Archive

Posts Tagged ‘Biometria’

Biometría ¿El futuro de la autenticación?

noviembre 25, 2012 Deja un comentario

Leyendo hoy un artículo publicado por Mat Honan en Wired titulado “Kill the Password: Why a String of Characters Can’t Protect Us Anymore” (lo que traducido a nuestro idioma viene a ser: “Matar la contraseña: ¿Por qué una cadena de caracteres ya no puede protegernos más?”), recordé una conversación de hace unos días con algunos de los miembros de esta comunidad en la que mencionaba lo poco extendido que está el uso de lectores de huellas digitales como mecanismo de autenticación, sobre todo en los dispositivos móviles más utilizados y las ventajas que su uso brindaría.

En el artículo en cuestión se presentan ejemplos recientes de cómo han sido hackeadas las cuentas de algunos usuarios (incluido el propio autor del artículo), poniendo de relieve la incapacidad real de las contraseñas y mecanismos vigentes de autenticación y verificación para proteger nuestra información y privacidad y argumenta las razones de esta afirmación, todas ellas muy válidas y que pudieran resumirse en cuatro grandes grupos:

1.- Incremento de la capacidad de procesamiento que permite hackear contraseñas mediante el uso de la fuerza bruta y de diccionarios de contraseñas disponibles en la red. Vamos, que con la capacidad de los CPUs y GPUs actuales, utilizando programas de hackeo por fuerza bruta ampliamente disponibles, con diccionarios que podemos conseguir fácilmente en la red, sólo resulta una cuestión de tiempo el que alguien consiga encontrar la contraseña de un archivo encriptado, aún cuando esta sea supuestamente “segura” por contener letras, números y otros caracteres, con la agravante de que estas capacidades seguirán incrementándose en el futuro.

2.- Reutilización de las contraseñas por un mismo usuario. ¿A que lo hemos hecho alguna vez? Utilizamos la misma cuenta de correo para autenticarnos en diferentes servicios, incluso, utilizamos el mismo usuario y contraseña cuando nos registramos en varios lugares en la red, además de “encadenar” nuestras cuentas con una misma dirección de correo de “respaldo”, con lo que si alguien se hace con el acceso a una de nuestras cuentas, prácticamente consigue el acceso a todas.

3.- Utilización del pishing y malware para el robo de contraseñas. Aquí lo que más influye es el sentido común del usuario, pues si acostumbras a pinchar en los vínculos de cuanto correo recibes o de cuanta página visitas, quedas expuesto a entregar tu mismo la información que luego será utilizada en tu contra.

4.- Utilización de la “ingeniería social”. Aquí existen dos vertientes ampliamente utilizadas. Por una parte, cada vez más estamos colocando nuestra vida en la red: Facebook, Linkedin, blogs personales, etc. ponen a disposición de todo el mundo, detalles pormenorizados de nuestra vida (dónde estudiamos, quiénes son nuestros amigos, el nombre de nuestra mascota, etc., etc.), que son en la mayoría de los casos las respuestas a las preguntas de verificación de casi todos los servicios en los cuales nos registramos. Por otra parte, la habilidad de los hackers para utilizar las herramientas de la ingeniería social para interactuar con los servicios al cliente, les permite conseguir con relativa facilidad, aprovechando la información con que cuentan sobre nosotros, convencer a estos servicios de que son el usuario verdadero y hacerse con nuestras cuentas.

Pues bueno, con el desarrollo de la sociedad de la información, es un hecho innegable que nuestra presencia en la red seguirá creciendo, a la vez que dependeremos en mayor medida del uso de servicios en línea para nuestra vida diaria, lo que sumado a la intención de convertir los teléfonos móviles en billeteras electrónicas para el pago, mediante el uso de la tecnología NFC (Near Field Communication), resultan los ingredientes para una tormenta perfecta en lo que a seguridad se refiere, imposible de evitar con el solo uso de contraseñas y mecanismos de verificación como los actuales.

Como en todas las cuestiones en las que está involucrada la seguridad, es necesario establecer un compromiso entre la fortaleza del mecanismo de autenticación versus la facilidad de uso y privacidad del servicio que se trate. Desafortunadamente, hasta el momento ha primado la facilidad de uso en detrimento de la fortaleza de los mecanismos de autenticación.

Parece existir coincidencia en la opinión de que la solución a este problema está en una combinación de contraseñas, análisis de los patrones de uso y utilización de dispositivos biométricos para garantizar un proceso de autenticación que facilite la vida a los usuarios, con mecanismos de verificación más seguros que los actuales.

