Autenticación robusta más allá de las contraseñas

“Este verano unos hackers destruyeron mi vida digital en una hora”, dijo el editor sénior de la revista Wired Mat Honan después de que los hackers irrumpieran en sus cuentas de Apple, Twitter y Gmail y borraran todos sus mensajes y documentos. “Reutilizar las contraseñas es lo que te crea más problemas”, dice Diana Smetters, una ingeniera de software en Google, mientras admite que hay una economía sumergida basada en el robo y la venta de contraseñas de todo tipo.

Éstos son solo dos ejemplos de las historias de terror que se narraban en Wired hace unos años y que hoy en día aún son vigentes, demostrando lo inseguras que son las contraseñas de texto y lo mucho que pueden afectar (no solo) a nuestra vida digital. No obstante, a pesar de ser altamente inseguras, las contraseñas continúan siendo el principal método de autenticación en la red, con más de un 98% de páginas web usándolas sin ofrecer ninguna otra posibilidad de autenticación. Además, los requerimientos de seguridad de servicios críticos como la banca electrónica van más allá de las contraseñas de texto ordinarias. Finalmente, tal y como se indica en diversos estudios, un 70% de los usuarios olvida su contraseña una vez al mes, e intenta un promedio de 2,4 contraseñas antes de escribir la correcta.

Los problemas descritos anteriormente crearon la necesidad de nuevos mecanismos de autenticación, con más garantías, que pudieran explotar el potencial de tecnologías existentes, y de esta forma llegar a un balance correcto entre seguridad y usabilidad. En esta dirección, los investigadores están actualmente trabajando para encontrar sistemas de autenticación alternativos a las contraseñas, donde la identidad del usuario se puede verificar con biometrías (por ejemplo la huella dactilar o el reconocimiento de iris o facial) en lugar de una combinación de nombre de usuario y contraseña. La adopción de estos nuevos métodos de autenticación está directamente relacionada con la creciente penetración de los teléfonos inteligentes, ya que vienen equipados con sensores potentes, como los lectores de huella dactilar, que se usan hoy en día en muchos móviles.

El equipo científico de Telefónica está actualmente contribuyendo al proyecto ReCRED, que promueve los móviles personales de los usuarios como método de autenticación y autorización en el mundo digital. El proyecto está financiado por el programa H2020 de la Unión Europea, y cuenta con la participación de 12 organizaciones en total, incluyendo universidades y empresas de 8 países Europeos que trabajan coordinadamente: University of Piraeus, Cyprus University of Technology, Telefonica, Verizon, CNIT, Universidad Carlos III de Madrid – IMDEA, UPCOM, EXUS, WEDIA, certSIGN, The Productizers y Baker & McKenzie.

ReCRED traslada la carga de la autenticación del usuario al dispositivo mismo, aprovechando al máximo las capacidades inherentes de los teléfonos inteligentes. Estos se convierten en servidores de autenticación, donde cada cuenta de usuario puede mantenerse y administrarse de forma segura en el dispositivo, siguiendo los estándares tecnológicos más modernos que aprovechan los beneficios de la criptografía asimétrica (por ejemplo, la Alianza FIDO). Los usuarios pueden ser autenticados por sus dispositivos móviles, localmente, usando la huella digital, el reconocimiento de rostros, cómo caminan, escriben o se desplazan por la ciudad, etc., mientras que el móvil a través de la plataforma ReCRED proporciona acceso a los servicios suscritos (por ejemplo, cuentas bancarias online, redes sociales, etc.). En caso de pérdida o robo del dispositivo, todos los datos personales del usuario se cifran de forma segura en el dispositivo, utilizando una nueva y prometedora tecnología llamada Trusted Execution Environment, que funciona tanto a nivel de hardware como de software.

Además de convertir los teléfonos inteligentes en servidores de autenticación y autorización para el mundo digital, ReCRED también ofrece dos innovaciones adicionales. Primero, facilitar la gestión de identidades y cuentas de usuarios en línea. La mayoría de los usuarios de Internet actuales están registrados en muchos servicios en línea, como proveedores de correo electrónico (por ejemplo, Gmail, Yahoo), redes sociales (por ejemplo, Facebook, Twitter, LinkedIn), banca electrónica, aplicaciones corporativas, etc. ReCRED puede ofrecer acceso seguro a todos los servicios mencionados, así como la administración de cuentas desde un único dispositivo, independientemente del método de autenticación aplicado de cada servicio. Segundo, facilitar el anonimato del usuario a la hora de verificar su información (por ejemplo, sexo, edad, estudiante, etc.) sin revelar ningún otro dato personal. Estas credenciales anónimas son emitidas por autoridades de confianza que poseen tales datos (por ejemplo, servicios de gobierno electrónico, proveedores de telecomunicaciones, instituciones bancarias, etc.) y ReCRED permite a los usuarios autenticarse de forma segura mientras que al mismo tiempo mantienen su privacidad.

Para más información puede visitar www.recred.eu o ponerse en contacto con el Profesor Xenakis o el Doctor Perino. También puede seguir los pasos de ReCRED en Facebook, LinkedIn, Twitter y YouTube.

Sobre el autor

RELACIONADOS