federAIfederAI
Entrar
Volver a Explorar
ConceptoInstitucionalIdentidad y CVBásico

¿Cómo se entrega una credencial? Panorama

6 minVerificado · 2026-05-17

Una credencial verificable necesita pasar del emisor (un gobierno, una universidad, un colegio profesional) al titular (el ciudadano, en su wallet). Ese proceso se llama emisión. Es uno de los tres flujos centrales del modelo SSI, junto con la presentación (cuando el titular muestra una credencial) y la revocación (cuando el emisor la invalida).

A diferencia de los modelos tradicionales, donde una credencial digital se "guarda en una base de datos del emisor", aquí la credencial se firma y se transfiere al titular, que la queda como suya. El emisor no retiene una copia operativa: una vez emitida, la credencial vive en el dispositivo del usuario.

El escenario típico

Imaginá que un gobierno provincial quiere emitir el certificado "Vecino Adherente" a 50.000 personas que se registraron en un trámite online previo. El proceso típico:

  1. 1
    Oferta. El sistema del emisor genera una oferta de credencial: un paquete que dice qué tipo de credencial está disponible para ese ciudadano específico (sus datos, su perfil, sus permisos). La oferta lleva un código único de un solo uso.
  2. 2
    Notificación. El emisor envía al ciudadano un link o un código QR. Puede ir por email, por SMS, o desde un trámite presencial donde un funcionario lo muestra en pantalla.
  3. 3
    Aceptación. El ciudadano abre su wallet. La wallet escanea el QR o sigue el link, identifica al emisor y le muestra al usuario qué credencial está por recibir, qué datos contiene y de quién viene.
  4. 4
    Pedido formal. Si el ciudadano acepta, la wallet le pide al sistema del emisor la credencial, presentando el DID del ciudadano para que figure como titular.
  5. 5
    Emisión. El sistema del emisor firma criptográficamente la credencial con su clave privada y la envía a la wallet.
  6. 6
    Almacenamiento. La wallet guarda la credencial en el dispositivo del ciudadano. Queda lista para presentar cuando la necesite, sin más coordinación con el emisor.

Todo el proceso típicamente toma entre 5 y 15 segundos, desde escanear el QR hasta ver la credencial guardada en la wallet.

Estándares que mueven todo

Detrás de esos seis pasos hay un protocolo abierto que define los mensajes que se intercambian entre el sistema emisor y la wallet. El estándar dominante para gobiernos hoy es OID4VCI (OpenID for Verifiable Credential Issuance), desarrollado por la OpenID Foundation —la misma organización que estandariza el login con Google, Microsoft y Apple.

Que el protocolo sea estándar significa una cosa importante: cualquier wallet compatible con OID4VCI puede recibir credenciales de cualquier emisor compatible. No hay acuerdos previos, ni white-listing, ni integraciones específicas. Si tu wallet entiende OID4VCI y el sistema del emisor también, las credenciales fluyen.

Dos variantes del protocolo

OID4VCI ofrece dos formas de hacer la emisión, según si el ciudadano ya está autenticado o no:

Pre-Auth (pre-autorizado)

El emisor ya autenticó al ciudadano en un paso previo (por ejemplo: un trámite online completado, una cita presencial con un funcionario). Entrega un código de un solo uso. La wallet lo intercambia por la credencial sin requerir login adicional.

Apropiado para: emisión masiva del sector público, donde miles de ciudadanos completan un trámite y luego reclaman su credencial.

Auth Code

El ciudadano se autentica en el momento, vía OAuth o login. La wallet pide la credencial después de que el sistema del emisor confirma la identidad.

Apropiado para: emisión interactiva, donde el ciudadano accede a un portal, se loguea, y solicita la credencial en el momento.

Para emisión masiva del sector público —el caso típico para infraestructura digital pública— se usa Pre-Auth. El ciudadano completa un trámite (a veces presencial, a veces online), recibe un QR o un link y reclama la credencial cuando le es conveniente.

El rol de la wallet

La wallet no es un simple "buzón": valida activamente la oferta antes de aceptar la credencial. Específicamente:

  1. Identifica al emisor — resuelve su DID y comprueba que es quien dice ser.
  2. Lee la metadata — qué tipo de credencial es, qué datos lleva, qué privacidad ofrece (selectiva o no), si es revocable.
  3. Muestra al usuario — antes de aceptar, le presenta al usuario un resumen claro: emisor, tipo, datos. El usuario decide si la quiere o no.
  4. Firma el pedido — la wallet firma criptográficamente la solicitud con la clave del DID del titular, demostrando que efectivamente controla ese DID.

Sin esta verificación de la wallet, cualquier sistema podría intentar "regalarle" al usuario una credencial falsa. La validación bidireccional —emisor verifica al holder, holder verifica al emisor— es lo que hace seguro al flujo.

Diferencia con un PDF firmado

Un PDF firmado digitalmente también lleva una firma criptográfica del emisor. La diferencia importante con una credencial verificable:

  • Un PDF es monolítico: o lo mostrás entero o no lo mostrás.
  • Una credencial verificable soporta divulgación selectiva: el holder puede revelar solo los campos necesarios para una presentación específica.
  • Un PDF se valida abriéndolo con un visor que lee la firma; una VC se valida automáticamente por cualquier sistema que entienda el estándar.
  • Una VC puede ser revocada sin que el holder lo sepa hasta que intente usarla; un PDF firmado nunca expira automáticamente.

Relacionados

Tagsemisionvcoid4vcibasics