¿Cuál es el futuro de la autenticación?

La experiencia nos demuestra la escasa seguridad de las contraseñas. “Normalmente, los usuarios no utilizan contraseñas robustas. O si lo hacen, tienden a repetirlas en múltiples servicios de internet. En caso de una fuga de datos de alguno de éstos, todos los demás accesos quedan expuestos”, lamenta Mildrey Carbonell, manager de Auditoría de S21sec.

Por eso, José Luis Rojo de Luque, socio de Ciberseguridad en Consulting de EY, considera que “la autenticación mediante contraseña es un método que, tal y como hoy en día se concibe, está destinado al olvido”. “Es ampliamente conocido que el uso de contraseñas como única medida para autenticar a un usuario no es un método con las suficientes garantías de seguridad. Presenta deficiencias relacionadas con el propio usuario —ataques ante ingeniería social o phishing— como con la seguridad de las mismas contraseñas —passwords débiles—”, especifica.

Además, Guillermo Fernández, manager sales engineering Iberia de WatchGuard, asegura que “las contraseñas son una de las vías de entrada principales de vulnerabilidades en las empresas”. “Sólo el año pasado, el 80% de las infracciones comenzaron con ataques de fuerza bruta o con la pérdida o el robo de credenciales, lo que deja patente que todas las organizaciones, independientemente de su tamaño, deberían contar con políticas de seguridad para las contraseñas”, afirma.

Autenticación multifactor

Pese a las deficiencias de la autenticación mediante contraseñas, la mayoría de los servicios funcionan actualmente mediante el acceso con usuario y password, por lo que ha sido necesario idear soluciones que refuercen la seguridad.

“Hoy en día, utilizar únicamente contraseñas es peligroso, por lo que el siguiente paso es utilizar la autenticación de dos factores (2FA, two factors idetification), tecnología lo suficientemente madura como para ofrecer seguridad adicional sin dejar de ser cómoda. No es infalible contra el robo de identidad, pero protege a la mayoría de los usuarios contra las filtraciones de datos cuando las credenciales se ven comprometidas. Añade una capa adicional de seguridad y también puede servir como mecanismo de alerta cuando alguien está intentando entrar en la cuenta. No resuelve todos estos problemas, pero mitiga la mayoría de ellos. Aunque alguien tenga tu nombre de usuario y contraseña, no podrá acceder a tu cuenta”, indica Luis Corrons, security evangelist de Avast.

Eusebio Nieva, director técnico de Check Point Software para España y Portugal, recuerda que este método sólo es eficiente “siempre y cuando seamos coherentes y no usemos el mismo tipo de autenticación para el doble chequeo”. “Hay tres tipos: algo que sabes —contraseña o pregunta—, algo que tienes —en tu smartphone o smartcard— y algo que eres —retina del ojo, huellas dactilares, etc.—. Para que la autenticación sea segura, no debemos poner dos que se encuentren en la misma categoría. Por ejemplo, que haya que poner una contraseña y que el segundo factor sea una pregunta acerca de nosotros, como las que se utilizan para restablecer cuentas”, detalla.

Además, tampoco es la solución ideal. “Ya se están utilizando técnicas avanzadas de phishing para superar la protección de los sistemas 2FA. Según muchos analistas, es sólo cuestión de tiempo que el sistema de autentificación de doble factor sea tan débil como una contraseña normal”, declara Diego Bárcena, socio de Risk Advisory especializado en Ciberseguridad de Deloitte.

Al hilo de ello, Carbonell destaca la necesidad de concienciación de los usuarios en torno a la seguridad. “Es importante en estas situaciones que las personas sean capaces de detectar ataques de ingeniería social, sobre todo en los casos en los que el doble factor consiste en un token o una segunda contraseña que se recibe por correo o vía SMS”.

Por otra parte, Bárcena indica que “los sistemas de doble factor de autenticación han mejorado la seguridad”, pero reconoce que “ha sido en muchas ocasiones a costa de una penalización en la experiencia de usuario”. Asimismo, Juan Carlos Pascual, manager de Ciberseguridad de Capgemini, afirma que uno de los inconvenientes del 2FA —o MFA, autenticación multifactor— es la usabilidad. “Hay que resolver los problemas de una buena seguridad balanceándola con la facilidad de uso porque, generalmente, cuando se facilita, el uso se debilita la seguridad; y viceversa”, comenta.

Los mecanismos Single Sign-On (SSO) pretenden dar respuesta a este problema, mejorando la experiencia de usuario y la productividad. “Se están imponiendo y serán los que abarquen prácticamente la totalidad de las autenticaciones para entornos corporativos. Obviamente, debe existir una primera autenticación para activar estos mecanismos. Aquí lo lógico es que se tienda a utilizar tokens o dispositivos criptográficos que permitan una autenticación de doble factor para un acceso seguro al SSO. Algunos de estos dispositivos estarán presentes en las aplicaciones más críticas y la tendencia va en dirección a fortalecer dispositivos y algoritmos al tiempo que se gana en usabilidad”, apunta Pascual.

