Internet tiene todo tipo de ventajas, pero también algunos inconvenientes. Entre ellos, que hay que utilizar demasiadas contraseñas para acceder a todo tipo de webs y servicios online. Y también a los que, en principio, están offline. En total, que entre el acceso al ordenador, los pins de las tarjetas de crédito, el acceso al banco, los programas de socios de hoteles y tiendas de moda o los de medios de transporte, un internauta tiene de media con 90 cuentas online. Cada una de ellas, por supuesto, con su contraseña, que conviene que sea distinta para cada una.
Si no es así, los riesgos de que alguien se haga con una contraseña de las que usas y logre acceder a una, varias o incluso todas las cuentas que usa una persona es mayor cuantas más cuentas la comparten. A pesar de esto, más de la mitad de las contraseñas se reutilizan, según la Alianza FIDO, una asociación abierta que trabaja para rebajar la dependencia excesiva que tenemos de las contraseñas.
La Alianza FIDO, abreviatura de Fast Identity Online (Identidad rápida en Internet), trabaja para cambiar la naturaleza de la autenticación mediante estándares abiertos más seguros que las contraseñas. También con soluciones más sencillas para los consumidores y los proveedores de servicios, que gracias a estos nuevos sistemas de identificación pueden desplegar y gestionar medidas de seguridad en cuanto a autenticación con más facilidad.
Lenovo, uno de los primeros impulsores de la Alianza FIDO
FIDO, que se fundó en 2012 y se anunció al público en 2013, dio sus primeros pasos de la mano de un puñado de entidades y empresas. Entre ellas estaba Lenovo, que es uno de sus miembros iniciales, junto con, entre otros, PayPal, Validity Sensores, Infineon, Agnitio y Nok Nok Labs. En la actualidad, Lenovo sigue ocupando un papel destacado en el paso de los estándares de FIDO de la fase de desarrollo a su adopción generalizada.
En la actualidad, la Alianza FIDO cuenta con más de 250 miembros. Entre ellos están Microsoft, Google, Intel y Apple, que ha sido una de las últimas empresas en unirse a ella (lo hizo en febrero). Este rápido crecimiento en miembros ha ocasionado que la adopción de los estándares FIDO, y de los productos compatibles con ellos y certificados como tales aumente notablemente. En la actualidad hay varias cientos de productos certificados para FIDO, entre los que está Windows 10, lo que hace que FIDO esté cada vez más cerca de que los productos compatibles y certificados con el estándar sean la norma y no la excepción.
A este crecimiento ha contribuido en gran medida, entre otros, Joe Pennisi, ingeniero de Lenovo y Responsable del Laboratorio de seguridad global PCSD. Pennisi escuchó por primera vez de la idea que hoy es una realidad con FIDO en 2010. Entonces le contactó el fundador e impulsor de FIDO, Ramesh Kesanupalli, también fundador de Nok Nok Labs. Ambos se conocían de haber trabajado juntos en el desarrollo de los sensores de huella dactilar en los ordenadores portátiles ThinkPad.
Pennisi implicó a Lenovo en la Alianza FIDO desde el principio. Además, fue uno de los cuatro miembros fundadores de su junta, y desde el principio es su tesorero. Como tal se ha encargado de la gestión del crecimiento financiero del grupo, aparte de invertir en los objetivos de la alianza. Además, se ha encargado de fichar a nuevos miembros, lo que hizo que se unieran a ella Google en 2013 y Microsoft en 2014, entre otros.
Tras trabajar con lectores de huellas dactilares durante siete años, Pennisi sabía que había sistemas mejores que las contraseñas para acceder a Internet de forma segura. Entre ellos, los que utilizan biometría. Pero entonces no había un estándar en la industria de servicios online para trabajar con sistemas biométricos como los lectores de huellas, lo que evitaba la expansión de su uso.
Por eso, cuando la Alianza FIDO empezó a dar sus primeros pasos, el primer desafío al que se enfrentó fue la creación de grupos de trabajo para establecer el estándar y trabajar en los detalles técnicos del protocolo. En 2013, cuando las especificaciones de FIDO ya estaban en desarrollo, David Rivera, otro ingeniero de Lenovo, y Director de Seguridad de Dispositivos del área de Seguridad Global de Lenovo. En su seno fundó el Grupo de trabajo de certificación. Desde entonces está al frente de este grupo, que se dedica al desarrollo de las políticas y procesos para probar y aprobar los productos como certificados para FIDO.
¿Cómo reemplaza FIDO las contraseñas?
La respuesta más breve a esta pregunta es mediante claves de cifrado asimétricas. Estas son un par de claves que están relacionadas pero no son idénticas. Una de las claves del par cifra los datos que es envían, y la otra los descifra.
Es un sistema eso sí, distinto al que se usa en los discos duros, en los que una sola clave se encarga del cifrado y el descifrado. Con FIDO, el equipo tendría una clave privada única para cada web o servicio en los que se tiene una cuenta, y la web o el servicio en cuestión tendrían la clave pública complementaria para ella. Según Pennisi, «esta conexión pública-privada sería diferente para cada servicio online, y para cada dispositivo que tengas«.
Desde la perspectiva de la seguridad, todo pasa a ser cuestión por tanto de lo bien que se pueda proteger la clave de cada dispositivo. También ayuda que con este sistema, los beneficios que obtienen los hackers en los ataques es muchísimo menor. Hackear un solo dispositivo puede proporcionar información únicamente de un usuario, y el hackeo de un servicio online consigue una base de datos de claves públicas que no tienen valor para autenticarse en el servicio ya que los pares de claves son únicos. Por lo tanto, el resto de servicios no se ven afectados.
Según Rivera, «la certificación FIDO incluye una certificación obligatoria de seguridad para dispositivos, lo que ayuda a dar tanto a los usuarios como a las webs algún tipo de seguridad de que los dispositivos están haciendo un buen trabajo con la protección de las claves. Además, FIDO ha añadido recientemente la certificación biométrica, lo que proporciona una prueba todavía más sólida de que los dispositivos que usan biometría van a a hacer un buen trabajo en la sustitución de contraseñas«.
Tanto Pennisi como Rivera esperan que el número de dispositivos certificados para FIDO crezca rápidamente en los próximos años, dado que cada vez hay más empresas que adoptan el estándar, y los usuarios están viendo sus beneficios. La adopción de FIDO en Windows 10 el año pasado ha sido el catalizador que ha impulsado su crecimiento a lo largo del último año, y los miembros de la alianza esperan que la entrada de Apple en ella sea otro impulso que acelere su adopción.
Mientras, Pennisi apunta a que FIDO está ya poniendo su atención en los dispositivos de Internet de las Cosas, la siguiente gran oportunidad para mejorar la ciberseguridad. También en la Verificación de Identidad, con el objetivo de dar soporte a métodos estandarizados de verificación de identidades tanto para el aprovisionamiento como para la recuperación de cuentas. Ambas son dos áreas que necesitan innovación para mejorar la seguridad online.
