Development
12 min read
1398 views

Túneles de Soberanía Propia: Usando DIDs para Sustituir Tokens de Autenticación Centralizados

IT
InstaTunnel Team
Published by our engineering team
Túneles de Soberanía Propia: Usando DIDs para Sustituir Tokens de Autenticación Centralizados

Dete9n la confianza en proveedores externos con tus tokens de autenticacif3n. Aqued te mostramos cf3mo la Identidad Soberana (SSI) y los Identificadores Descentralizados (DIDs) este1n habilitando una nueva generacif3n de túneles peer-to-peer — donde tu cartera de identidad es la fanica “inicio de sesif3n” que necesitare1s.

Introduccif3n: El Cambio del Tf3pico hacia Tf3neles Centralizados

Durante la mayor parte de los primeros af1os 2020, el conjunto de herramientas para exponer localmente a pfablico estuvo dominado por unos pocos proveedores de “tf3neles como servicio” centralizados. ngrok, Cloudflare Tunnel y sus contempore1neos se convirtieron en nombres familiares en los círculos de desarrolladores. Conveniente, sed. Pero con un fallo arquitectf3nico credtico: el proveedor se convirtif3 en el portero de tu identidad.

Para abrir un tf3nel, necesitabas una cuenta. Para autenticarte, un Bearer Token almacenado en un archivo .yml. Si la base de datos de ese proveedor era vulnerada — o si accidentalmente commiteaste tu configuracif3n en un repositorio pfablico — el punto de entrada de tu entorno local quedaba completamente expuesto.

La industria este1 ahora en un proceso de correccif3n fundamental. Los desarrolladores ya no alquilan identidades a proveedores; traen las suyas propias. Esta es la era de los SSI-Tunnels — apretones de manos criptogre1ficos entre entidades soberanas, construidos sobre Identificadores Descentralizados (DIDs) y redes peer-to-peer, sin necesidad de intermediarios.

bfQue9 es la Identidad Soberana?

Antes de profundizar en los túneles, es u00fatil entender la base me1s amplia que se este1 construyendo debajo de ellos.

La Identidad Soberana (SSI) es un modelo de gestif3n de identidad que otorga a las personas y sistemas la propiedad y control total de sus identidades digitales sin depender de una autoridad central. Como lo establece el Especificacif3n de Identificadores Descentralizados (DIDs) v1.0 del grupo de trabajo W3C DID, un DID es un nuevo tipo de identificador globalmente fanico que permite una identidad digital verificable y descentralizada — controlada por el propietario, no por una corporacif3n o registro gubernamental.

La arquitectura SSI se sustenta en tres participantes:

  • Holder — la entidad (persona, servidor o dispositivo) que crea y controla un DID mediante una cartera digital y recibe Credenciales Verificables.
  • Issuer — la autoridad que emite Credenciales Verificables firmadas criptogre1ficamente sobre el titular.
  • Verifier — la parte que verifica la credencial sin necesidad de contactar directamente al emisor.

Este “tri00e1ngulo de confianza” sustenta todo, desde diplomas digitales y registros de salud hasta, cada vez me1s, flujos de autenticacif3n en herramientas para desarrolladores.

El mercado SSI refleja este impulso. Segfan proyecciones recientes, se espera que el mercado global de SSI pase de aproximadamente $3.49 mil millones en 2025 a un extraordinario $1.15 billones para 2034, con una tasa de crecimiento anual compuesta superior al 90%. Ya sea que esa prediccif3n sea exacta o no, la señal direccional es clara: la identidad descentralizada se este1 convirtiendo en infraestructura.

bfQue9 es un SSI-Tunnel?

Un SSI-Tunnel es un puente de red seguro y encriptado establecido entre dos puntos finales — generalmente una me1quina local de desarrollador y un cliente remoto — donde la autenticacif3n se maneja exclusivamente a trave9s de protocolos SSI.

A diferencia de los tf3neles tradicionales que dependen de un servidor rele1 para validar una clave API, un SSI-tunnel usa un Identificador Descentralizado (DID) para demostrar la propiedad de un punto final. No hay cuenta que crear, ni token que almacenar, ni base de datos de proveedor que pueda ser vulnerada.

Componentes Clave

DIDs (Identificadores Descentralizados) Un este1ndar del W3C para una nueva clase de identificadores que habilitan una identidad digital verificable y soberana. Cada DID se resuelve en un Documento DID que contiene las claves pfablicas necesarias para la verificacif3n.

La Cartera de Identidad Una CLI o aplicacif3n que contiene tus claves privadas y firma los desafedos de autenticacif3n. Piensa en ella como tu clave de seguridad hardware, pero para internet abierto.

