La era de las contraseñas ha terminado – han demostrado ser demasiado fáciles de explotar como para constituir la columna vertebral de la seguridad digital. Las contraseñas pueden ser robadas, forzadas o adivinadas y, dado que el 70% de la gente reutiliza las contraseñas,adivinarlas es muy fácil. Normalmente, los malos actores pueden comprar una lista de direcciones de correo electrónico y, tras obtener acceso al archivo de contraseñas encriptadas, prueban cada contraseña contra las contraseñas cifradas hasta que obtienen una coincidencia. Cuando lo hacen, pueden utilizar la contraseña en el sitio – intentar cada contraseña en los propios sitios es probable que resulte en un bloqueo, por lo que esto rara vez se utiliza.
Sin embargo, los nuevos dispositivos de hardware están haciendo posible evitar el uso de contraseñas para cualquier cosa, desde entrar en páginas web hasta acceder a zonas restringidas. Combinando la biometría con un diseño inteligente y los últimos protocolos de autenticación, podrían convertirse en parte de la vida cotidiana de millones de personas a medida que salimos de la era de las contraseñas y entramos en una nueva era de seguridad mucho más fuerte.
La era de las contraseñas
Las contraseñas suponen un gran problema para los negocios en línea y un problema aún mayor para las empresas y organizaciones gubernamentales que manejan información sensible. Se sabe desde hace tiempo que los grupos de espionaje extranjeros utilizan memorias USB y cargadores de teléfono gratuitos para instalar software de registro de teclas en los ordenadores objetivo y esta técnica sólo funcionaría si las contraseñas siguen siendo el medio más importante para validar a los usuarios.
Las contraseñas alfanuméricas son el estándar no sólo para entrar en páginas web, sino en miles de otros lugares, entre los que destacan los números PIN utilizados en las tarjetas bancarias, para desbloquear teléfonos y en los teclados de las entradas. Una persona que mire por encima de su hombro podría acceder fácilmente a su cuenta bancaria, a su teléfono (y con él a todas las demás contraseñas almacenadas en él) o incluso a su casa u oficina.
Es mucho más probable que una contraseña alfanumérica se vea comprometida por un fisgón o un «ingeniero social» que una contraseña «pirateada». Los estándares de encriptación comunes como RSA tardarían billones de años en lograr un ataque de ‘fuerza bruta’, por lo que se utilizaron técnicas como el phishing en penetraciones de alto perfil como el hackeo del DNC de 2016. Aumentar la complejidad de las contraseñas y obligar a que cada una sea única sólo hará que las contraseñas sean tan complejas que la mayoría de la gente no podrá utilizarlas.
La autenticación de dos factores o multifactorial aumenta la seguridad de los sistemas basados en contraseñas al añadir otros factores, pero debido a su complejidad duplicada con eficacia, es algo que se utiliza rara vez, lo que llevó a que casi todas las cuentas de Microsoft comprometidas fueran cuentas que no utilizaban la autenticación multifactor incluso cuando estaba disponible.
Seguridad sin contraseñas en la actualidad
El concepto de seguridad biométrica existe desde hace tanto tiempo como las contraseñas alfanuméricas: se podría argumentar que reconocer a alguien por su rostro es anterior a la escritura y, muy posiblemente, a los propios seres humanos. La biometría moderna, como la seguridad de las huellas dactilares, el reconocimiento facial y la biometría del comportamiento, se han integrado en la vida cotidiana. Aunque son más fáciles y seguras que las contraseñas alfanuméricas, los distintos tipos de autenticación biométrica siguen dependiendo de que la información se envíe de un lugar a otro (un lector de huellas dactilares que envía la huella dactilar de un usuario a un servidor en la nube donde se verificará), y aunque se cifrará durante el tránsito, sigue existiendo la posibilidad de que pueda ser interceptada en cualquiera de los dos extremos: si el lector de huellas dactilares o incluso el servidor en la nube se ven comprometidos, por ejemplo.
