Por qué los días de las contraseñas están contados

Thorsten Stremlau

26/02/2018

Thorsten Stremlau, director de estrategia mundial de ofertas y productos para grandes empresas de Lenovo, explica por qué recordar contraseñas será pronto cosa del pasado.

Hay un problema con las contraseñas. Mucha gente sigue utilizando la misma en varios dispositivos y plataformas, por lo que si un hacker logra acceder a una cuenta, podrá acceder a todas. Y los piratas informáticos están más activos que nunca, como ponen de manifiesto los hacks recientes a LinkedIn y Twitter. Otras tecnologías, como la biométrica y las tarjetas inteligentes, son más seguras pero también tienen debilidades. Ahora que toda nuestra información está almacenada en formato digital, la cuestión de la seguridad tiene más importancia que nunca. ¿Cómo avanzamos hacia un modelo más seguro?

Una manera mejor de autenticar

La respuesta la tiene la Alianza FIDO, un grupo de las más importantes empresas tecnológicas que incluye Lenovo (miembro fundador), Google, ARM, Bank of America, Intel, Microsoft, PayPal, Qualcomm y Samsung. Se estableció para encabezar la búsqueda de medidas de seguridad más eficaces para todas las plataformas y dispositivos. Y va a despachar las contraseñas a la historia.

Todo empezó cuando Lenovo adquirió una empresa fabricante de sensores de huellas dactilares llamada Validity. El director general de esta firma se había dirigido a varias grandes empresas, como PayPal, para ofrecerles su tecnología en la autenticación de pagos. La idea giraba en torno a que, fuera cual fuera el dispositivo utilizado, mientras tuviera un sensor Validity instalado, PayPal podría autenticar el pago. A PayPal le encantó, pero se presentó un problema: si accedía a la propuesta de Validity, tendría que hacer lo mismo con todos los fabricantes de sensores de huellas dactilares, que por entonces eran entre 150 y 200. PayPal habría tenido que dedicar todo su tiempo a integrar la tecnología y a comprobar su seguridad, lo que evidentemente no era factible.

Como alternativa, Lenovo, PayPal y Validity crearon y lideraron una alianza abierta en el sector para revolucionar la autenticación online: la Alianza FIDO, cuyas siglas en inglés significan «identificación rápida online» (Fast IDentify Online).

¿Qué había antes?

Antes de FIDO, la autenticación era un desastre. Se necesitaba un cliente o un software en ejecución en el dispositivo. Se utilizaba un método de autenticación, como una contraseña, una llave RSA, una tarjeta inteligente o una huella dactilar, que autenticaría al usuario en este software cliente. El software cliente devolvería una señal al servidor, que diría, por ejemplo: «De acuerdo. Esta autenticación de Thorsten es correcta». Parece sencillo, pero planteaba un sinfín de problemas.

En cada autenticación había que implementar algún tipo de software para el hardware concreto. Esto era específico e intransferible para cada proceso de autenticación. Si se contaba con una aplicación de huellas dactilares, era preciso ejecutar otra en el servidor y además contar con un proceso cliente al efecto. Lo mismo ocurría con las tarjetas inteligentes y las llaves RSA. No eran compatibles entre plataformas, por lo que resultaba muy complicado cambiar de dispositivo.

También era muy difícil reutilizarlas. Si yo empleaba una tarjeta inteligente en mi empresa, no podía utilizarla también en el banco, ni en los pagos online a Amazon, ni con PayPal. Estaba vinculada a mi entorno empresarial y nada más.

Por qué FIDO es mejor

La Alianza FIDO crea un cliente en el dispositivo. Esto ya existe para Android, Windows y el navegador Chrome. En lugar de realizar la autenticación contrastándola con una aplicación instalada en el equipo, Windows 10, Android y Chrome tienen esta función integrada en los datos del sistema. El código funciona con cualquier dispositivo certificado por FIDO. En la actualidad existen más de 100 soluciones certificadas entre tarjetas inteligentes, lectores de huellas dactilares, llaves RSA y software de reconocimiento del iris. Sirve para todo tipo de usos.

Es mucho más seguro y fácil de usar. Digamos que me estoy autenticando con el cliente FIDO instalado en mi equipo. El cliente FIDO envía un mensaje a la página web en el que dice que la autenticación se ha realizado correctamente. Ya no hace falta transferir ninguna contraseña o hash a través del servidor. No hay nada que se almacene en los servidores de autenticación de cada página web que se pueda reutilizar en otros sitios. Para iniciar sesión en Amazon o Google, se utiliza FIDO para autenticar contrastando con datos del sitio web. A continuación se puede utilizar cualquier dispositivo registrado en dicho sitio. Elimina completamente la necesidad de contraseñas.

La Alianza FIDO promueve dos tipos de tecnología de autenticación. La de factores universales de autenticación (Universal Authentication Factors o UAF) utiliza datos biométricos, dongles físicos y contraseñas. La segunda se conoce como Universal Second Factor Authentication (U2F) o autenticación en dos pasos. Todos los métodos de autenticación tienen desventajas: las contraseñas se pueden adivinar, las tarjetas inteligentes se pueden robar y la biométrica se puede fingir en determinadas condiciones. Pero si se combinan, como se hace en la U2F, el nivel de seguridad es mayor.

Nuestra seguridad online es primordial, tanto en la vida personal como en la profesional. La Alianza FIDO es la mejor forma de estar seguros de que nuestros datos siguen siendo privados. Yo, desde luego, no voy a llorar en el entierro de la contraseña.

Si desea saber cómo mantener su competitividad, consulte nuestra serie de libros electrónicos online en los que describimos los retos y las oportunidades a los que se enfrentan las organizaciones en el siglo XXI.

TAMBIÉN LE PUEDE INTERESAR...

La oficina de cara a 2020

Todo lo que necesitan saber las organizaciones del siglo XXI.