Pese a ser ampliamente utilizadas, el clásico sistema de usuario y claves se está viendo amenazado por sus propias vulnerabilidades. ¿Qué otras opciones nos protegerán en el futuro?

El mundo de la seguridad cibernética se ha respaldado, al menos desde la perspectiva del usuario, esencialmente en las tradicionales passwords. En particular cuando nos referimos al proceso de identificación para ingresar a un sitio o servicio. Sin embargo, en el último tiempo han aparecido voces que postulan el fin de este clásico sistema, o al menos, su clara decadencia.

En esa línea, quisimos conocer cómo visualizan algunos expertos de la industria esta situación. Para eso entrevistamos a destacados actores de empresas referentes en la materia, quienes compartieron su visión en torno al presente y futuro de las passwords y las nuevas soluciones de seguridad.

¿AÚN VIGENTES?

Es evidente que hoy por hoy seguimos utilizando las contraseñas como el principal medio para acceder a nuestras cuentas y servicios. Visualiza por favor a continuación tu clave de acceso para el PC, la de tu correo electrónico, tu Facebook, Twitter o Instagram y la de acceso a tu banco. Son solo algunas, quizás las más comunes y principales, pero la mayoría de nosotros maneja muchas otras más.

Como nos señala Santiago Pontiroli, analista de Seguridad de Kaspersky Lab en América Latina, pese a la aparición de otras formas de autenticación en el último tiempo, aún la mayor parte de los sistemas dependen de una contraseña para establecer la sesión y validar a un usuario.

Es ahora cuando surgen los problemas. “Según una encuesta realizada en el 2015 por Kaspersky Lab, 1 de cada 7 usuarios utilizaba una misma contraseña para diferentes servicios, poniendo en riesgo su identidad e información al no aplicar buenas prácticas de seguridad”, agrega Pontiroli.

Pedro Paixao, quien se desempeña como Vicepresidente Internacional de Ventas para Fortinet,  apunta a la dimensión de esta temática: “Es un tema muy complicado e importante porque obviamente nuestras vidas están en línea. Y muchas veces la password es lo que está entre nosotros y todo lo malo que pueda pasar”.  

En línea con lo que comentaba el analista de Kaspersky Lab, una buena práctica -aunque básica y mínimamente aceptable- es tener una clave distinta para cada sitio. De todas formas, el también gerente general de Fortinet nos advierte que no podemos esperar de una empresa que nos da un servicio gratuito que tengan invertidos billones de dólares en la seguridad, a diferencia de lo que esperaríamos de nuestro banco. Por eso, para estos casos, es necesario tomar medidas al respecto.

La alerta se enciende aún más cuando echamos un vistazo a las (malas) prácticas que se dan actualmente entre los usuarios. Por ejemplo: 123456. contraseña. 12345678. QWERTY. 12345. Estos comandos, fáciles de recordar, rápidos de escribir, representan las cinco contraseñas más comunes que se utilizan hoy en día. A pesar que cada vez más personas entienden que la ciberdelincuencia es una amenaza constante y que el robo de datos es muy común, es frecuente observar prácticas de seguridad deficientes, señala la compañía ESET, especialista en la detección proactiva de amenazas.

¿LLEGÓ LA HORA DE REEMPLAZAR EL SISTEMA DE CONTRASEÑAS?

Seguramente, a todos nos ha pasado que alguna vez hemos errado en digitar nuestro password, y a la larga terminamos olvidando muchas de nuestras contraseñas. Sin embargo, el sistema se ha mantenido porque en general resulta algo simple de aplicar. No requieres hacer grandes pasos antes de entrar al sitio.

“Creo que es poco realista pensar que las contraseñas desaparecerán por completo. Los usuarios empiezan a estar más preocupados de los riesgos asociados con no tener fortaleza en sus passwords y buscan nuevas herramientas tecnológicas para gestionar la complejidad de todas las contraseñas que tienen”, sentencia John Giamatteo, Vicepresidente corporativo del Grupo Intel Security.

Por eso, Pontiroli, el analista de Kaspersky Lab para nuestra región, considera que hasta que los nuevos sistemas no lleguen al nivel de popularidad y estabilidad de las contraseñas, debemos seguir lidiando con esto, aunque obviamente, de una mejor forma. “Sin duda, la autenticación mediante contraseñas no es el sistema más cómodo o simple de usar, pero de momento es el estándar y aún el resto de las opciones requieren de mayor trabajo para asegurar el mismo nivel de confiabilidad y aceptación entre los usuarios”.

Básicamente, la conclusión general parece apuntar a que el asunto sobre las contraseñas trata de aquello que nadie reconoce como ideal o deseable, pero que nos alcanza para funcionar. No obstante, hay consenso en que se requiere una mejor solución. El mismo Giamatteo considera que el mayor riesgo de esta solución es el uso de las contraseñas débiles que utilizan los usuarios y que resultan altamente vulnerables. Sin ir más lejos, el ejecutivo invita a revisar esa lista con las contraseñas más comunes, lo cual evidencia esa realidad. “Se trata de un riesgo importante”, concluye.