KERI (Infraestructura de Recepcif3n de Eventos Clave) Propuesto por Samuel M. Smith y documentado en arXiv:1907.02143, KERI proporciona un protocolo sin libro mayor para gestionar rotaciones de claves y establecer una “Raf1z de Confianza” sin requerir una blockchain para cada evento de autenticacif3n. KERI introduce Identificadores Autonf3micos (AIDs) — identificadores auto-certificantes vinculados a pares de claves criptogre1ficas en el inicio, con un Registro de Eventos de Claves (KEL) de solo anexado y encadenado por hash que cualquier par puede verificar independientemente.

libp2p (Transporte P2P) La pila de red subyacente, originalmente desarrollada para IPFS y ahora ampliamente adoptada en el ecosistema descentralizado. Maneja la traversaf3n NAT (“hole punching”) para conectar dos me1quinas tras firewalls directamente, sin enrutar el tre1fico a trave9s de un servidor rele1.

La Muerte del Token de Autenticacif3n

Durante af1os, el ngrok-auth-token fue un cebo muy conocido. Una pipeline de CI/CD mal configurada, un archivo .env commiteado accidentalmente, o una brecha en la base de datos del proveedor — y tu entorno de desarrollo local se converteda en una puerta abierta a tu red interna.

En un SSI-Tunnel, no existe un token de autenticacif3n persistente. La conexif3n sigue un flujo de Zero-Trust:

  1. Solicitud — Un cliente intenta conectarse a tu direccif3n de tf3nel.
  2. Desafedo — El software del tf3nel emite un desafedo criptogre1fico (nonce).
  3. Firma — Inicias sesif3n firmando ese desafedo con la clave privada de tu Cartera de Identidad.
  4. Verificacif3n — El cliente verifica la firma contra tu Documento DID pfablico, resoluble mediante un DHT o una blockchain como Polygon o Cheqd.

Sin contrasef1a. Sin base de datos de proveedor. Sin punto central de fallo.

La Pila Te9cnica en Profundidad

Establecer un tf3nel sin un proveedor centralizado requiere resolver dos problemas fundamentales: identidad y conectividad.

La Capa de Identidad: DIDs y KERI

La industria ha migrado de sistemas de identidad “con libro mayor pesado” para tareas de red. Los primeros SSI dependedan de escribir cada cambio de clave en una blockchain — costoso, lento y operacionalmente fre1gil. KERI ofrece una alternativa me1s pre1ctica.

Con KERI, cuando inicias un tf3nel, tu CLI genera un Registro de Eventos de Claves (KEL). Este registro es una secuencia encadenada por hash de eventos — Inicio, Rotacif3n, Interaccif3n — anclada en ningún libro mayor externo. Debido a que el registro es verificable al final, cualquier par puede confirmar tu identidad reproduciendo el registro. Sin necesidad de un Proveedor de Identidad (IdP). Sin llamada a una blockchain.

La infraestructura SSI del mundo real se este1 consolidando en torno a este modelo. Proyectos como Hyperledger Indy (bajo la Linux Foundation), la Fundacif3n Sovrin, y la Infraestructura de Servicios Blockchain Europea (EBSI) este1n desplegando activamente sistemas de credenciales verificables a escala — proporcionando la base probada sobre la cual los SSI-Tunnels pueden construirse.

La Capa de Conectividad: libp2p y Hole Punching

Sin un rele9 central, ¿cf3mo encuentran dos computadoras tras firewalls y NAT diferentes?

Los SSI-Tunnels usan descubrimiento de pares descentralizado basado en Tablas de Hash Distribuidas (DHTs). Tu túnel anuncia su DID en la DHT. Cuando un cliente quiere conectarse, busca el DID, obtiene la “multiaddress” mfaltiple (una combinacif3n estructurada de IP, puerto y protocolo), e inicia un apretf3n de mano STUN/TURN para atravesar el NAT — estableciendo una conexif3n directa sin enrutar el tre1fico a trave9s de un servidor rele1.

