El nuevo final de las contraseñasDavid García 10 mayo, 2022 Cuenta la leyenda que no pasó mucho tiempo desde que alguien inventara las puertas y nacieran las cerradura. Ya en el antiguo Egipto se usaba un ingenioso mecanismo primigenio que permitía insertar, a través de un agujero, un gancho a modo de llave para ir desplazando las cuñas que hacían las veces de cilindros sobre un pasador. Esos ingenios fueron perfeccionándose hasta conformar las modernas cerraduras que hoy en día tenemos antepuestas para frenar los excesos de curiosidad o empatía por lo ajeno. Alejándonos del plano físico, en el mundo digital las cerraduras son formularios con dos cajitas y un botón y las llaves son cadenas de caracteres. Al principio, cuando los usuarios del Internet moderno podían caber en un par de estadios de futbol de primera división, esas “llaves” eran sencillas como lo es contar hasta cinco, es decir, “12345”. Por supuesto, no era más que la semilla hacia un desastre sobradamente conocido. No sabemos crear contraseñas fuertes Y tampoco podemos memorizarlas. Agreguemos a esta mezcla la insana capacidad que tenemos para reutilizar las contraseñas en decenas de sitios donde vamos abriendo cuentas. Pero claro ¿A que es fácil llevar una sencilla llave maestra para abrir todas nuestras puertas? Por supuesto que lo es y de eso mismo se alegran los cacos (ahora digitalizados) cada vez que obtienen el nombre de tu mascota o la fecha de tu cumpleaños. Una misma contraseña, miles de sitios web. Una ganga, un chollo. Segundo factor de autenticación, algoritmo de generación de claves seguras, sistemas CAPTCHA de detección de bots, gestores de contraseñas en la nube…parches y parches y parches sobre estos para remendar un sistema agotado, concluido, obsoleto, llamado a extinguir, vilipendiado y caduco…pero, ojo, universal, ubicuo, unánime y ungido por ser único y sin rival. ¿Qué otras alternativas tenemos? Como en el plano físico, las cerraduras no tienen muchos competidores, si bien cambian de forma (e incluso ya las hay con reconocimiento facial) al final es lo mismo: un postigo que se desplaza dejando el paso franco a los supuestos portadores del derecho al acceso y disfrute de los contenidos de aquello que custodian. Pero las puertas y cerraduras no tienen tanto impulso investigador e iniciativas como el mundo digital en el que nos movemos a diario (y a horas intempestivas también), por lo que el progresivo abandono del quebradero de cabeza que supone el tratamiento de contraseñas era un problema pendiente de abordar y cuya solución pasaba por poner un acuerdo sobre la mesa para estandarizar “algo” que permita, de una vez por todas, desechar un mecanismo más propio del siglo anterior que esta interesante y movida centuria. Contraseñas transparentes Por fin, media GAFAM y la FIDO Alliance en concilio han firmado un principio para impulsar un mecanismo común que nos libere la memoria (la gris, no la de silicio) del tedio que supone recordar o gestionar las contraseñas. ¿Podríamos estar viviendo el momento histórico donde el último ser humano introduzca una contraseña para acceder a sus alcancías binarias? Probablemente, aún no. Queda mucho para eso, pero como hemos dicho al principio, es un principio. Un primer paso ya dado para andar un largo camino que no va a ser precisamente llano. Vale, pero ¿Exactamente, cómo vamos a dejar de usar contraseñas? ¿Qué se usaría en su lugar? Pues curiosamente no se van a dejar de usar en cierto modo o, mejor dicho, forma. Simplemente tú no vas a usar contraseñas, será una acción transparente para ti. Se aprovechan una serie de ítems que ya están muy extendidos entre el público: diversidad de dispositivos federados en una identidad personal o distinguible y la capacidad de estos para poder ofrecer prestaciones de sensores biométricos. Casos prácticos Una persona que posee un ordenador portátil, un móvil y una tableta. Todos con cámara frontal y dos de ellos con capacidad de lectura de huellas. No hace falta que sean del mismo fabricante, pero seguramente, en la mayor parte de los casos, esa misma persona posee la misma identidad bajo uno, dos e incluso tres proveedores. ¿Accedes al terminal móvil? Puedes hacerlo con la huella o con reconocimiento facial. Incluso los portátiles permiten acceder con huella (Touch ID de Apple) o reconocimiento facial (Windows