza, la ejecución de pagos por internet con esta nueva tecnología y la seguridad de los denominados “Registros” (las entidades que albergan la información de identificación), pues si son víctimas de ataques cibernéticos habría un grave problema de filtración de datos de un numeroso grupo de ciudadanos.
Esta preocupación en torno a la seguridad es compartida por parte de compañías como Sectigo, quien además alerta que este nuevo esquema puede facilitar el espionaje de certificados y claves por parte de los gobiernos.
Como se observa, la creación de la wallet y la identidad autosoberana es un primer paso, pero todavía quedan muchas preguntas y retos que deben abordarse adecuadamente para evitar que las ventajas de esta nueva tecnología se diluyan en los riesgos señalados o en otros que puedan identificarse una vez las wallets inicien su funcionamiento.
Perspectivas a futuro en Colombia
El hecho de que Europa haya adoptado las wallets mientras que Colombia sigue con los sistemas de identificación digital tradicionales puede representar una oportunidad, más que un atraso. Si la tecnología se prueba primero en otros países brindará la oportunidad de verificar el funcionamiento del sistema, los inconvenientes, las brechas y la manera en la cual se mitigan riesgos.
Mientras este aprendizaje ocurre, Colombia debe seguir avanzando en la reducción de brechas digitales y sociales, que en este momento están impidiendo la adopción de una identidad digital en condiciones de equidad. Como se advirtió, esto no implica que los ciudadanos estén obligados a tener una identidad digital, pero sí significa que se les brinde una oportunidad real de elegir.
Otro avance que debe darse es en torno a la legislación de protección de datos: aunque ya ha habido distintas iniciativas en el Congreso para modernizar la normativa actual (Ley 1581 de 2012); hasta el momento ninguna ha sido aprobada, lo cual significa que el marco normativo no está suficientemente preparado, ni para la llegada de las wallets, ni para tecnologías como la inteligencia artificial.
También se debe profundizar en las medidas de ciberseguridad que se adoptarán para proteger los datos de colombianos, entendiendo que pueden estar en fuentes centralizadas: fortalecimiento de protocolos, adquisición de tecnologías de defensa, medidas anti-phishing, protección del dispositivo del ciudadano, capacitación en higiene digital, entre otros; son medidas obligatorias que deben ser un presupuesto para el inicio de esta nueva forma de identificación.
Finalmente, existe una pregunta ética que debe guiar el debate en torno a posibles cambios en el esquema de identificación digital: ¿La construcción de un nuevo esquema de identidad digital se realiza para que el ciudadano entregue menos datos y gane control de su información personal, o para hacer más eficiente la recolección masiva de información? El caso europeo nos revelará la respuesta, mientras tanto, para muchos, la identidad autosoberana no redefine solo cómo nos identificamos, sino cómo recuperamos la autoría de nuestra propia existencia digital.
Por Héctor García