Comparacif3n de Enfoques

Caracteredstica Tf3nel Centralizado (Legado) SSI-Tunnel
Autenticacif3n Bearer Token / OAuth Firma DID / Cartera
Modelo de Confianza Confeda en el Proveedor Confeda en la Criptografeda
Ruta de Datos A trave9s del Servidor de Rele1 Peer-to-Peer (Directo)
Registro Lado del Proveedor (Opaco) Registros verificables KERI
Punto de Fallo Brecha en la base de datos del proveedor Ninguno (sin almacenamiento central)
Costo Suscripcif3n mensual Sin infraestructura / Open Source

Por que9 la Presif3n Regulatoria Este1 Impulsando Esta Transicif3n

Varias fuerzas convergentes — no solo preferencias de seguridad — hacen que los túneles autenticados por DID sean cada vez me1s necesarios, especialmente en industrias reguladas.

eIDAS 2.0 y la Cartera Europea de Identidad Digital

La regulacif3n revisada eIDAS de la UE (Reglamento EU 20241183), que entrf3 en vigor el 20 de mayo de 2024, exige que cada Estado Miembro de la UE ofrezca al menos una Cartera de Identidad Digital de la UE (EUDI Wallet) a ciudadanos y residentes para diciembre de 2026. Esta cartera debe soportar Credenciales Verificables, divulgacif3n selectiva de atributos y auditoredas criptogre1ficamente verificables.

Para desarrolladores en FinTech, MedTech o en cualquier contexto regulado en la UE, esto no es una aspiracif3n — es una fecha le9gal. Las organizaciones en servicios financieros, salud, telecomunicaciones e infraestructura digital deben aceptar autenticacif3n basada en wallets y generar registros de auditoreda compatibles. Los tf3neles rele1 de terceros, que enrutan tre1fico sin cifrar o logueado de forma opaca a trave9s de servidores del proveedor, son fundamentalmente incompatibles con estos requisitos.

La Comisif3n tambie9n adoptf3 este1ndares te9cnicos para la interoperabilidad de wallets transfronterizos en noviembre de 2024, dando a los desarrolladores un objetivo de especificacif3n concreto.

HIPAA y la Cadena de Custodia de Datos

En EE. UU., la gueda actualizada de HIPAA se centra cada vez me1s en el concepto de “cadena de custodia de datos” — la capacidad de demostrar, con certeza criptogre1fica, que9 accedif3 a que9 datos, cue1ndo y por que9 canal. Un proveedor de túneles de terceros que registre conexiones de forma opaca no puede ofrecer esto. Un SSI-Tunnel basado en KERI, donde cada evento de conexif3n este1 firmado en un Registro de Eventos de Claves inmutable, puede.

Seguridad Post-Cue1ntica: Una Preocupacif3n Real y Actual

Los tokens de autenticacif3n tradicionales — y las firmas RSA o ECDSA que sustentan la mayoreda del TLS moderno — son vulnerables a una clase de ataques conocidos como “recolectar ahora, descifrar luego,” donde un adversario almacena tre1fico encriptado hoy, planeando descifrarlo cuando exista una computadora cue1ntica criptogre1ficamente relevante.

Esto ya no es una amenaza futura tef3rica. NIST finalizf3 sus primeros tres este1ndares de Criptografeda Post-Cue1ntica (PQC) en agosto de 2024:

  • FIPS 203 (ML-KEM, derivado de CRYSTALS-Kyber) — para encapsulamiento de claves y cifrado.
  • FIPS 204 (ML-DSA, derivado de CRYSTALS-Dilithium) — el este1ndar principal para firmas digitales resistentes a cue1nticos.
  • FIPS 205 (SLH-DSA, derivado de SPHINCS+) — esquema de firma de respaldo basado en hash.

Un cuarto este1ndar, FIPS 206 (FN-DSA, derivado de FALCON), este1 avanzando en el proceso de estandarizacif3n y es particularmente relevante para SSI-Tunnels: FALCON produce firmas compactas adecuadas para autenticaciones de alto rendimiento — exactamente la carga de trabajo que los apretones de manos en túneles representan.

En marzo de 2025, NIST tambie9n seleccionf3 HQC como un quinto algoritmo, proporcionando un KEM basado en cf3digo adicional como respaldo a ML-KEM.

Las implementaciones modernas de SSI-Tunnel pueden incorporar firmas PQC (ML-DSA o FN-DSA) directamente en el Documento DID, asegurando que los apretones de manos de autenticacif3n permanezcan seguros contra adversarios tanto cle1sicos como cue1nticos. Esto es una propiedad que ningfan sistema basado en Bearer Token puede ofrecer.

La Ventaja Forense: Redes Listas para Auditoreda

Una de las caracteredsticas me1s operativas de SSI-Tunnels es su inherente capacidad de auditoreda.

En un modelo de túnel basado en proveedor, confedas en que los registros del proveedor sean precisos — pero no puedes verificarlos de forma independiente. El proveedor controla el registro. En un modelo SSI, el Registro de Eventos de Claves (KEL) es el registro. Es solo de anexado, encadenado por hash y verificable de forma independiente por cualquier parte que tenga el registro y la clave de inicio del DID.