Muchos de nosotros ya utilizaremos la seguridad de la huella dactilar para desbloquear nuestros teléfonos, y un número cada vez mayor de nosotros utilizará la comunicación de campo cercano (NFC) al menos en alguna parte, ya sea utilizando su teléfono para pagar una compra, desbloqueando una puerta con un llavero o iniciando sesión en sistemas sensibles (el NHS utiliza tarjetas NFC para registrar a los usuarios en su red informática, por ejemplo) El sitio Norma de seguridad FIDO permite a los usuarios utilizar claves NFC o USB para iniciar sesión en sitios web, lo que significa que sólo el poseedor de una clave podrá acceder a una cuenta. Por supuesto, una tarjeta clave NFC puede ser utilizada por cualquiera, y no hay forma de verificar que la persona que utiliza una clave es su usuario correcto sin otra forma de verificación.
Estos avances llegan en un momento en el que se están desarrollando ordenadores cuánticos que podrían ser capaces de romper la criptografía utilizada en las contraseñas de una forma que los ordenadores contemporáneos no pueden. Esto significaría que todos los datos que no estuvieran protegidos por uno de los algoritmos resistentes a la cuántica desarrollados recientemente serían inseguros, y los malos actores ni siquiera necesitarían utilizar el phishing o la ingeniería social para descifrar las contraseñas: sólo necesitarían acceso a un ordenador cuántico y tiempo.
Cómo podría ser la ciberseguridad
Así pues, ambos sustitutos potenciales de las contraseñas tienen inconvenientes, pero la empresa nórdica de tecnología cibernética impulsada por I+D, Pone Biometrics ha desarrollado un sistema biométrico basado en tarjetas que elimina ambas limitaciones y ofrece a gobiernos, empresas y particulares una forma muy potente de verificar su identidad, dentro y fuera de Internet.
Su solución consiste en disponer de un lector de huellas dactilares en una tarjeta que actúa como un microordenador, con su propio sistema operativo y la posibilidad de añadir aplicaciones integradas para ampliar su uso. Si un usuario quiere entrar en una página web o abrir una puerta, golpea la tarjeta mientras presiona con el pulgar o el dedo sobre el lector. El ordenador de a bordo comprueba su huella y transmite la verificación encriptada al dispositivo de forma segura, lo que significa que se envía muy poco entre dispositivos.
Las propias tarjetas sólo están activas cuando se utilizan, por lo que no existe la posibilidad de que sean «descremadas» mientras el usuario cree que están inactivas y una pantalla visual que muestra si está en uso. La batería interna puede durar de 2 a 3 semanas entre carga y carga, e incluso cuenta con un sistema a prueba de fallos que protege a los usuarios de ser forzados a utilizarlo: pueden tener un «dedo a prueba de fallos» que borrará el dispositivo si se utiliza.
Estas tarjetas podrían acabar utilizándose dondequiera que exista actualmente la necesidad de autenticación: un empleado del gobierno podría utilizar el mismo dispositivo para acceder a información sensible mientras está en el trabajo y utilizarlo para abrir la puerta de su casa e iniciar sesión en las cuentas de su ordenador doméstico.
Por supuesto, los ordenadores cuánticos podrían romper incluso la criptografía reforzada utilizada para proteger la biometría, lo que significa que debe integrarse en cualquier nuevo sistema de seguridad desde el principio. Esto es algo que en Utimaco hemos estado persiguiendo durante varios años, convirtiéndonos en una de las principales empresas de hardware que está desarrollando tecnología para contrarrestar los ordenadores cuánticos años, o incluso décadas antes de que estén ampliamente disponibles. Combinando tarjetas de seguridad biométricas de última generación con una resistencia cuántica a prueba de futuro podemos entrar en un mundo post-contraseña.
Nils Gerhard, CTO de Utimaco
