Un nuevo estándar para dar a los teléfonos y PC un papel más importante en la autenticación podría desarmar los ataques basados en el robo de contraseñas.
Un consorcio del que forman parte PayPal y Lenovo, uno de los mayores fabricantes de PC en el mundo, ha puesto en marcha un conjunto de estándares de tecnología que podrían reducir la dependencia de las contraseñas, y hacer que las cuentas en línea fueran más seguras.
Con los estándares propuestos por la Alianza FIDO, el dispositivo que una persona esté utilizando para iniciar sesión en una cuenta jugaría un papel más central en la autenticación. Eso haría imposible poner en peligro las cuentas mediante el robo de contraseñas, tal y como hicieron los hackers que entraron en Twitter este mes y en LinkedIn el año pasado.
"Hoy día, los delincuentes pueden recuperar fácilmente las credenciales de los clientes mediante técnicas como la adivinación de contraseñas, el robo de credenciales en sitios web o el phishing", señala Michael Barrett, jefe de seguridad de la información en PayPal y cofundador de la Alianza FIDO. "Iniciativas como FIDO son importantes porque ayudan a crear un entorno en el que las credenciales estén mucho más ligadas al dispositivo y el criminal lo tenga mucho más difícil para fugarse con ellas".
Una empresa que utilice las especificaciones técnicas que están siendo desarrolladas por la Alianza FIDO podría obtener una prueba del dispositivo de la persona mediante la comprobación del chip de seguridad que está instalado en muchos ordenadores, o pidiendo a un usuario con el hardware adecuado que utilice un lector de huellas digitales. Barrett señala que ofrecer un estándar abierto que cualquier empresa pueda adoptar o vender impulsará la adopción generalizada de la nueva técnica, disminuyendo el papel de las contraseñas a la hora de asegurar las cuentas personales.
Las empresas que decidan utilizar el nuevo enfoque tendrán la opción de requerir tanto una contraseña como un método de autenticación secundario vinculado a un dispositivo, o prescindir de la contraseña completamente. "Por fin podemos dejar de depender de estas cosas, que nos han estado molestando desde la era mainframe", señala Phil Dunkelberger, antiguo director general de PGP Corporation y actualmente director de Nok Nok Labs. Su nueva start-up, que cuenta con 15 millones de dólares (11,14 millones de euros) en financiación, ha desarrollado un software que permite a las empresas asegurar sus cuentas con los estándares FIDO.
Uno de los objetivos de la Alianza FIDO es hacer un mejor uso del hardware de seguridad en dispositivos ya existentes, cuya utilización es muy escasa en la actualidad. La mayoría de los ordenadores portátiles y de sobremesa (y algunas tabletas) ya contienen una pieza de hardware de seguridad, conocida como chip TPM, que se puede utilizar para verificar quién está utilizando un dispositivo en particular (hoy día se utiliza principalmente para permitir el cifrado de disco). Dunkelberger asegura que el software de su compañía puede hacer un uso similar del chip de seguridad incluido con el hardware de comunicaciones de campo cercano en algunos teléfonos, utilizado para hacer pagos inalámbricos. Tanto ARM como Intel tienen planes para crear una tecnología similar al estándar TPM en teléfonos y tabletas.
Exigir a una persona que proporcione una contraseña y una prueba secundaria vinculada físicamente es un enfoque conocido como 'autenticación de dos factores'. Aunque ampliamente defendida por los expertos en seguridad, es relativamente poco común. Los bancos y las grandes empresas son los más entusiastas a la hora adoptar la autenticación de dos factores. Aunque algunas empresas de consumo la ofrecen, entre ellas Google, Dropbox y Facebook, solo la han adoptado una pequeña parte de sus usuarios.
Para que una empresa adopte el enfoque FIDO, debe instalar el software adecuado en sus servidores y persuadir a los clientes para que instalen nuevo software en los teléfonos y ordenadores que utilizan para acceder a sus cuentas. La tecnología, de cara al usuario, se podría incluir en una aplicación móvil u ofrecerse como plug-in.
La especificación FIDO también está diseñada para comprobar las credenciales de una persona de forma más segura de lo que es habitual hoy día. Por ejemplo, normalmente cuando alguien inicia sesión en una cuenta de correo electrónico desde su teléfono, una versión encriptada de su contraseña es transmitida a un servidor remoto que la compara con una base de datos de contraseñas. Cada vez que eso sucede, la contraseña puede ser potencialmente interceptada y descifrada. La base de datos central de contraseñas también puede verse comprometida, como sucedió en el caso de Twitter. Las contraseñas robadas de esa manera se pueden utilizar para tomar el control de la cuenta de una persona.
Con el método FIDO, no se envía ninguna contraseña ni información de identificación, sino que es procesada por el software en el teléfono o el ordenador. Este software calcula cadenas criptográficas que se envían a un servidor de inicio de sesión. Las cadenas se pueden utilizar para confirmar que la persona ha suministrado las credenciales correctas, pero no para revelar la información de inicio de sesión. Al mismo tiempo, el dispositivo del usuario recibe una cadena de cifrado que le permite verificar que el servidor con el que se comunica es el verdadero y no un impostor.
Como resultado, el enfoque FIDO elimina el incentivo del robo masivo de contraseñas de empresas de Internet, señala Ramesh Kesanupalli, cofundador de la Alianza FIDO: "Hay que hacerlo de unidad en unidad, por lo que no hay escalabilidad". Para comprometer una cuenta protegida de esta manera, añade, "hay que conseguir la contraseña y también robar el dispositivo".
Sin embargo, la adopción de la nueva especificación por una gran cantidad de empresas tiene una desventaja potencial, puesto que se crea un objetivo de gran potencial para los piratas informáticos, señala Michael Versace, director de investigación de la firma de análisis IDC, que está familiarizado con los planes de la Alianza FIDO. "Los atacantes tendrían un gran incentivo para encontrar vulnerabilidades en un sistema tan grande", afirma. "Un ataque exitoso podría provocar fallos sistémicos de identidad en la red a la que den soporte".
Para que el consorcio logre crear un gran impacto, tendrá que tentar a muchas más empresas para que se sumen a la iniciativa, añade Versace. "FIDO tiene una oportunidad de ganar tracción inicial mediante PayPal", señala, y añade que hasta el momento el grupo ha hablado principalmente sobre su enfoque técnico, y no sobre el modo en que va a dirigirse a las empresas en cuanto a términos de negocios y financieros.
Esto podría ser especialmente difícil cuando se trate de las mayores compañías de Internet, como Google y Facebook, que podrían tener sus propios planes, añade Versace. Por ejemplo, se sabe que Google está probando alternativas a las contraseñas basadas en llaves USB.