Las contraseñas han muerto (o casi)

Íñigo Otaolea, Experto en estrategia móvil, IBM

¿Cuántas contraseñas y claves tenemos cada uno de nosotros? Al menos una para cada cuenta del banco, la compañía eléctrica, los seguros, las tiendas online en las que compramos, las múltiples cuentas de email y redes sociales, las herramientas de productividad (Evernote, Dropbox), hasta los PINs de las tarjetas de crédito.

Resulta complicado recordarlas todas y más aún actualizarlas. ¿Realmente alguien lo hace para todas sus cuentas de manera periódica? Por otro lado, también es recomendable no reutilizar las contraseñas (corramos un tupido velo), pero… ¿son tan seguras como creemos?

He podido escuchar técnicas de memorización de contraseñas de todo tipo:

• La técnica del “OTPC” (One Time Password Casero): consiste en decir que has olvidado la contraseña y cambiarla cada vez que necesitas acceder. No es la mejor técnica, ya que mucha gente olvida el usuario o incluso la frase/pregunta secreta.
• La técnica del algoritmo estacional: un conocido me explicó que tenía un algoritmo en el que cambiaba cada tres meses las contraseñas de todas sus cuentas de modo que siempre sabía qué password tocaba en función del año, la estación y la cuenta.
• La técnica de las Apps de contraseñas: es el caso de los que usan las herramientas y aplicaciones web/móvil de almacenamiento de contraseñas.
• Por último están las técnicas clásicas: los wallets y el taggeo analógicos. El wallet consiste en llevar una hoja Excel imprimida en la cartera, mientras que el taggeo es un Post-it con el PIN pegado a la parte trasera de la VISA. Estas dos últimas técnicas se conocen también como las técnicas de “Barra libre” o “Adelante, ¡róbeme!”).

¿Y cómo hemos llegado a esta situación? Sobre todo, debido a la explosión de cuentas que requieren que nos registremos y nos autentiquemos para acceder a nuestra información. La complejidad se incrementa con el auge de la movilidad, que hace que se multipliquen las interfaces de acceso (PCs, Tablets, smartphones, wearables) y, como consecuencia, la necesidad de acceder a cada vez más información y a más cuentas.

La autenticación normalmente se basa en tres principios: algo que sabemos (contraseña, PIN…), algo que tenemos (una tarjeta de coordenadas, un token de seguridad…), o algo que somos (biometría).

Muchos opinan que con la biometría está el tema resuelto, pero si profundizamos un poco veremos que existen muchas soluciones, aunque ninguna es perfecta:

• La voz (cada huella vocal es única, aunque las condiciones ambientales de ruido no la convierten en el método más usable)
• El reconocimiento facial (las cámaras frontales de nuestros móviles no disponen aún de las mejores ópticas ni funcionan en condiciones de baja luminosidad)
• El reconocimiento de la huella (quien más quien menos habrá leído que el último modelo de iPhone y el Galaxy S5 ya disponen de lector de huella dactilar)

Existen otras técnicas biométricas, pero en general no hay una solución ideal y es la combinación de varias de estas técnicas lo que da mayor seguridad, lo que se conoce como autenticación multifactor.

Pero tal vez sea el Risk Based Authentication (RBA) la técnica más prometedora a día de hoy. Consiste, de manera simplificada, en jugar con el riesgo y combinar diversas técnicas de biometría, contraseñas e incluso nuestro contexto (geoposicionamiento, red de conexión, franja horaria, dispositivo de acceso) para identificarnos en base a múltiples criterios en función del riesgo. El RBA tiene una componente de seguridad potente al combinar diversas técnicas, pero no debería perder de vista la usabilidad.

Si consideramos el riesgo en base a una dimensión funcional, para acceder al saldo de mi cuenta bancaria debería bastar con que mi móvil me pida un PIN. Pero si quiero hacer una transferencia necesitaré un nivel de seguridad mayor. Del mismo modo, el riesgo también depende de una dimensión contextual. Para explicarlo veamos dos escenarios:

Escenario A: Accedo desde mi teléfono móvil habitualmente a la aplicación de mi banco, estoy conectado desde una ubicación que es mi hogar o mi trabajo y quiero hacer una transferencia bancaria a una cuenta de la que soy titular.

Escenario B: Accedo desde el móvil de otra persona en el que utilizo el navegador web móvil, estoy conectado a través de una wifi pública de un Starbucks desde Varsovia: es que estoy de viaje, me he quedado sin batería y pido a un compañero de trabajo que me deje hacer una transferencia desde su móvil; pero también podría ocurrir que me hayan “hackeado” la contraseña, ya que mi móvil está encendido y conectado a la Wifi de la oficina.

Estaréis de acuerdo en que el nivel de seguridad del escenario B debería ser más fuerte que el del escenario A.

Algunos artículos dicen que las contraseñas han muerto. Pero ¿estamos en un nivel lo suficientemente maduro como para que los algoritmos de seguridad y autenticación permitan este tipo de técnicas basadas en riesgos o autenticación multifactor? Por desgracia, las contraseñas no han muerto aún, pero esperemos que en breve sea el caso.