Para un desarrollador de FinTech depurando un problema en la base de datos de produccif3n a trave9s de una sesif3n de túnel, esto significa que puedes demostrar a un auditor de cumplimiento — con prueba criptogre1fica — que solo un DID autorizado y especedfico accedif3 al sistema durante esa sesif3n. El registro no es un informe generado post-facto; es una propiedad estructural del protocolo.

Esto se relaciona directamente con la categoreda “Acreditacif3n Electrf3nica de Atributos” recientemente definida en eIDAS 2.0, donde los servicios de confianza deben proporcionar registros criptogre1ficamente verificables de las interacciones.

Un Flujo de Trabajo Conceptual

Mientras las herramientas de produccif3n continfaan madurando, el flujo de trabajo para un SSI-Tunnel difiere fundamentalmente del modelo basado en cuentas:

Paso 1: Iniciar tu DID

En lugar de ngrok config add-authtoken <token>, generas una identidad controlada localmente:

# Genera un nuevo Identificador Autonf3mico basado en KERI
ssi-tunnel identity create --name "nodo-dev-local"
# Salida: did:keri:Emkr4SGBXRoRPiWXW3GR7Q...

Paso 2: Establecer el Tf3nel

Defines el puerto local a exponer y lo vinculas a tu DID:

# Inicia un tf3nel P2P vinculado a tu identidad DID
ssi-tunnel share http://localhost:3000 --id did:keri:Emkr4SGBXRoRPiWXW3GR7Q...
# Tf3nel activo en: did:keri:Emkr4SGBXRoRPiWXW3GR7Q.tunnel

Paso 3: Autenticacif3n del Par

Cuando un colaborador o cliente desea conectarse, su entorno no solo “accede” a la URL. Su cliente realiza un apretf3n de manos DIDAuth:

  1. El cliente enveda una Solicitud DIDAuth con un desafedo criptogre1fico (nonce).
  2. Tu me1quina local enveda una notificacif3n a tu Cartera de Identidad.
  3. Aprobas la conexif3n.
  4. La respuesta firmada se verifica contra tu Documento DID pfablico.
  5. Se establece el flujo P2P — directamente, sin enrutar a trave9s de rele1.

Todo el intercambio se registra en el KEL en ambos lados.

Infraestructura SSI en el Mundo Real: Lo que Ya Existe

El concepto de SSI-Tunnel no se basa en hipf3tesis. Hereda de una infraestructura de produccif3n que ya este1 desplegada:

  • Hyperledger Indy / Aries (Linux Foundation) — una implementacif3n blockchain disef1ada para identidad descentralizada, con un marco de agentes para intercambio de credenciales. Usada por gobiernos y empresas globalmente.
  • Red Sovrin — infraestructura SSI de cf3digo abierto usando un libro mayor permissionado para Credenciales Verificables.
  • EBSI (Infraestructura de Servicios Blockchain Europea) — iniciativa paneuropea que soporta diplomas digitales, identidad transfronteriza y servicios gubernamentales, respaldando directamente el cumplimiento de eIDAS 2.0.
  • ID Union (Alemania) — red de identidad descentralizada que involucra bancos, universidades y organismos gubernamentales.
  • MyData de Finlandia — marco de datos personales controlado por el ciudadano que opera en produccif3n en servicios pfablicos y privados.

No son pruebas de concepto. Son la capa de infraestructura sobre la cual las herramientas de desarrollo autenticadas por DID pueden construirse hoy.

Limitaciones y Advertencias Honestamente Reconocidas

Una evaluacif3n credbles requiere reconocer en que9 aspectos los SSI-Tunnels este1n en proceso de maduracif3n:

Brecha de usabilidad. Gestionar claves criptogre1ficas, Documentos DID y carteras de identidad sigue siendo tecnolf3gicamente desafiante. La transicif3n coloca la responsabilidad de la seguridad de las claves en el desarrollador o usuario — perder tu clave privada, y la recuperacif3n no es trivial. Las contrasef1as tradicionales son malas; las claves perdidas, peor.

Fragmentacif3n en interoperabilidad. Existen mfaltiples me9todos DID (did:web, did:key, did:keri, did:ion, etc.), y no todos interoperan de manera limpia. La falta de un protocolo universal crea fricciones en el ecosistema.

Inmadurez de las herramientas. La herramienta de SSI-Tunnel de grado productivo este1 en etapa de desarrollo. Los desarrolladores que adopten este patrf3n hoy son pioneros que construyen sobre bibliotecas y protocolos, no productos pulidos.