NUEVA SOLUCIONES Y ALTERNATIVAS

Claudio Yamashita, Gerente general de Fujitsu en Chile, nos habló de estudios que hizo la compañía a nivel mundial que revelaron cuán común es que las personas se equivocaran en su contraseña, al punto que más tarde terminaban olvidándola y en muchas ocasiones era necesario formatear el sistema operativo para ingresar de nuevo al sistema.

Pero bueno, y si no son las contraseñas, entonces ¿qué será? Una de las alternativas que más fuerza ha tomado en la industria son las soluciones biométricas. Entre ellas, quizás la más popular es el reconocimiento dactilar, el cual lo vemos en cada vez más modelos de smartphones.

Yamashita, en cambio, ofrece una alternativa superior, a su juicio: la lectura de las venas de la palma de la mano. “La idea era hacer más simple el tipo de autenticación y por eso se desarrolló una solución biométrica”, explica. La ventaja de Palm Secure radica en que es mucho más higiénica que la dactilar, pues en este caso no debes presionar nada, simplemente hacer tu palma al sensor que viene incorporado, en este caso, en el pc fabricado por la compañía. Además de la inclusión en un par de modelos de laptops, la japonesa también desarrolló esta tecnología a modo de kit, transportable, pensado para soluciones bancarias, por ejemplo, las cuales han tenido bastante éxito en muchos cajeros automáticos en Brasil.

Pedro Paixao, el ejecutivo de Fortinet -compañía especialista en el diseño y fabricación de dispositivos de seguridad de redes- no piensa de la misma forma en cuanto a este tipo de soluciones. A su juicio, “lo que nosotros somos no debería ser un password o algo usado como contraseña, porque no lo puedes cambiar. ¿Qué pasa si hago un molde de tu dedo con una plastilina y de algún modo tengo tu huella digital y abro el teléfono?”. Paixao enfatiza: ”Cualquier sistema de seguridad que sea inalterable, no es un buen sistema”. Pese a eso, reconoce que cumple perfectamente con el componente de lo práctico y conveniente en relación a lo que es un pin o password.

Otra solución alternativa la aporta Pontiroli de Kaspersky Lab: “Una de las opciones que se considera podría tener más aceptación es la que depende de la utilización de un dispositivo USB con comunicación NFC (como por ejemplo YubiKey), o un dispositivo móvil que soporte este conjunto de protocolos de comunicación. Su razón de ser es que en un futuro la presencia masiva de dispositivos móviles será una razón para empezar a considerar estos artefactos como nuestra "llave única" de autenticación”, explica.

El gestor de contraseñas es otra de las opciones que mejorarían esta problemática.  Vendría a ser algo así como una evolución de las contraseñas tradicionales, pues se trata de una especie de bóveda virtual, en donde mediante una sola contraseña fuerte (que recordemos bien) protegeremos todas las otras. Es el sistema que reconoce usar Pedro Paixao. Una vez que abres la contraseña principal e ingresas, comienzas a conectarte a todos los sitios que quieras, cada uno con una contraseña aleatoria que no te enteras cuál es. “Eso te permite tener una cuenta de muy alta seguridad en que tienes un password muy grande -la mía tiene 36 caracteres y doble factor- un autenticador que me pide un código que lo ingreso y abro el password management, y a partir de ello hago los login en los sitios. Eso funciona muy bien”.

Precisamente esa es la alternativa por la cual se inclina Intel Security. John Giamatteo presentó True Key, una aplicación que pretende que te olvides de las contraseñas y se deshace de la molestia de tener que recordar muchas. El sistema protege las contraseñas mediante cifrado con AES-256, uno de los algoritmos de cifrado más potentes disponibles. Así, sólo se puede descifrar y acceder a la información con los factores que el usuario decida.

Según reconoce el ejecutivo de Intel Security, el desafío es tener muy buena tecnología, pero haciéndola fácil de usar, pues muchas veces es tan sofisticado que no invita a la adopción. La apuesta es crear una experiencia de usuario que muestre la tecnología disponible, que la gente pueda ver y usar.

Finalmente, Pedro Paixao, comparte la solución que considera con mejor futuro. Se trata de Sqrl (Secure, Quick, Reliable Login), "una solución abierta que básicamente, es el login web de WhatsApp, que te sale el codigo QR y tú sacas la foto con el telefono y ahí el sitio, como por magia, te abre sin pedir password. Eso es cambiable, es algo que tú tienes, es fácil, no tienes que memorizar nada. Creo que tendencialmente vamos a empezar a ver más de este tipo de soluciones para realmente acabar con la password, seŕia lo ideal", concluye.