Ya algunos proveedores de servicios en la red, han comenzado utilizar los patrones de uso como complemento a las contraseñas, es por eso que, por ejemplo, cuando accedemos a nuestra cuenta de Gmail desde una IP distinta a la que habitualmente lo hacemos, nos remite a una pantalla de verificación para comprobar mediante otro método (llamada telefónica o mensaje de texto), que somos el usuario legal de la cuenta. Sobre este aspecto, parece existir consenso en que es solo cuestion de tiempo que la mayoría de los proveedores de servicios en la red adopten variantes similares.

Lo que aún falla es que no se ha comenzado a implementar el uso de mecanismos o dispositivos biométricos como parte de la autenticación, existiendo diversas formas, desde las más sencillas como el reconocimiento de patrones de voz o reconicimiento facial (plenamente ejecutables por software) y para lo que ya los dispositivos móviles cuentan con el hardware necesario (micrófonos y cámaras), hasta los más complejos como lectores de huellas digitales o escáneres de iris.

Aunque ya se están dando algunos pasos en ese sentido, como el reconocimiento facial para desbloquear el móvil en algunos teléfonos con Android o la reciente compra por Apple de la compañía AuthenTec , especializada en estas cuestiones, su utilización no va más allá de lo anecdótico y lo que resulta más preocupante es que todavía no se ha comenzado a hablar de la integración de estas formas de autenticación con los servicios en la red.

En mi opinión, el reconicimiento facial o de voz, aunque resultan los más fáciles de implementar y no requieren hardware adicional, son los métodos que menos seguridad aportarían, mientras que los escáneres de iris resultan totalmente imposibles de integrar en los dispositivos móviles, lo que nos deja como mejor opción los lectores de huellas digitales, que por sus reducidas dimensiones y multiplicidad de “llaves” serían la solución perfecta; me explico: si estamos afónicos por una gripe o hemos sufrido un accidente o tenemos una lesión en el rostro, el reconocimiento de voz o facial resultaría complicado, mientras que con un lector de huellas, podemos configurar el uso de varios dedos, así que un accidente en uno no nos impediría el acceso a nuestos datos y servicios.

En la actualidad ya existen algunos notebooks que integran lectores de huellas en su configuración, sin que se note un incremento sustancial de precios en esos modelos, lo que nos permite inferir que su costo no es significativo, a pesar de que su uso no se ha extendido. Por otra parte, desafortunadamente por el momento existen muy pocos dispositivos móviles que cuenten con lectores de huellas digitales y no parece ser una tendencia su integración en los mismos.

Algunas opiniones plantean que estamos ante la clásica situación del huevo y la gallina: no se integran los lectores en los dispositivos porque los servicios en red no los utilizan como mecanismo de autenticación, pero a su vez, los servicios en red no los utilizan como mecanismo de autenticación por la poca cantidad de dispositivos que los traen integrados de serie. Este parece ser el nudo gordiano que nadie se atreve a cortar por el momento.

Más allá de este impass en el que nos encontramos, pienso que existe una situación por resolver para su implementación y que es el establecimiento de los estándares necesarios para el uso de las huellas en la autenticación, o sea, el lector de huellas escanea una imagen y a partir de la misma se deberá generar una especie de firma electrónica que es la que se enviaría al servicio como “contraseña” para la autenticación, por lo que el algoritmo para la generación de esa firma deberá garantizar que distintos lectores generen firmas iguales de una misma huella, sin detrimento de la seguridad y que no parece ser algo sencillo.

Si, ya se que en este punto algunos sacarán a colación lo que han visto en algún filme donde levantando una huella digital dejada en un vaso logran utilizarla para acceder a una instalación, pero esto, más allá de lo expectacular que resulta en pantalla, no creo que se convierta en una moda de la que debamos cuidarnos en el futuro; a menos que alguno de nosotros sea un Agente 007 o posea las claves de acceso a Fort Knox.

Como dice el autor del artículo que da pie a este post, el primer paso para la solución de un problema es el reconocimiento de la existencia del mismo para luego poder comenzar a proponer soluciones y de eso precisamente es de lo que se trata. Les recomiendo a todos los que puedan que lean el artículo a que hago referencia, pues resulta muy ilustrativo, además de ameno en su lectura (que desgraciadamente no podrán disfrutar los que no sepan inglés), con el incentivo adicional de contener algunas perlas de cómo los hackers han engañado a “reputados” servicios hasta hacerse con el acceso.

¿Coincides con mi opinión o eres de los que todavía creen que con las contraseñas nos basta?

Categorías:Tecnología Etiquetas: