Las planillas son el problema: por qué la salud en Colombia necesita Verifiable Credentials

Hace un par de años tuve que comprar un antibiótico en una droguería famosa en Bogotá. El protocolo era el de siempre: llevar la fórmula, en físico o digital, y mostrarla al momento de pagar. Lo que no esperaba es que además me pidieran datos para consignarlos en un libro — una especie de minuta de venta de antibióticos. En la fila correspondiente quedaron mi cédula, mi nombre completo, mi celular, el número de identificación del médico que firmó la fórmula, su nombre, y el nombre de la entidad que la respalda — en mi caso, la EPS.

Salí pensando en lo absurdo del momento: un libro de papel, abierto sobre el mostrador, con los datos personales de cada persona que compró un antibiótico ese día, accesibles a la siguiente persona en la fila. Pero ese librito es solo el síntoma más visible de un problema mucho más grande: el sistema de salud colombiano funciona sobre planillas, y cada planilla es una oportunidad de corrupción.

Llevo pensando en esto desde 2023, cuando empecé un borrador que nunca terminé. Lo que cambió desde entonces no es la tecnología — los Verifiable Credentials del W3C ya existían, y desde mayo de 2025 la versión 2.0 es oficialmente una Recomendación del W3C — sino el costo político de no hacer nada. En 2024 la SuperSalud terminó con ocho EPS bajo intervención forzosa, que en conjunto administran la salud de más de 25 millones de colombianos. El patrón hizo evidente que la fragilidad del sistema no es solo financiera: es informacional.

El verdadero problema son las planillas

Para un colombiano la palabra “planilla” significa cosas distintas dependiendo del contexto. En el sistema de salud están, por lo menos:

  • PILA — la planilla integrada de liquidación de aportes. La paga el empleador o el independiente, y le da entrada al sistema.
  • MIPRES — la plataforma del MinSalud para autorizar medicamentos y procedimientos no incluidos en el plan de beneficios. En la práctica, una planilla digital con autorizaciones que las EPS deben honrar.
  • Recobros a ADRES — las cuentas que las EPS le cobran al Estado por servicios que prestaron. Históricamente la mayor herida abierta del sistema.
  • Incapacidades — la planilla que un médico llena para certificar que alguien no puede trabajar, y que termina convertida en plata desembolsada por la EPS o la ARL.
  • Afiliaciones — la lista de personas inscritas a cada EPS, sobre la cual se calcula la UPC (la plata que el Estado le gira a la EPS por cada afiliado).

Todas tienen algo en común: son planillas centralizadas, y la información que contienen vale plata. Mucha plata. Y como toda planilla necesita un humano que la firme y un sistema que la valide, en cada paso hay un punto donde la corrupción puede entrar.

La historia ya la conocemos

El caso canónico es Saludcoop: la EPS más grande del país, intervenida en mayo de 2011 y liquidada años después tras una desviación que la Contraloría calculó en más de 1.4 billones de pesos a través de recobros inflados, sociedades vinculadas y servicios facturados que nunca se prestaron. Sus afiliados pasaron a Cafesalud, después a Medimás, y la historia se repitió: en 2019 la Supersalud ordenó la liquidación de Cafesalud por la Resolución 7172, y en marzo de 2022 la propia Medimás fue intervenida para liquidar, con más de 1.5 millones de afiliados a cuestas.

En abril de 2024 la SuperSalud intervino a Sanitas y a Nueva EPS — y para finales de año la lista llegaba a ocho EPS intervenidas en total: SOS, Asmet Salud, Famisanar, Emssanar, Savia Salud y EPS Familiar de Colombia se sumaron a las dos primeras. Las razones varían pero el patrón se repite: cuentas opacas, glosas no resueltas, afiliados que no encuentran sus medicamentos. Y en cada uno de esos escándalos hay planillas — planillas de afiliados, planillas de recobros, planillas de autorizaciones — que la EPS le presenta al Estado, que el Estado en general no puede verificar de forma independiente, y que el ciudadano ni siquiera sabe que existen.

