“No importan lo complejas o únicas que sean, tus contraseñas ya no pueden protegerte” (Matt Honan, colaborador de Wired)
Es relativamente sencillo dar con una contraseña de texto que los estándares actuales de la industria clasifiquen como segura: una veintena de caracteres que mezclara números, letras y símbolos de forma relativamente incomprensible podría bastar. También podemos ir un paso más allá y optar por un generador de contraseñas aleatorias.
Pero eso supone complicar el modo en que usamos las contraseñas: será lo bastante segura para no ser descifrable, pero también será lo bastante compleja como para ser olvidada con relativa facilidad, impidiéndonos de este modo acceder a servicios de uso diario, y a datos de gran importancia personal o profesional.
Eso por no mencionar que aún pueden ser robadas o interceptadas de diversas maneras. Y es éste cúmulo de problemas el que ha generado que no sean pocas las empresas tecnológicas y entidades financieras que llevan tiempo experimentando con nuevas alternativas para la autenticación de los usuarios. Todas se basan en el uso -simultáneo o no- de 3 grandes grupos de factores:
- Conocimiento: Elementos que sólo el usuario conoce. Las contraseñas de texto o los PIN son el principal ejemplo, pero no el único.
- Posesión: Elementos que sólo el usuario tiene, como chips dotados con tecnología NFC.
- Inherencia: Elementos propios del usuario, como la biometría de su rostro, su retina, sus huellas dactilares… o sus ondas cerebrales.
El pasado mes de enero, Visa Europe publicaba un estudio en el que se afirmaba que “la generación Z está lista para reemplazar las contraseñas por la biometría”. Concretamente, tres de cada cuatro jóvenes entre los 16 y los 24 años afirmaban sentirse “más cómodos” recurriendo a la biometría, y una cifra similar consideraba esta opción “más rápida y fácil” que las actuales contraseñas. Finalmente, la mitad de los participantes en el estudio preveía las muerte de las contraseñas tradicionales para 2020.
Cambiando caracteres por ‘emojis’
La compañía Intelligents Environments presentó hace poco, tal y como nos hicimos eco en este blog, su peculiar propuesta para sustituir a los vetustos PIN: las contraseñas de emojis o emoticonos. Aunque pueda parecer una propuesta algo pueril, hay algunas razones de peso para considerar la propuesta: como símbolos, resultan mucho más amigables y fáciles de recordar y, además, la gran variedad de emoticonos disponible ofrece hasta 3.498.308 combinaciones diferentes (frente a las 7.290 disponibles hasta ahora). Entre los contras, podemos mencionar el tiempo que perderíamos haciendo scroll para insertar los símbolos.
Biometría facial vía selfies
Desde hace poco, la compañía de tarjetas de crédito Mastercard viene experimentando con un grupo de 500 clientes una aplicación para permitir a sus usuarios identificarse mediante ‘selfies’ en procesos de compra on line. La app analiza la foto usando tecnología de reconocimiento facial, y la compara con una segunda imagen del titular de la tarjeta, alojada en el servidor de Mastercard (todo esto, afirman, transmitiendo los datos de tal forma que la compañía no sea capaz de reconstruir el rostro del usuario). La coincidencia de rasgos entre ambas imágenes es lo que da ‘luz verde’ a la transacción.
En declaraciones a la CNN, el ejecutivo de MasterCard Ajay Bhalla declaró que su compañía quiere “identificar a las personas por lo que son, no por lo que recuerdan […] tenemos que recordar demasiadas contraseñas, y eso genera problemas tanto a consumidores como a empresas”. Bhalla se muestra convencido de que la nueva ‘generación de los selfies’ no tendrá problema en adoptar este sistema.
Un paso más allá: las ondas cerebrales
Hace sólo unas semanas que un grupo de investigadores Universidad de Binghamton (Nueva York) publicó un estudio en el que planteaban una tesis novedosa: que las ondas cerebrales producidas cuando el cerebro humano reacciona antes ciertas palabras podrían usarse en el futuro como sustituto de las contraseñas, puesto que cada persona muestra una reacción particular y diferenciada ante los mismos términos. Posteriormente, los intentos de ‘entrenar’ a un sistema informático para que reconociera a cada usuario en base a su señal cerebral se saldó con un éxito del 94%.
Este sistema de autenticación, que aúna los factores de conocimiento (la palabra desencadenante) e inherencia (el patrón distintivo de las ondas cerebrales), vendría a solventar los problemas de los que adolece la biometría: “Si la huella dactilar de un usuario es usurpada”, explica la investigadora Sarah Laszlo, “la víctima no puede crear una nueva porque seguirá teniendo el mismo dedo. Sin embargo, en el improbable caso de que una huella cerebral fuese copiada, el usuario podría reiniciarla con gran facilidad“.
Proyecto Abacus, la propuesta multifactor de Google
En la pasada Google I/O 2015, la compañía de Mountain View presentó su propia propuesta para garantizar la seguridad de los dispositivos móviles: un software capaz de combinar lecturas biométricas y detección de patrones de uso (presión, velocidad, forma de hablar y teclear, localización) para identificar si la persona que está usando el terminal es o no su usuario habitual. La buena noticia es que todo el hardware que requeriría este sistema de autenticación multifactor ya está integrado en cualquier smartphone de última generación.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
