El final de las contrase?as

Con saqueos masivos de datos como el de Sony, el mayor ciberataque padecido por una empresa, o el que sufri¨® Apple hace unos meses, cuando decenas de fotos privadas de actrices de Hollywood fueron robadas y difundidas por todos los rincones de la red, hablar de Internet y seguridad se ha convertido casi en un ox¨ªmoron, una contradicci¨®n en los t¨¦rminos. La mayor¨ªa de los expertos considera que el actual sistema de contrase?as que rige la red ha caducado por lo inc¨®modo que resulta para los usuarios y, como queda cada vez m¨¢s claro, por su falta de fiabilidad. El futuro se encuentra en los sistemas de doble autenticaci¨®n y en la biometr¨ªa, campo en el que varias empresas espa?olas est¨¢n en la vanguardia. Mientras tanto todos los expertos en seguridad dan el mismo consejo: generar contrase?as m¨¢s complejas para, en la medida de lo posible, entorpecer el trabajo de los ladrones de datos.

Como ha escrito el experto en inform¨¢tica de The New York Times, Farhad Manjoo, ¡°no mandes un mail, no subas una foto a la nube, no mandes un mensaje de texto, al menos si tienes cualquier esperanza de que siga siendo privado¡±. El problema est¨¢ en que cada vez tenemos m¨¢s datos y m¨¢s importantes en Internet, ya sean bancarios, profesionales o personales, y cada vez est¨¢n m¨¢s expuestos. La p¨¢gina web www.databreaches.net calcula que se han producido 30.000 robos de datos en todo tipo de empresas en los ¨²ltimos diez a?os, con una inquietante aceleraci¨®n en 2013 y 2014. Javier Garc¨ªa Villalba, profesor del Departamento de Ingenier¨ªa de Software e Inteligencia Artificial de la Universidad Complutense de Madrid, asegura: ¡°Una contrase?a por s¨ª sola ya no ofrece suficiente seguridad. Los ataques inform¨¢ticos comprometen por igual cualquier contrase?a, sea buena, mala o regular¡±.

¡°Las contrase?as se consideran inseguras pr¨¢cticamente desde su nacimiento¡±, explica por su parte Alejandro Ramos, profesor del Master en Seguridad de las tecnolog¨ªas de la Universidad Europea de Madrid. ¡°El problema es que se han utilizado en todos los sistemas de informaci¨®n y nos hemos acostumbrado a su uso. Cambiar y aprender nuevos m¨¦todos de autenticaci¨®n no es sencillo y ese es el motivo principal por el que hoy en d¨ªa siguen utilizando¡±. Un estudio de la empresa estadounidense Fortinet, especializada en sistemas de seguridad reforzada, asegura que cada usuario maneja como m¨ªnimo 25 sitios con contrase?as, aunque s¨®lo se utilizan 6,5 claves diferentes de media, lo que debilita todav¨ªa m¨¢s la protecci¨®n. ¡°El objetivo es buscar soluciones tecnol¨®gicas que eliminen las contrase?as que hacen cada vez m¨¢s complicado moverse en la web¡±, explica el director para Espa?a de PayPal (la principal empresa de pago por Internet), Estanis Mart¨ªn de Nicol¨¢s. Javier Barrachina, responsable de producto de la empresa FacePhi, una startup alicantina que ha desarrollado un sistema de reconocimiento facial a trav¨¦s del m¨®vil que acaba de ser comprado por la Asociaci¨®n de Bancos del Per¨² (ASBANC) que agrupa a 16 entidades, se muestra rotundo: ¡°El final de las contrase?as es algo inevitable. Antes ten¨ªamos que aprender decenas de n¨²meros tel¨¦fono de memoria, ahora nos parece inconcebible. Es que adem¨¢s trabaja a favor de las personas¡±.

Entonces, si las contrase?as han muerto, ?cu¨¢l es el futuro? ¡°Los expertos determinan que existen tres factores de autenticaci¨®n, que se definen por algo que sabemos, algo que tenemos y algo que somos¡±, explica Daniel Firvida, coordinador de operaciones del Instituto Nacional de Ciberseguridad (Incibe), una sociedad estatal adscrita al Ministerio de Industria, Energ¨ªa y Turismo cuya misi¨®n es reforzar la seguridad de la informaci¨®n en Internet. Algo que sabemos ser¨ªa la contrase?a tradicional, algo que tenemos ser¨ªan las tarjetas de coordenadas o las aplicaciones para generarlas que actualmente utilizan casi todos los bancos, que exigen una doble autenticaci¨®n antes de realizar cualquier operaci¨®n importante, y algo que somos ser¨ªa la biometr¨ªa, la autenticaci¨®n a trav¨¦s de la voz, la huella dactilar o el iris.