El problema de fondo es estructural: quien produce la información es quien se beneficia de ella, y quien debería verificarla — el Estado, el ciudadano — no tiene cómo.

¿Qué son las Verifiable Credentials?

Las Verifiable Credentials (VCs) son un estándar abierto del W3C — el mismo organismo que estandarizó HTML — para representar afirmaciones verificables criptográficamente. La idea es vieja y simple: separar a quien emite una afirmación, de quien la porta, de quien la verifica.

Los actores son cuatro:

  • Emisor (issuer): quien hace la afirmación y la firma. Un médico, una EPS, un laboratorio, una IPS.
  • Titular (holder): la persona sobre quien se hace la afirmación, y que la guarda en su billetera digital. Tú.
  • Verificador (verifier): quien recibe la afirmación y necesita confiar en ella. Una droguería, un empleador, ADRES.
  • Registro de confianza (trust registry): la lista pública de quiénes están autorizados a emitir qué. Aquí entra MinSalud.

Aterrizado al ejemplo del antibiótico:

  1. El médico, durante la consulta, emite una credencial firmada digitalmente: “Yo, el médico con tarjeta profesional 12345, certifico que el portador (CC 1.234.567.890) puede comprar amoxicilina 500mg, 21 cápsulas, una cada 8 horas, válida hasta 2026-05-04.”
  2. La credencial llega a mi billetera — una app, un wallet — en un formato estándar.
  3. En la droguería, presento la credencial. El sistema de la droguería verifica tres cosas, sin tener que llamar a ninguna API privada: que la firma del médico sea válida, que el médico esté en el registro público de MinSalud como profesional vigente, y que la credencial no haya sido revocada.
  4. La compra queda registrada como una presentación verificable, no como una transcripción manual de mis datos en un libro.

Los términos técnicos para el lector que quiera ir más profundo: el modelo de datos es la VC Data Model 2.0 del W3C, las identidades de emisores y titulares se representan con DIDs (Decentralized Identifiers, también W3C), la revocación se hace con status lists sin filtrar metadata sobre quién consultó qué, y la divulgación selectiva — mostrar solo el campo que se necesita — se logra con esquemas como BBS+ signatures o SD-JWT. Nada de blockchain. Nada de criptomonedas. Solo criptografía de llave pública aplicada a documentos firmados.

La propuesta: MinSalud como verificador público, no como dueño de los datos

Aquí está la parte que me parece importante, porque va contra el reflejo natural del Estado colombiano: MinSalud no necesita centralizar los datos. Necesita centralizar la confianza.

La diferencia es enorme. Una plataforma centralizada de datos es un único punto de falla, un único punto de fuga, y un único punto de corrupción. Una plataforma centralizada de confianza — un registro público de quién es quién, quién puede emitir qué credencial, y qué credenciales han sido revocadas — es infraestructura pública abierta, equivalente al DNS o a las autoridades certificadoras de TLS.

Concretamente, MinSalud tendría que mantener:

  1. Un registro público de DIDs de emisores autorizados: médicos con tarjeta profesional vigente (ese dato ya existe en el ReTHUS), EPS, IPS, laboratorios, droguerías habilitadas, ARLs.
  2. Esquemas oficiales de credenciales: cómo se ve una fórmula médica, cómo se ve una autorización MIPRES, cómo se ve una incapacidad, cómo se ve un recobro a ADRES.
  3. Una status list pública para revocaciones, consultable sin necesidad de identificarse — esto es importante para no filtrar quién está mirando qué.
  4. Software de referencia — open source, MIT o Apache, hospedado en GitHub — que cualquier IPS, EPS o desarrollador independiente pueda usar para emitir y verificar credenciales sin tener que pagarle a un intermediario.

