El reto de la identidad online (I): la identidad es el nuevo perímetro

A menudo nos encontramos ante situaciones en las que nos enfrentamos una misión y, a medida que ésta avanza, nos damos cuenta de que las primeras elecciones que tomamos a la hora de llevarla a cabo no fueron buenas. Justo en ese momento, tenemos dos opciones: volver a empezar desde cero o bien paliar esa mala toma de decisiones con trabajo y esfuerzo adicional.

Internet se creó de forma no segura

Ésta es una frase que seguramente habremos oído decir alguna vez a los profesionales de la ciberseguridad. Este apasionante cambio que ha significado la transformación digital, uno de los más drásticos en la historia de la humanidad, se ha ido construyendo siempre en base a cosas que no se habían hecho antes. Por el camino, hemos tomado elecciones que, en ocasiones, han demostrado ser poco acertadas. Pero, como decíamos antes, nos encontramos en el caso de que no podemos “resetear” internet y partir de cero.

Una de esas malas elecciones que arrastramos desde los albores de internet es la gestión de la identidad, o dicho de otro modo, cómo sabe un sistema quién es el usuario que lo está usando. Por ejemplo, quién es la persona que accede a su correo electrónico y cómo se diferencia éste de otro individuo. Tradicionalmente esto se ha basado en el uso de contraseñas, que sólo debería (es necesario repetir, debería) saber el usuario en cuestión. Pero, bien sea por la propia seguridad de los sistemas (donde la contraseña puede ser interceptada o robada tanto en la red como en el dispositivo donde se usa) o bien porque el usuario no hace un uso responsable de ellas, este sistema ha demostrado ser extremadamente frágil.

El usuario, el eslabón más débil de la cadena

Este punto es extremadamente fácil de comprobar: sólo hay que darse un paseo por los canales “underground” de Telegram o de la Deep Web (o Dark Net) para ver la cantidad de cuentas de servicios premium que existen a la venta: Netflix, Spotify, PrimeVideo, Twitch Gaming y casi de cualquier tipo. Es lógico inferir que estas cuentas low cost y sin caducidad han sido robadas a otros usuarios cuya gestión de credenciales y por ende, de su identidad es claramente mejorable, bien en el servicio online o bien en su uso personal.

Tanto es así que en prestigiosos estudios al respecto, como el de Forrester en su The Identity And Access Management Playbook for 2020, nos advierten de que el 81% de las brechas de seguridad tienen origen en una contraseña débil, robada o usada por defecto. Esto ocurre por multitud de razones, tanto por responsabilidad del usuario como por defectos de diseño o de implementación de seguridad.

En buena parte, esto se debe al desconocimiento o la falta de celo del usuario, que piensa que a nadie puede interesar vulnerar su seguridad como usuario particular. Algo que adquiere mucho mayor impacto cuando la identidad del usuario supone la puerta de entrada a una entidad mayor como una empresa y organización. Tal es así que, a día de hoy, ha demostrado ser el eslabón más débil de la cadena: un usuario vulnerable a ciberataques hace a una empresa vulnerable. Esto puede estar provocado, sin ir más lejos, por el uso de una contraseña excesivamente fácil de adivinar, demasiado común o bien reutilizada en más de un sitio o servicio online.

Recomiendo leer también este otro artículo sobre el buen uso de las contraseñas. Para estos usos no apropiados de las contraseñas, los cibercriminales han diseñado técnicas de las que hablaremos en la segunda parte de esta serie de artículos. De modo que, para no delegar esa confianza en el usuario final, las empresas de ciberseguridad como ElevenPaths se esfuerzan en evitar este tipo de riesgos en los usuarios, diseñando productos y servicios que añadan una capa de seguridad adicional a la tradicional y obsoleta dupla usuario/contraseña. Además de incluir mejoras innovadoras a los servicios de identidad que también trataremos en el volumen 3 de esta serie de artículos.

El camino hacia una gestión de identidad robusta: SmartPattern

¿Dónde está el reto, por tanto? En ser capaz de desarrollar tecnología que garantice esa capa de seguridad adicional sin perjudicar la experiencia de usuario y sin obligar al usuario que aprenda o se adapte a un nuevo sistema de identificación. Llamamos identidad robusta o autenticación de nivel 3 a:

• Algo que tú tienes: por ejemplo, un dispositivo o tarjeta física.
• Algo que tú sabes: por ejemplo, un pin o contraseña.
• Algo que tú eres: por ejemplo, tu huella digital.

De modo que, como colofón y, en cierto modo, spoiler de a dónde nos lleva este viaje de la transformación digital en cuanto a la gestión de la identidad, pondremos un ejemplo de gestión de identidad robusta a la par que cómoda y usable por el usuario común de tecnología: SmartPattern.

SmartPattern es un nuevo concepto en el proceso de autenticación robusta, así como en el de autorización y firma de documentos mediante un gesto simple de patrón de móvil, que puede usarse en cualquier smartphone, tablet o touchpad de portátil como servicio de identidad.

Dicho de otro modo, el usuario no necesita recordar o guardar cientos de contraseñas, sino simplemente recordar un único patrón para todos los servicios online, mediante el cual el servicio usa un motor de machine learning que es capaz de detectar características únicas en el trazado, que incluso mostrado intencionadamente a otro usuario, éste fallará en el 96% de las ocasiones, como pudimos comprobar en un estudio de campo en la universidad de Piraeus, Grecia.

Gracias a su versatilidad, SmartPattern puede integrarse con multitud de servicios de autenticación y autorización. Por ejemplo, loguearse y/o autorizar una transacción bancaria, como ya hemos demostrado en el portal demo de Nevele Bank: ¡un banco sin contraseñas!

La web de SmartPattern ofrece más información al respecto, pero sirva este elemento innovador y avanzado para demostrar que el camino hacia una identidad segura tendrá muchas más vías al margen de la conocida dupla que hasta ahora habíamos considerado segura.

Esto es todo por el momento. En el siguiente volumen hablaremos sobre el cibercrimen y el mercado de credenciales robadas que sigue creciendo, tanto en la Deep Web como en canales clandestinos de Telegram.