El teclear contraseñas se va a acabar

A medida que se multiplican el robo de credenciales y las campañas de espionaje, aparecen también nuevas propuestas para proteger servicios online y equipos físicos.

Cuentas de correos electrónicos, cuentas de centros de almacenamiento, cuentas de redes sociales, cuentas de blogs, cuentas de plataformas de juego, cuentas de plataformas de pago… cualquier servicio online que base su protección en la introducción de un nombre de usuario, o en su defecto una dirección de email, más una contraseña está actualmente en el punto de mira de los cacos de Internet. Y es que los golpes cibernéticos no dejan de sucederse. Tras la serie de ataques registrados por gigantes tecnológicos como Twitter, Facebook, Microsoft y Apple desde principios de año, la no menos popular aplicación para registro de notas Evernote detectaba hace unos días actividad no autorizada en su sistema que le obligó a restablecer las contraseñas de sus 50 millones de usuarios. Y, esta misma semana, la firma de la manzanita mordida volvía a vérselas con un fallo de seguridad que permitía robar IDs de terceros introduciendo solamente el día de nacimiento y el correo de la víctima a través de la herramienta de recuperación de contraseña iForgot, para más inri.

Un bug en la propia arquitectura del servicio atacado, como en este caso, puede ser la causa de agobiantes quebraderos de cabeza para las personas que han puesto su confianza y volcado sus archivos en él, pero en muchas otras ocasiones las brechas de seguridad se originan por la irresponsabilidad de los dueños legítimos de esas cuentas. A pesar de que los expertos están cansados de aleccionar a los internautas con guías de buenas prácticas, hackeo tras hackeo se evidencia que no hay nada nuevo bajo el sol y que los errores de elección de contraseña son frecuentes y sangrantes. Bien sea por miedo al olvido o por mera pereza, los usuarios suelen repetir las mismas claves de seguridad de uno a otro servicio, no utilizan combinaciones de caracteres y símbolos ni las tratan con secretismo.

En las listas de passwords más profusamente utilizados, que se conocen a través de los repositorios de archivos publicados por los hackers cuando completan sus hazañas, se encuentran términos como, precisamente, “password” (“contraseña”); series de números ordenados a lo “123456” y “12345678”; repetidos como “111111”; secuencias de letras colocadas exactamente como aparecen en el teclado, caso de “qwerty”; palabras que se pueden encontrar en el diccionario tipo “welcome” y “dragon” (“bienvenido”; “dragón”); expresiones apiñadas como “letmein” y “iloveyou” (“déjameentrar”; “tequiero”) o términos asociados al usuario, desde su nombre de pila hasta su lugar de residencia, pasando por otra clase de información personal y fácilmente averiguable. Las oportunidades de acierto se sirven en bandeja de plata a los malhechores.

Joyería inteligente, reconocimiento digital e implantes microscópicos

Aunque algunos proveedores están intentando reforzar la seguridad con sistemas de doble verificación y los mensajes al teléfono móvil, al más puro estilo Gmail de Google, o mediante la solicitud de diversos tipos de identificadores en páginas web especialmente sensibles como las de los bancos, también hay quien ha comenzado a indagar en alternativas a las contraseñas al considerar que éstas son barreras obsoletas y demasiado fáciles de saltar. La propia Google está valorando dar el paso hacia la joyería inteligente. Esto es, desarrollando un anillo que sea capaz de conectarse inalámbricamente, vía NFC o Bluetooth, a un equipo informático con sólo estar cerca de él, sin necesidad de enchufarse físicamente y sin el alto riesgo de pérdida de las memorias USB.

Por supuesto, la precisión es máxima y los tokens con los que están trabajando los ingenieros de Mountain View en esta fase de investigación inicial no contienen una contraseña estática que se pueda copiar. La idea es que la clave criptográfica única asociada al dispositivo de autenticación quede almacenada en su interior y nunca se transmita ni sea interceptada por terceros, demostrando su validez al responder correctamente a un desafío matemático planteado por el servicio online en el que se desea iniciar sesión. Se trataría de impulsar asimismo el papel del navegador, huyendo de instalaciones de middleware y evitando generar información reutilizable en intentos posteriores, aunque asegurando que el acceso se pueda realizar tanto en el ordenador de casa como en el dispositivo de algún amigo o desde el trabajo sin peligro alguno.

Algo parecido está haciendo la startup PassBan, que ya ha presentado una pulsera configurada para registrar sin teclas ni cables a quien la porta, con el simple meneo de la mano, y que puede complementarse con un segundo factor como seleccionar una secuencia de colores. De echar raíces este tipo de proyectos, el acceso a las cuentas online e incluso a los ordenadores personales nunca volverá a ser lo mismo. Esto no quiere decir que la presencia de las contraseñas vaya a desaparecer de la noche a la mañana o que en el futuro no se les pueda aplicar un papel residual, pero la pieza de autenticación principal está llamada a ser una señal de este tipo o alguna pieza equivalente de hardware. Por ejemplo, una tarjeta o smart card cargada con los datos de identificación correspondiente o sencillamente el smartphone del usuario.

Otras opciones son el reconocimiento visual de manchas de tinta e incluso garabatos, que han intentado popularizar firmas como Microsoft con InkblotPassword y científicos de la Universidad inglesa de Newcastle con Background Draw-a-Secret, o la asociación con objetos digitales, generando contraseñas seguras a partir de textos web, imágenes y URLs. De hecho, en Windows 8 ya existe un modo de identificación que se basa en un conjunto de gestos trazados como referencia sobre una imagen concreta. También se está avanzando en las soluciones biométricas, desde el uso de huellas dactilares, los patrones de las venas de las palmas y el control táctil hasta el reconocimiento facial o de voz, pasando por el seguimiento del movimiento ocular y el escaneo del iris, siendo este último el más complicado de replicar. Hay quien incluso está intentando sacar adelante sistemas que se guían por los latidos del corazón (Universidad de Taiwán) y las emisiones otoacústicas (Universidad de Southampton), ambas características e intransferibles de persona a persona, o que ha implantado chips en sus empleados (CityWatcher) para una protección a flor de piel.

Habrá que esperar para ver si alguna de estas técnicas se populariza y extiende más allá de los primeros prototipos y los casos de aceptación aislados, o si se insiste en una segunda vida de las contraseñas. Cabe recordar que la agencia de investigación del Departamento de Defensa de los Estados Unidos, DARPA, quiere revitalizar la seguridad informática al sustentarla en la forma de teclear y el manejo de ratón de cada usuario. Y es que, según el individuo, se introduce una cadencia, velocidad y trayectoria diferentes a los periféricos y se imprime una fuerza distinta durante las pulsaciones. Un software capaz de reconocer a quien escribe en base a estos requisitos podría dedicarse a controlar la introducción de claves o a vigilar el uso genérico de un equipo, bloqueando a los intrusos en cuanto se produce un signo de alarma. Pero, ¿conseguirá abrirse camino?