Mediante la observación de cómo se introducen los passwords, una compañía espera hacer que los accesos sean más seguros.
Los passwords pueden ser uno de los eslabones más débiles dentro de la seguridad. Demasiado a menudo, los usuarios escogen palabras clave fáciles de averiguar o difíciles de proteger; incluso las claves más fuertes a veces se tienen que combinar con medidas adicionales, como tarjetas inteligentes y escáneres de huellas dactilares, para así dotar a los sistemas de protección extra.
Delfigo Security, una startup con sede en Boston, tiene una solución más simple para reforzar la seguridad de las claves. Mediante la observación de cómo teclea cada usuario cada uno de los caracteres y mediante el uso de otras pistas sutiles relacionadas con la identidad, el software de la compañía crea una capa adicional de seguridad sin la necesidad de instalar equipamiento adicional o llevar a cabo otras acciones.
Este software, llamado DSGateway, se puede combinar con el proceso de autenticación ya existente. Cuando el usuario introduce su nombre y palabra clave, JavaScript registra el patrón de escritura junto a otro tipo de información, tal como la configuración del sistema o la localización geográfica. Cuando el usuario hace clic en “enviar,” los datos se envían al servidor web y, siempre y cuando el nombre y la clave sean correctos, la información adicional se envía a Delfigo. El sistema de la compañía evalúa el grado de parecido de esta información con los patrones de comportamiento del usuario autorizado apropiado.
Los algoritmos de Delfigo construyen un perfil para cada usuario durante un corto periodo de entrenamiento, revisando 14 factores distintos. El presidente y director de la compañía, Ralph Rodríguez, desarrolló los algoritmos necesarios mientras trabaja como socio de investigación en MIT. Rodríguez señala que el registro de múltiples factores es algo crucial para mantener el sistema seguro sin hacer que deje de ser utilizable. Si el usuario teclea el password con una mano, por ejemplo, mientras que con la otra sostiene una taza de café, el sistema debe utilizar otros factores para decidir cómo interpretar la variación, afirma. Si esto lo hace cada mañana, el sistema aprenderá a esperar este tipo de comportamiento a esa hora del día.
La idea de que una palabra clave debería tener éxito al cien por cien, o fracasar totalmente, “es un paradigma antiguo que debería desaparecer,” afirma Rodríguez. Incluso si el sistema ve algo raro acerca de la forma en que el usuario introduce la clave, por ejemplo, simplemente asigna un nivel de confianza a ese intento de entrar al sistema. Los niveles de acceso se pueden configurar dependiendo de este nivel de confianza. Por ejemplo, si un usuario entra al sistema desde una localización extraña, reduciendo la confianza del sistema, puede que se le permita ver sus saldos pero vea limitada la cantidad de dinero que puede transferir. Si el usuario necesitase incrementar el nivel de confianza en ese momento, afirma Rodríguez, podría responder preguntas de seguridad adicionales o recibir una clave temporal y única en su móvil o cuenta de correo.
Intentar reforzar la autenticación sin forzar a los usuarios a que cambien sus comportamientos es un enfoque prometedor, afirma Bill Nagel, analista de Forrester Research y encargado de la seguridad y el control de riesgos. “La gente quiere facilidad de uso sin perder seguridad, y ese es un equilibrio difícil de conseguir para muchos departamentos de IT,” afirma.
Ben Adida, miembro del Centro para la Investigación de la Informática y la Sociedad de la Universidad de Harvard, y que se dedica al estudio de la seguridad y la privacidad, denota que hay otras compañías que han intentado encontrar formas de mejorar la autenticación sin molestar a los usuarios. Algunos bancos, por ejemplo, instalan cookies en el navegador del usuario después de que conteste a varias preguntas de seguridad de forma correcta. La cookie sirve como forma de seguridad adicional. “Eso es más fácil que incrementar la seguridad de forma física, pero no es tan seguro,” señala Adida, puesto que el atacante podría engañar al usuario para que le diera la información necesaria para crear la cookie.
Adida añade que la resistencia del producto de Delfigo dependerá de la dificultad que encuentren los atacantes para recrear los factores adicionales que utiliza. Por ejemplo, puede que el atacante engañe al usuario para que teclee su nombre y clave en una página falsa, y así obtener los patrones de tecleado y otra información, afirma Adida.