El flujo, dibujado:


flowchart LR
    subgraph MS["MinSalud — Registro de confianza (público)"]
      DIDS["Registro de DIDs
(emisores autorizados)"]
      SL["Status List
(revocaciones)"]
      RT["ReTHUS
(profesionales vigentes)"]
    end

    M["Médico
issuer"]
    P["Paciente
holder · wallet"]
    V["Droguería / IPS
verifier"]

    M -->|1. emite credencial firmada| P
    P -->|2. presenta credencial| V
    V -->|3. verifica firma| DIDS
    V -->|4. verifica revocación| SL
    RT -.->|alimenta| DIDS

Eso es todo. No es un servidor monopólico para guardar fórmulas. Es un servidor de metadatos sobre quién es quién. Una EPS pequeña en Pasto puede emitir credenciales tan válidas como Sura. Un desarrollador puede construir una billetera para pacientes sin pedirle permiso a nadie. Una droguería puede verificar una fórmula sin estar suscrita a ningún sistema propietario.

Y lo más importante: la información clínica del paciente no se centraliza en ningún servidor del Estado. Vive en la billetera del paciente, cifrada, presentada solo cuando el paciente lo decide.

Y la billetera, en parte, ya existe

Aquí Colombia tiene un punto de partida que pocos países tienen: la nueva Cédula de Ciudadanía Digital de la Registraduría ya viene con una app móvil, y el documento físico incluye un chip con una llave privada vinculada a datos biométricos del titular. Hoy esa app es, en la práctica, un visor — útil para mostrar la cédula y poco más — pero la infraestructura criptográfica para convertirla en una billetera de credenciales verificables ya está parcialmente puesta. Con inversión razonable, esa app puede ser la billetera por defecto del sistema de salud, sin tener que pedirle al ciudadano que descargue otra app más, y con una autenticación biométrica que ya pasó por el escrutinio del Estado.

Qué fraude se vuelve criptográficamente imposible

Caminemos los casos:

Fórmula médica. Hoy una droguería no tiene cómo verificar que la fórmula que le presento la firmó realmente el médico cuyo nombre aparece en ella. Con VCs, una fórmula sin firma válida del médico — verificable contra el registro de MinSalud — simplemente no se puede dispensar. Las fórmulas duplicadas se detectan porque cada credencial tiene un identificador único y la status list registra cuándo se “consume”. El librito de papel sobra.

Autorización MIPRES. Hoy las autorizaciones se gestionan en una plataforma del MinSalud que las EPS deben consultar. Con VCs, la autorización es un documento firmado por la EPS que el paciente porta y presenta directamente a la IPS. La IPS verifica la firma sin tener que llamar a la API de la EPS, y la EPS no puede después negar haber autorizado lo que ya firmó.

Incapacidad laboral. Hoy se puede falsificar una incapacidad imprimiendo un PDF. Una incapacidad como VC, firmada por el médico y verificable contra ReTHUS, no se puede falsificar sin la llave privada del médico. Y si un médico empieza a emitir incapacidades sospechosamente parecidas, el patrón es auditable públicamente sin filtrar el contenido clínico.

Recobro a ADRES. Aquí está el premio gordo. Hoy ADRES recibe cuentas de las EPS y debe confiar — con auditorías ex post — en que los servicios facturados realmente se prestaron. Si cada servicio prestado generara una credencial firmada por el paciente (presencia verificada), el médico (atención prestada) y la IPS (servicio facturable), entonces un recobro sin esas tres credenciales adjuntas simplemente no se podría procesar. Adiós a los recobros por servicios fantasma.

Afiliación a EPS. Hoy la lista de afiliados de cada EPS la mantiene la EPS, y el Estado le gira UPC con base en esa lista. Si la afiliación fuera una credencial firmada por el ciudadano y la EPS, las afiliaciones múltiples o fantasma se vuelven detectables: no puedes estar afiliado a dos EPS porque tu wallet rechazaría la segunda credencial activa, y una EPS no puede inventar afiliados sin la firma del ciudadano correspondiente.

En todos los casos el patrón es el mismo: se mueve la verificación del lado del beneficiario al lado del emisor, y se hace pública la confianza, no los datos.