El momento de la biometría

Aparte de su aplicación en los sistemas MFA, ya estamos viendo el potencial de la biometría en la autenticación. Existen muchos sistemas de autenticación biométrica, más o menos complejos: huella dactilar, geometría de la mano, reconocimiento facial, de retina, del iris, de voz o vascular, escáner de firma manuscrita, reconocimiento por ADN e identificación de peso corporal.

“La sustitución de los famosos PIN para acceder a nuestros móviles por soluciones biométricas, mucho más sencillas de utilizar, nos ha hecho darnos cuenta de que existen otros métodos alternativos. Es muy probable que el futuro más cercano de la autenticación sea biométrico para las aplicaciones y servicios de uso generalizado. Tanto es así, que los grandes fabricantes tecnológicos ya se preparan de forma inminente para sustituir los accesos mediante contraseñas por soluciones biométricas, así como para desarrollar las API y servicios necesarios que faciliten a los desarrolladores de aplicaciones y servicios a integrarse con estos sistemas biométricos”, avisa Carbonell.

Rojo de Luque señala que hay dos motivos que impulsan su adopción. “Es un método robusto. La suplantación o evasión es muy costosa y se requiere de mucha preparación previa, pues se basa en características biológicas únicas del propio usuario. Además, ofrece muy buena experiencia de usuario. No tiene que realizar ninguna acción, siendo el propio sistema quien comprueba de manera autónoma que los datos se corresponden a la identidad correspondiente. Es un método cómodo”.

Sin embargo, la autenticación biométrica no es infalible. De hecho, algunos de los métodos presentan ciertas vulnerabilidades. Corrons advierte que “hay dudas sobre si la biometría es más segura que el tradicional acceso a una cuenta mediante nombre de usuario y contraseña”, puesto que “los piratas informáticos y los expertos en seguridad ya han utilizado fotografías y vídeos para superar los controles biométricos”.

Por ejemplo, hace varios años, un hacker fue capaz de clonar la huella dactilar de la actual presidenta de la Comisión Europea, Ursula von der Leyen —que por entonces era ministra de Defensa de Alemania—, simplemente a partir de las fotografías publicadas en varias noticias, como informaba CNN. En una demostración, su copia fue capaz de engañar al TouchID de Apple.

Asimismo, Álvaro Prieto, director de Risk Advisory especializado en Ciberseguridad de Deloitte, advierte que “en la actualidad ya hay alguna técnica que permiten saltarse los controles biométricos basados en voz”. No obstante, opina que su uso puede ser muy interesante en determinados ámbitos. “Por ejemplo, este mecanismo es un éxito en sistemas de call center, donde la seguridad no es un aspecto radicalmente crítico y mejora enormemente los procesos de calidad y experiencia de usuario”.

En el caso del reconocimiento facial, considera que la seguridad “depende enormemente de la capacidad de captura del dispositivo”. Por ejemplo, el responsable de WatchGuard advierte de que “la mayoría de los métodos de reconocimiento facial usados en dispositivos móviles antiguos no tienen un buen sistema de detección de vida, por lo que pueden engañarse usando un vídeo de un usuario”. Así pues, Prieto especifica que “la captura de brillos, la necesidad o no de hacer una prueba de vida o de evitar mecanismos de superposición fotográfica son aspectos que hacen que esta tecnología mejore a pasos agigantados con el paso del tiempo”. Y los fabricantes están trabajando en ello.

Además, los hackers siempre están atentos para explotar posibles vulnerabilidades. Por ejemplo, hace poco conocimos que los ciberdelincuentes podían aprovechar un fallo en Windows 10 para saltarse la identificación facial de Windows Hello simplemente con una cámara USB personalizada y la foto del usuario.

El problema es que, si la seguridad a partir de sistemas biométricos se ve comprometida, no podemos cambiar nuestra cara, huellas, retina, voz, etc. “Esto ha hecho que los mecanismos biométricos evolucionen del mero reconocimiento de patrones hacia el análisis de comportamiento, donde no sólo se recogen muestras de los datos biométricos, sino que se intenta detectar que es una persona real y viva solicitando comportamientos específicos, dejando fuera aquellos escenarios biométricos que no pueden tener patrones de comportamiento”, puntualiza la experta de S21sec.

En cualquier caso, algunos de estos métodos son muy seguros y difíciles de evadir, ya que replicar determinadas características biológicas únicas de una persona es muy costoso. “Un ejemplo sería el reconocimiento vascular, donde se realiza la comprobación del patrón biométrico a partir de la geometría del árbol de venas de una parte del cuerpo concreto, llegando a medir el flujo sanguíneo exacto, siendo única la combinación de ambas características”, indica el experto de EY.