La biometr¨ªa plantea todav¨ªa muchos problemas para
su generalizaci¨®n

Desde un octavo piso de la Gran V¨ªa que ofrece una vista impresionante sobre Madrid, Emilio Mart¨ªnez, CEO de la empresa madrile?a Agnitio, ofrece una visi¨®n de un futuro que ya forma parte del presente. Su empresa, conocida por un programa de reconocimiento de voz que utilizan las polic¨ªas de casi 40 pa¨ªses, ha creado un sofisticado programa para reemplazar las contrase?as por el reconocimiento de voz dentro de la alianza internacional FIDO, el proyecto m¨¢s ambicioso para dar un salto adelante en la seguridad en Internet. Impulsada por PayPal y con gigantes como Google, Microsoft, Samsung, Visa, MasterCard, Alibaba, BlackBerry o Bank of America entre sus miembros, el objetivo de esta alianza es ofrecer nuevos m¨¦todos de seguridad que se conviertan en standards para pagar o manejar datos. Apple, a trav¨¦s de ApplePay que est¨¢ incorporado en EEUU a sus nuevos aparatos como el iPhone 6, tambi¨¦n permite nuevas formas de pago, con una seguridad mucho m¨¢s sofisticada. Este tel¨¦fono, como el ¨²ltimo modelo de Samsung, ya se desbloquean con un sistema biom¨¦trico y permiten realizar pagos s¨®lo con la huella dactilar como identificaci¨®n.

¡°Las contrase?as est¨¢n heridas de muerte, pero no muertas¡±, explica Emilio Mart¨ªnez. ¡°Ya existen las bases tecnol¨®gicas y de est¨¢ndares de pago que nos permitan ir sustituy¨¦ndolas pero su incorporaci¨®n es lenta¡±, agrega. Mart¨ªnez recuerda c¨®mo ha ido evolucionando la industria del pago, desde los viejos tiempos en que con una firma bastaba para utilizar una tarjeta de cr¨¦dito ¨Crecordar ahora las viejas bacaladeras que dejaban una reluciente copia en papel carb¨®n de la tarjeta pone los pelos de punta¨C hasta la paulatina incorporaci¨®n de los chips a las tarjetas de cr¨¦dito ¨Cse crearon en 1998 pero tardaron m¨¢s de diez a?os en generalizarse¨C. La clave no est¨¢ s¨®lo en incorporar sistemas de seguridad muy sofisticados utilizando los sensores de los que disponen los tel¨¦fonos para captar la voz, la imagen o las huellas dactilares ¨Clos c¨¢lculos de la industria indican que en 2017 habr¨¢ 990 millones de m¨®viles que incorporen estos sistemas¨C, sino en la forma de almacenar la informaci¨®n. Para los expertos, un avance fundamental es poner en marcha sistemas que hagan que las compa?¨ªas no almacenen las contrase?as, que s¨®lo las tenga el cliente ¨Ces lo que se denomina contrase?as cerradas y abiertas¨C. De esta forma, aunque sufra un ataque, los da?os ser¨ªan mucho m¨¢s reducidos que ahora.

¡°Las claves hacen que sea cada d¨ªa m¨¢s dif¨ªcil navegar¡±, dice un experto

El problema es que la biometr¨ªa todav¨ªa plantea muchos desaf¨ªos: es m¨¢s f¨¢cil utilizarla en un tel¨¦fono que una p¨¢gina web y debe ser incorporada de manera generalizada por la industria, desde los comercios hasta los bancos o las empresas que manejan informaci¨®n en la web (b¨¢sicamente, todas). Como explica Javier Garc¨ªa Villalba, ¡°est¨¢ bien para entrar en un edificio, pero no para conectar con Melbourne¡±. ¡°De momento lo m¨¢s seguro parece el uso de lo que se llama autenticaci¨®n de dos factores, donde adem¨¢s de una contrase?a se utiliza alguna medida biom¨¦trica o algo que el cliente posee como una calculadora, el tel¨¦fono m¨®vil. Esto hace que el compromiso de una contrase?a cause menos da?o y, aunque no es tampoco un sistema totalmente fiable, ofrece mucha mejor seguridad¡±, agrega este profesor de la Complutense.