Ya hay quien está en este camino

Esto no es ciencia ficción. La Unión Europea publicó el 30 de abril de 2024 el reglamento eIDAS 2.0 (Regulación (UE) 2024/1183), que obliga a todos los Estados miembros a ofrecer una EU Digital Identity Wallet basada en credenciales verificables — no idénticas al W3C VC pero con la misma arquitectura. Antes de finales de 2026 cada Estado miembro debe ofrecerla a sus ciudadanos: licencia de conducción, título universitario y, sí, prescripciones médicas, en una billetera estándar, soberana, e interoperable entre países.

Estados Unidos, por contraste, sigue atado al modelo viejo: las prescripciones electrónicas se mueven sobre Surescripts, una red privada fundada en 2001 que opera bajo el estándar NCPDP SCRIPT. Funciona — más del 95% de las farmacias estadounidenses están conectadas — pero es una caja negra propietaria, monopolizada por un puñado de actores y con costos de licenciamiento que solo grandes cadenas pueden absorber. Replicar ese modelo en Colombia sería entregarle el negocio de la verificación a tres empresas que cobrarán renta por cada planilla. Ya pasó con la facturación electrónica.

Colombia tiene una oportunidad poco común: saltarse el modelo gringo, no por nacionalismo sino por matemáticas. Adoptar un estándar abierto cuesta menos, escala mejor, y no deja a media salud del país dependiendo del uptime de un proveedor privado.

Lo que puede salir mal — y cómo se mitiga

Toda propuesta que toca datos de salud merece escepticismo. Algunas objeciones razonables y sus respuestas:

"¿Y si pierdo el celular con mi billetera?" Las credenciales se respaldan, igual que las fotos. La pérdida de un dispositivo no destruye la fórmula porque el emisor sigue siendo capaz de emitirla de nuevo, y la revocación de la credencial vieja se hace con la status list — que existe precisamente para esto.

"¿Cómo se evita que la droguería sepa todo de mí cuando le presento la fórmula?" Con divulgación selectiva. Una credencial de fórmula puede contener todos mis datos, pero al presentarla solo se revelan los campos estrictamente necesarios — medicamento, dosis, validez. Mi cédula completa no tiene por qué estar en ningún libro.

"¿Y si le roban la llave privada al médico?" Se revoca el DID del médico en el registro público y se invalidan todas las credenciales emitidas con esa llave. El daño es acotado, en lugar de ser una brecha masiva en una base de datos central.

"¿Esto no es blockchain?" No. Las VCs son anteriores a la moda blockchain y no requieren consenso distribuido para nada. El registro de MinSalud puede ser un servidor convencional con backups y replicación. Lo “descentralizado” no es la infraestructura, es la emisión: cualquier actor habilitado puede emitir sin pedir permiso a un servidor central.

"¿Y la brecha digital? Mi abuela no tiene smartphone." Real. La transición debe contemplar credenciales en papel con códigos QR firmados — exactamente como hoy se hace con muchos certificados de vacunación. La firma criptográfica no exige que el portador sea digital, solo el verificador.

Lo difícil sigue siendo lo mismo: la adopción

En 2023 cerré ese borrador con una idea que sigue siendo cierta: el problema de fondo no es técnico. Las VCs llevan años estandarizadas, los wallets existen, las librerías open source están maduras. Cualquier equipo razonable de ingeniería podría construir un piloto funcional en seis meses.

El muro es la adopción, y la adopción en un sector tan regulado como el de la salud viene en forma de ley. Eso significa congresistas, lobistas, gremios, y la pregunta incómoda de a quién deja sin negocio esta arquitectura. La respuesta es sincera: deja sin negocio a los intermediarios que viven de mantener planillas opacas. Que son, casualmente, varios de los actores con más capacidad de bloquear la reforma.

Lo que cambió desde 2023 es que el costo político de no hacer nada subió. Las ocho intervenciones de 2024 son la prueba de que el modelo actual no se sostiene, y los billones que ADRES gira al año siguen yendo a un sistema donde la verificación es voluntaria y ex post.

La pregunta no es si Colombia puede construir esto. Puede. La pregunta es si queremos que lo construya MinSalud sobre estándares abiertos, o si vamos a esperar a que llegue el próximo Surescripts y nos cobre por cada fórmula.

Fuentes

Posts by me