En este mundo en transformación a la digitalización de todos los procesos cotidianos, es cada vez más importante que los sistemas realmente identifiquen a las personas u otros sistemas que están usando su servicio, pues en la mayoría de los sistemas digitalizados es este el primer mecanismo de protección y es la base para decisiones de control de acceso, control de actividades y entrega de privilegios.

Por este motivo es cada vez más común que las empresas pongan a disposición varios mecanismos de autenticación, pues se ha demostrado que aunque parezca un problema simple, no hemos encontrado una solución que de un nivel de garantía suficiente y que las contraseñas solo han sido un “fracaso” al que nos hemos acostumbrado y que no hemos podido quitar completamente.

Por esto han surgido soluciones como el Single SingOn o como los gestores de contraseñas, con el fin de poder realizar una administración más confiable y que entregue un grado de simplicidad al usuario, pero no mitiga de ninguna forma el riesgo a que una fuga de información exponga el que en la mayoría de los casos es su único mecanismo de autenticación.

Por esto es necesario ir más allá, buscar autenticaciones simples pero fuertes, que usen más de una de las fuente de autenticación de forma integrada y que sustituyan completamente las contraseñas. Para esto es necesario, que el usuario entregue un dato que él conozca y que permita una interacción con algo que él tenga, como en el mecanismo planteado en Mobile Connect, que se solicita el numero del móvil y se le enviá un OTP o un reto al móvil del usuario para terminar la autenticación, garantizando la identidad a través de algo que conoce y algo que tiene.

Para aumentar el nivel de confianza en la identificación del usuario es necesario adicionar una fuente de autenticación que determine algo que él usuario es y que no pueda modificar, un ejemplo de estos son los sistemas biometricos. Por supuesto, este nivel es el más seguro y en algunos casos el más costoso, pero se han generado soluciones que permiten integrarlo en servicios en línea y que no dependan de hardware costosos.

Como la solución de WebAuthn, que esta integrada con los principales navegadores en el mercado con el fin de que cualquier sitio web pueda usar esta especificación de autenticación para sus usuarios. El funcionamiento depende del uso de lo que se a denominado como U2F o segundo factor universal, que usualmente son dispositivos de USB, que contienen la llave criptografica de autenticación. Así el usuario para ingresar al servicio coloca un identificador, que puede ser un correo electrónico o un numero de móvil y en el puerto USB coloca el U2F que termina el proceso de identificación, validando algo que se conoce, algo que se tiene y contiene parámetros que no puedes modificar.

Otra solución que entrega el más alto nivel de garantía en la autenticación es CapaciCard, que al igual que la solución de WebAuthn se basa en algo físico para la identificación, en este caso es una tarjeta con una característica única para cada una, generada por los puntos capacitivos. En este mecanismos de autenticación el sitio web pide un identificador que permita enviar una solicitud al teléfono inteligente para que se coloque la tarjeta sobre la pantalla y se termine el proceso de identificación, usando las capacidades multitouch de estas pantallas y sin usar un hardware adicional.

Sin embargo, la autenticación requiere una evolución constante, teniendo en cuenta que no solo los usuarios de los servicios en la actualidad son humanos, sino que pueden ser otros sistemas o incluso cosas, para esto se necesita mecanismos de autenticación continua, donde la forma de identificar a un usuario es a través de sus patrones de comportamiento y de información entregada por los diferentes sensores que pueda tener el dispositivo. Un ejemplo de esta evolución seria AuthCode, que usa el modelamiento de perfiles de usuario en un dispositivo móvil, donde autentica a través del análisis de comportamiento dentro de aplicaciones, información de sensores y localización, para alimentar técnicas de Machine Learning que se adapten a las variaciones propias de un usuario normal dentro de su móvil para que cuando algún servicio pida autenticación esta pueda ser garantizada por esta autenticación continua, evitando que el usuario deba estar validando su identidad en los servicios que use.

La era donde las contraseñas eran el mecanismo que reinaba en la autenticación de los usuarios esta llegando a su fin y como se puede apreciar, existen múltiples mecanismos que garantizan la autenticación de los usuarios con un nivel de seguridad mucho mayor y conservando un nivel de simpleza en la usabilidad, el cual va a permitir una transición ágil en los servicios que brindamos y que aunque tome algún tiempo mientras todos los usuarios se adaptan a los nuevos mecanismos, va a cerrar brechas de seguridad que se tienen actualmente con el uso de las contraseñas.

About Author

Diego Samuel Espitia Montenegro

Diego Samuel Espitia Montenegro es Colombiano, egresado como ingeniero electrónico y especialista en seguridad de redes con más de 12 años de experiencia en el proceso de prueba y la implementación de infraestructura de seguridad de redes, donde ha implementado principalmente software de código abierto para el desarrollo de esquemas de redes seguras. Diego trabaja actualmente como Chief Security Ambassador en ElevenPaths (Unidad de Ciberseguridad de Telefónica). Es investigador de seguridad y publica artículos sobre diferentes temas de seguridad de la información. Ha sido ponente internacional en diferentes conferencias de seguridad y conferencias de negocios, donde ha presentado sus investigaciones en eventos como 8dot8 Chile, Bsides CO, SegurInfo, Colombia StartUp, Andicom y convenciones de negocios.

Deja un comentario