Sin embargo, los sistemas más complejos no se pueden utilizar a gran escala, ya que requieren dispositivos de captura costosos y avanzados, limitando su adopción comercial. “La autenticación biométrica que más se utilice en un futuro no será la más segura, sino la tecnología que mejor relación seguridad-coste-experiencia del usuario presente, siendo un método fácilmente aplicable, con un coste bajo asociado a los dispositivos de captura, que presente una seguridad robusta y que, sobre todo, conlleve a una experiencia de usuario óptima”, valora Rojo de Luque.

En todo caso, recuerda que la biometría “no deja de ser un segundo —o tercer— factor de autenticación”. Así, prevé que “en la autenticación del futuro se usará ampliamente la biometría, pero no como requerimiento único, sino como una comprobación más para incrementar la confianza hacia el usuario y asegurar su identidad”.

Enfoque Zero Trust

El experto de EY reseña que “se están empezando a adoptar estrategias y enfoques Zero Trust, donde la confianza hacia el usuario es nula desde un inicio y se va incrementando el nivel de confianza a medida que se realizan ciertas comprobaciones durante las transacciones del usuario”. Este enfoque se está aplicando esencialmente en entornos corporativos.

“Lo interesante de estas estrategias es que el uso de la contraseña es una comprobación complementaria más y que, dependiendo de la tipología del sistema al que se requiera acceder, puede ser innecesaria”, especifica.

Y pone un ejemplo de ello. “Imaginemos que un usuario quiere acceder a una aplicación en la cual ya está registrado previamente. Cuando intente acceder a la aplicación, ésta puede realizar de manera automática las siguientes comprobaciones: localización del dispositivo desde el cual intenta acceder, comprobación de si el horario en el que se intenta conectar es el habitual según los patrones anteriormente registrados, comprobación de incidentes previos relacionados con el usuario, comprobación de que el dispositivo es el que utiliza habitualmente el usuario para conectarse a la aplicación y comprobación de las vulnerabilidades del dispositivo desde el cual se conecta”, desgrana.

“Todas las comprobaciones anteriores forman parte del ‘Algoritmo de Confianza’ como elemento central de la estrategia Zero Trust. Dicho ‘Algoritmo de Confianza’ nos indicará si el usuario es de confianza, que no necesita ni siquiera contraseña, o si, por el contrario, necesita comprobación adicional, como enviar un código de un solo uso (OTP) mediante correo electrónico, SMS o llamada y acabar de verificar la identidad del usuario, permitiendo acceder a dicha aplicación sin contraseña”, puntualiza.

Soluciones de futuro

Además de las opciones que hemos visto, en el futuro se perfilan nuevas soluciones para alcanzar una autenticación segura y sin fricción respecto a la experiencia del usuario. En el ámbito de la biometría, Carbonell indica que se está evolucionando hacia los métodos ‘Mobile-centric Biometric Authentication’, consistentes en el análisis de los datos biométricos y comportamiento que ocurre en el dispositivo del usuario.

“De allí se extraen los datos que viajarán por la red hacia los distintos componentes involucrados en nuestra autenticación. Estos datos podrán formar parte de la contraseña o de componentes de los sistemas de autenticación de varios factores. Estas variantes están siendo bastante aceptadas por su usabilidad y porque trasmiten cierto grado de tranquilidad, al considerar que el móvil es algo que está en nuestras manos y protegemos”, explica la responsable de S21sec.

Asimismo, Prieto recuerda que “a partir de septiembre del 2022, los países de la Unión Europea ya se están planteando que cada ciudadano tenga un ‘wallet de identidad’, basándose en el ESSIF-Self Sovereing Identity europeo, con el que podrá hacer uso de servicios públicos y privados”.

“Esta iniciativa será una oportunidad para que cada ciudadano lleve su propia identidad digital en el dispositivo móvil. Por este motivo, la biometría y la capacidad de autenticar de manera segura sobre el dispositivo móvil donde se almacene dicha identidad digital jugará un papel importante en el desbloqueo del móvil previo al uso de ese ‘wallet de identidad’”, recalca.

El director técnico de Check Point apunta otras alternativas. “Algunas de las opciones que se barajan para sustituir las contraseñas son usar hardware, mediante un pequeño USB, por ejemplo, para poder acceder a nuestras cuentas; soluciones NFC o bluetooth, con el dispositivo presente en el momento de inicio de sesión; así como códigos QR individuales para cada persona”.

También habla de otras opciones, como el análisis de comportamiento o las pruebas de ‘conocimiento cero’, “tecnologías que permitan a la máquina conocernos y conocer nuestras formas de hacer actividades —como teclear, por ejemplo— para que sepa a ciencia cierta si somos nosotros”.

Y en el ámbito industrial, Carbonell señala que “el uso de tarjetas RFID o llaves USB (dongle), que contengan claves específicas para gestionar software industrial permite protegerse de un gran abanico de ataques que dependerían de un acceso externo o en local”.

De este modo, señala que algunos fabricantes están optando por el uso de tarjetas RFID como doble factor de autenticación, e incluso como único método de autenticación en algunos sistemas. “Cada tarjeta permite asignar diferentes permisos a los usuarios, dependiendo del rol que juegue el mismo cuando accede al sistema”, detalla.