Escalabilidad de sistemas basados en KERI. Aunque KERI evita la sobrecarga de blockchain para conexiones individuales, la infraestructura de testigos de alta frecuencia requiere un disef1o operacional cuidadoso.

Equidad digital. Los sistemas SSI asumen acceso confiable a internet, dispositivos compatibles y alfabetizacif3n digital suficiente. Esto es una limitacif3n genuina incluso en un contexto enfocado en desarrolladores.

Lo Que Viene Despue9s

La trayectoria este1 clara aunque el cronograma sea incierto:

Soporte nativo de DID en navegadores. Existen propuestas en el W3C para que los navegadores manejen de forma nativa los apretones de manos DIDAuth, eliminando la necesidad de clientes CLI separados en el lado del usuario final. La obligatoriedad de eIDAS 2.0 para integrar Wallets EUDI en grandes plataformas en 2027 acelerare1 esto.

Identidad autf3noma para microservicios. Los servidores usare1n DIDs para negociar conexiones entre sed, avanzando hacia una capa de infraestructura verdaderamente “sin proveedor”.

Descubrimiento descentralizado de servicios. Nombres legibles por humanos mapeados a DIDs mediante servicios de nombres descentralizados (ENS, espacios .did) reemplazare1n el modelo de subdominios aleatorios que dependen los proveedores actuales.

Documentos DID con PQC nativo. A medida que la adopcif3n de ML-DSA y FN-DSA se acelere tras la finalizacif3n de NIST en 2024, se espera que las implementaciones DID incluyan tipos de claves post-cue1nticas por defecto en lugar de opciones.

Conclusif3n

La transicif3n a SSI-Tunnels es me1s que una actualizacif3n de seguridad — es una correccif3n estructural a un error arquitectf3nico de una de9cada de antigfcedad. Los proveedores centralizados se insertaron como guardianes de identidad no porque la tecnologeda lo requiriera, sino porque las herramientas para hacer lo contrario no existedan. Esa herramienta ahora existe, o se este1 construyendo re1pidamente.

El este1ndar DID del W3C este1 finalizado. KERI este1 especificado y en desarrollo activo. Los este1ndares criptogre1ficos post-cue1nticos de NIST este1n publicados. eIDAS 2.0 es ley. Las industrias reguladas que representan los casos de uso me1s valiosos para desarrolladores este1n convergiendo en las propiedades exactamente — registros verificables, identidad soberana, sin punto central de fallo — que los SSI-Tunnels ofrecen por disef1o.

Tu token de autenticacif3n siempre fue una responsabilidad. Tu cartera de identidad es una prueba criptogre1fica. La diferencia importa.

Lecturas adicionales: Especificacif3n de Nf3mina DID Core del W3C · Documento del Protocolo KERI (arXiv:1907.02143) · Este1ndares de Criptografeda Post-Cue1ntica de NIST · Reglamento eIDAS 2.0 (EU 20241183) · Hyperledger Indy · Fundacif3n Sovrin

Related InstaTunnel pages

Continue from this article into the most relevant product guides and workflows.

Localhost tunnel guideExpose a local app securely with a public URL for QA, demos, mobile testing, and integrations.Plans and limitsCompare Free, Pro, and Business limits for tunnels, MCP endpoints, bandwidth, and teams.Trust and security centerReview security controls, reliability practices, status references, and operational safeguards.InstaTunnel documentationRead setup steps, CLI commands, webhook guides, MCP usage, and troubleshooting workflows.

Related Topics

#self-sovereign tunneling, DIDs, decentralized identifiers, self-sovereign identity, SSI, centralized auth tokens, replace auth tokens, decentralized authentication, Web3 identity, zero trust architecture, secure tunneling, identity and access management, IAM, passwordless authentication, cryptographic identity, verifiable credentials, VPN alternatives, peer-to-peer networking, decentralized security, JWT alternatives, OAuth alternatives, API security, network security, blockchain identity, self-managed identity, DID authentication, secure access service edge, SASE, zero trust network access, ZTNA, access control, digital identity, web3 authentication, distributed ledger technology, privacy-preserving auth, decentralized infrastructure, identity verification, cyber security, next-gen authentication, decentralized PKI, DPKI, trustless networking, secure data transit, tokenless authentication, tokenless security, self-sovereign data, identity management, edge computing security, secure remote access, micro-segmentation, decentralized access control, identity wallet, identity architecture, secure communications

Keep building with InstaTunnel

Read the docs for implementation details or compare plans before you ship.

Read DocumentationView Pricing

Share this article

Share on XShare on LinkedIn

More InstaTunnel Insights

Discover more tutorials, tips, and updates to help you build better with localhost tunneling.

Browse All Articles