A Fondo
El futuro de la seguridad online: menos contraseñas y más sistemas basados en la persona
En la actualidad, la mayoría de usuarios de ordenadores y dispositivos móviles con conexión a Internet utilizan contraseñas para acceder a distintas cuentas de usuario y servicios online. A muchos les puede parecer un sistema seguro para hacerlo, pero nada más lejos de la realidad. Aunque se elijan contraseñas complicadas, estas siguen siendo una fuente de problemas e inseguridad. Básicamente, no por las contraseñas en si, sino según destacan en ITProToday, principalmente por el uso que se hace de ellas.
En efecto, según la encuesta anual Market Pulse de SailPoint Technologies, los empleados de las empresas siguen con prácticas que los profesionales de seguridad desaconsejan. Y lejos de mejorar, sus hábitos en este área han empeorado. Así, por ejemplo, un 75% utilizan una misma contraseña en varias cuentas, frente a un 56% que lo hacía en 2014. Además, un 47% usa indistintamente las mismas contraseñas en cuentas personales y de trabajo, y sólo un 23% cambia la contraseña de sus cuentas de trabajo al menos dos veces al año. Un 67% procede así en sus cuentas personales.
A tenor de estos resultados, la creencia de que las contraseñas son un sistema muy pobre para proteger tanto las cuentas como la privacidad y los datos de quienes las usan y de la empresa para la que estos trabajan es cada vez mayor. Los expertos han avisado hace tiempo de la necesidad de utilizar otros sistemas para ello, e incluso Satya Nadella, CEO de Microsoft, asegura que uno de los principales problemas de seguridad es el uso de contraseñas.
Precisamente, Microsoft está entre las compañías que están trabajando en el desarrollo y apoyo de otras alternativas a las contraseñas. En la actualidad ya se barajan varias posibilidades: autenticación en dos o más pasos, identificación biométrica, modelos de comportamiento, etc. Cada sistema tiene sus problemas e inconvenientes, pero todos son un avance con respecto a las contraseñas. Esto no quiere decir que vayan a desaparecer, pero que sí habrá menos en el futuro es un hecho.
Las contraseñas ofrecen no pocos problemas, debido entre otras cosas a que se crearon en una época en la que no estaba previsto que se llegasen a tener tantas como sucede en la actualidad. También a que las brechas de seguridad que los recopilan son cada vez más numerosas, y los empleados de las empresas no tienen ningún control sobre ellas.
A una seguridad más pobre también contribuye el hecho de que muchos empleados recurren a las notas adhesivas o a simples trozos de papel para escribirlas y recordarlas. Además, se suelen compartir con compañeros de trabajo. Todo esto no ayuda precisamente a que los niveles de seguridad mejoren.
¿Qué alternativas hay a las contraseñas?
Como hemos mencionado, hay varias alternativas al uso de contraseñas. Pero algunas siguen utilizándolas como parte de los elementos de seguridad. Es el caso de los sistemas de autenticación en dos o varios pasos. Estos agregan una o varias capas de protección de la cuenta, pero utilizan contraseñas. Además, ofrecen otros inconvenientes. El principal, que los pasos necesarios para el acceso a la cuenta cada vez que se solicite la identificación pueden ser molestos y llevar tiempo.
Frente a estos sistemas y sus problemas, la biométrica gana cada vez más peso en autenticación segura. Ya hay multitud de portátiles, tables y smartphone que usan este tipo de sistemas para desbloquear el acceso a ellos. Para ello llevan integrado, básicamente, un lector de huella dactilar. Algunos están también optando por la integración de sistemas de reconocimiento facial por software para identificar a los usuarios que tienen permiso para acceder a su contenido.
Eso sí, estos sistemas no están exentos de fallos de seguridad, a pesar de que no pueden cambiarse. Las huellas dactilares también pueden «robarse», lo que prueba que durante la brecha de seguridad experimentada en 2015 por la Oficina de gestión de personal de Estados Unidos (OPM) se robaron datos sensibles, como huellas dactilares, de 21,5 millones de personas. También se han dado ya casos de sistemas de reconocimiento facial de software a los que se ha engañado mediante fotografías u otras técnicas similares.
El cifrado y la adopción de diversos protocolos son también opciones para mejorar la seguridad de la autenticación en cuentas. Es lo que persiguen, por ejemplo, desde el World Wide Web Consortium (W3C) con el apoyo al protocolo WebAuthN, que busca la identificación libre de contraseñas.
El usuario y su actividad como contraseña
Además de estos sistemas, hay otro basado en el propio usuario de una cuenta y su actividad. Este sistema saca partido, de cara a mejorar la seguridad, a diversos algoritmos y técnicas de machine learning, que sirven para rastrear el comportamiento de un usuario y su actividad, rutinas y tendencias para llevar a cabo la autenticación en un servicio. Hasta ahora se le han dado varios nombres, como modelado del comportamiento, autenticación cognitiva, autenticación basada en la persona, etc.
Independientemente de cómo se llame al sistema, la idea que hay tras todos ellos es básicamente la misma. Dado que las personas somos, en esencia, criaturas de costumbres, podemos utilizar su actividad rutinaria como identificación. Por ejemplo: si un usuario está habitualmente en una ciudad, se levanta de lunes a viernes a las siete de la mañana, coge su móvil entre esa hora y las 7:30, comprueba varias apps cada día, lee las noticias mientras se encamina a su trabajo desde un punto a otro e intenta acceder a su ordenador de trabajo entre las 9:00 y las 9:30, se puede emplear esta información para identificarles en sus cuentas de trabajo.
Así, en caso de que alguien intente conectarse a su equipo desde otro país, en un idioma que no es el suyo, a horas que no son las habituales y realizando una actividad completamente distinta, el sistema puede ignorar sus peticiones de identificación y pedirle que pruebe de alguna manera que es quien dice ser, porque sospechará que no es quien asegura.
Para determinar estos patrones, ya hay software que se encarga de, a través de la Inteligencia Artificial y el machine learning; detectar, analizar, clasificar y modelizar el comportamiento. Además, se encarga de asignar puntuaciones encargadas de medir el nivel de riesgo a la hora de validar la identidad de un usuario, tanto antes como después de su acceso a las cuentas.
Eso sí, los sistemas que emplean el modelado del comportamiento distan todavía mucho de ser perfectos, ya que suponen un problema de privacidad, porque recopilan mucha información privada sobre actividad, posicionamiento y hábitos. Para controlar esto, hay que poner en marcha distintos mecanismos de protección de la información y regular cómo se almacenan los datos recogidos.
No obstante, una vez solventado este problema, hay que considerar que estos sistemas supondrían un gran avance en seguridad. Un hacker puede falsificar algunos de los factores que formen el perfil individual de un usuario, pero les resultaría francamente complicado hacerlo con todos. Paralelamente, un usuario podría sentirse molesto por las notificaciones recibidas cuando se registra una anomalía, pero merece la pena si esto implica un entorno de seguridad más robusto.
-
OpiniónHace 6 días
10 predicciones para los proveedores de servicios gestionados en 2025
-
NoticiasHace 2 días
El Capitan es el nuevo superordenador más potente y rápido del mundo
-
NoticiasHace 6 días
La Comisión Europea multa a Meta con 798 millones por perjudicar a la competencia de Marketplace
-
NoticiasHace 6 días
AMD despedirá al 4% de su plantilla mientras se centra en IA y centros de datos