Hello de Microsoft). Ahora imagina que todos estos fabricantes (que también, no olvidemos, son proveedores de identidad) se ponen de acuerdo y permiten que una sola identidad pueda ser usada para todos los dispositivos. Abres tu cuenta una vez y esa misma identidad sirve en el resto de tus sistemas. ¿Suena bien verdad? ¿Y si ahora haces que un tercero, en un sitio web, pueda usar ese mismo sistema? Fácil, introduces la identidad guardada en tu dispositivo y en ese u otro (del portátil al móvil y viceversa) te pide que pongas la huella o el rostro. No viaja ninguna clave, no se almacena contraseña o hash en el sitio web, no hay nada que un atacante pueda usar para adivinar tu contraseña porque sencillamente, esta no existe. De nada le va a servir husmear en tus redes sociales para hacer cábalas con la fecha de cumpleaños o el nombre de una mascota. Algunos retos Evidentemente, en todo este cúmulo de ventajas hay algunos puntos que precisan ser elaborados para ser justos. El primero de todos y de capital importancia es la privacidad. Esa cualidad que nadie echa en falta hasta que es demasiado tarde para arrepentirse y poner remedio. Una vez que tu cedes el control de tu manojo de llaves digitales a un tercero este sabrá en todo momento dónde, cuándo y con qué dispositivo estás visitando que sitio. El segundo, menos probable pero no imposible, es que un fallo de integridad en el proveedor de identidad puede llegar a ser catastrófico. Muy catastrófico. La seguridad es mejor (aunque más compleja) cuando se distribuyen los pesos (el riesgo) y nunca ha sido un principio de esta ciencia depositar en un único punto el peso de toda una vida virtual. Hablemos también del tercer punto. La disponibilidad. ¿Y si necesitas hacer una transferencia urgente y a los servidores de tu proveedor les da un telele en ese momento y no se recuperan hasta muchos momentos más tarde? Bonus, cuarto punto. ¿Y si te levantas una mañana y de buenas a primera un sistema automático basado en machine learning decide aleatoriamente que tu cuenta es fraudulenta y la borra? ¿Dónde está el mostrador de reclamaciones? ¿Hola, hay alguien ahí? ¿Oigan? ¿Me escucha alguien? Me llamo K, y no puedo acceder a mi dinero… No podemos sino celebrar el comienzo de la despedida de las contraseñas, aunque quede mucho por hacer, pero debemos también usar un espíritu crítico con aquellos que pretenden velar por lo que es nuestro y apostarnos con cautela. Veremos que nos depara el desembarco de estas nuevas capacidades y sobre todo que alternativas están disponibles para quienes no desean o les parezca una incómoda comodidad. Dark Markets, el concepto de mercado negro en la Internet actualShadow: tecnología de protección contra filtraciones de documentos
Telefónica Tech Boletín semanal de Ciberseguridad, 18 – 24 de marzo HinataBot: nueva botnet dedicada a ataques de DDoS El equipo de investigadores de Akamai ha publicado un informe en el que señala que han identificado una nueva botnet denominada HinataBot que dispondría...
Telefónica Tech Qué es el Esquema Nacional de Seguridad (ENS 2.0) La Ciberseguridad, la privacidad y la protección de los datos y de la información sensible son aspectos cada vez más importantes en la sociedad actual. Tanto para empresas y...
Nacho Palou 5G: cuatro casos de uso reales y prácticos El último informe “La Sociedad Digital en España 2022” [1] de Fundación Telefónica confirma la consolidación de los procesos de digitalización en la sociedad española. En este sentido, cabe...
Susana Alwasity Ciberseguridad: eventos “cisne negro” en un mundo conectado En la sociedad actual, la tecnología ha transformado la forma en que vivimos, trabajamos y nos relacionamos. Con el aumento del uso de dispositivos y redes conectados a internet,...
Telefónica Tech Boletín semanal de Ciberseguridad, 11 – 17 de marzo Nueva versión del troyano bancario Xenomorph Investigadores de ThreatFabric han detectado una nueva variante del troyano bancario para Android Xenomorph. Esta familia de malware fue detectada por primera vez en febrero...
Gonzalo Álvarez Marañón Matemáticas contra el cibercrimen: cómo detectar fraude, manipulaciones y ataques aplicando la Ley de Benford Cómo aplicar la ley de Benford para luchar contra el cibercrimen. La respuesta, en este post que utiliza las matemáticas para ayudar a la ciberseguridad.
