EL MÓVIL PUEDE SER LA NUEVA CONTRASEÑA UNIVERSAL
Aunque son una herramienta relativamente simple para resguardar nuestros datos e información personal, las contraseñas representan uno de los grandes problemas con los que todos los usuarios de Internet debemos enfrentarnos día a día. La cantidad de productos y servicios a los que todos estamos suscriptos, así como la exigencia cada vez mayor que éstos tienen a la hora de elegir la palabra – o más bien combinación de palabras, números y otros caracteres – que protegerán nuestra seguridad, hace que recordar nuestras contraseñas no resulte fácil. A no ser que utilicen la misma contraseña para todas sus cuentas, algo que de acuerdo con un estudio realizado en 2013 por OFCOM (la autoridad británica reguladora de las comunicaciones) hacen el 55% de los adultos. Esta actitud, aunque frecuente, pone en riesgo la seguridad de los datos, y no es para nada recomendable. Es por eso que una gran cantidad de compañías están trabajando en nuevos métodos para resguardar el acceso a la información, sin la necesidad de utilizar contraseñas. Y varias de ellas coinciden, la clave para poder lograr esto, está en el móvil.
Primero Yahoo! en octubre, y luego Google hace apenas algunos días (aunque en versión de prueba), lanzaron nuevos sistemas que permiten que los usuarios verifiquen que son ellos antes de ingresar a alguno de sus servicios. A diferencia de las contraseñas tradicionales, estos sistemas no requieren que el usuario escoja o memorice una palabra o una serie de caracteres, sino que recurren al móvil para establecer que, efectivamente, quién intenta ingresar es la persona correcta.
El mecanismo es muy sencillo. El usuario primero debe conectar su teléfono móvil con la cuenta de correo electrónico o cualquier otro servicio con la que utilizará el sistema. Una vez hecho esto, al intentar ingresar tanto desde una computadora como desde un dispositivo móvil, lo único que necesita es colocar su dirección de e-mail o nombre de usuario, y ningún otro dato. De manera inmediata, y para validar su identidad, una alerta se disparará en el teléfono móvil, en el que el usuario deberá indicar si efectivamente está buscando ingresar al sistema. De esta forma la validación se realiza utilizando dos dispositivos diferentes, lo que – en teoría – debería resultar seguro.
Además de evitar el uso de contraseñas, esta tecnología permite descubrir si un hacker o un bromista está intentando ingresar a la cuenta, y previene que personas que nos conocen bien puedan adivinar nuestras contraseñas y utilizar distintos servicios en nuestro nombre. Y es que, gracias al recuperador de contraseña presente en la mayoría de los sitios, sólo basta con penetrar la cuenta de correo electrónico de una persona para tener acceso a la mayoría de sus perfiles sociales, archivos en la nube, compras en tiendas de aplicaciones, perfiles en sitios de comercio electrónico y, a veces, hasta en sus balances de tarjeta de crédito. Y esta es una gran vulnerabilidad. Al mismo tiempo, resulta una herramienta perfecta para combatir el phising, es decir el robo de identidad a través de páginas que simulan ser las páginas de inicio de distintos servicios, ya que sin acceso a nuestro móvil, un atacante jamás podrá ingresar en ellos.
Lógicamente el sistema presenta algunas dificultades que le son propias. Por ejemplo, requiere que los usuarios tengan sus teléfonos celulares cerca. Por otro lado, los vuelve vulnerables en caso de que les roben el dispositivo, aunque en esos casos desactivar el mecanismo y volver al sistema de contraseñas tradicionales resulta muy fácil.
Este sistema no es del todo novedoso, y de hecho es la evolución de un proyecto lanzado por Yahoo! a principios de 2015, que permitía verificar la identidad del usuario reemplazando la contraseña por un código recibido por SMS en su celular cada vez que quería ingresar.
Otros sistemas de verificación en dos pasos similares que ya se han vuelto moneda corriente son, por ejemplo, el utilizado por los dispositivos Apple para validar el acceso a las cuentas y los documentos del usuario mediante un Apple ID. Cuando se encuentra activo, un usuario que posea una Mac, un iPhone o un iPad deberá validar su acceso a cualquier nuevo dispositivo desde uno ya conectado a esa cuenta. De esa forma se evita que otras personas accedan a fotos y documentos privados incluso si pueden adivinar o robar con la contraseña del usuario. Apple y Samsung también utilizan este tipo de verificación en los sistemas Apple Pay y Samsung Pay, los cuales requieren que, además de acercar el móvil a una terminal de pagos, el usuario valide la operación con su huella digital, lo cual crea una clave dinámica, única, y a la que el vendedor no tiene acceso, incrementando la seguridad de la transacción.
Al mismo tiempo, una gran cantidad de aplicaciones vinculadas a sistemas de home banking y a software de empresas, utilizan aplicaciones móviles, o mensajes de texto, para validar el ingreso de los usuarios, reemplazando efectivamente el uso de tokens tanto físicos como en USB, lo cual resulta más simple y usable para los usuarios.
De esta forma, el móvil vuelve a tomar una función que antes les pertenecía a otros dispositivos, y permite facilitar una operación hasta ahora engorrosa, mejorando notablemente la seguridad. Lógicamente existen problemas asociados a este tipo de tecnologías, y tienen que ver con la facilidad con la que los teléfonos y tablets se pierden, se descargan, se rompen, se roban y, en algunos casos, se quedan sin señal. Sin embargo, la existencia de back ups y modos alternativos – aunque engorrosos – de ingresar a las cuentas pueden resultar una buena forma de evitar inconvenientes.
El futuro de esta tecnología
GSMA, la asociación que nuclea a fabricantes y operadoras móviles de todo el mundo, ha lanzado recientemente una iniciativa llamada Mobile Connect. La misma busca crear un sistema de identificación único mediante el móvil, el cual permitirá resguardar todo tipo de cuentas y validar la identidad del usuario con un mismo sistema, utilizando el número de línea, y luego validando el acceso a través de una notificación en el teléfono celular. Movistar y Personal ya están probando el sistema y lo implementarían en el país en pocos meses. Si bien sin dudas mejorará la seguridad, el riesgo de un sistema de identificación único yace en que sólo bastará con obtener acceso al dispositivo del usuario, para tener acceso a todas sus cuentas. Sin embargo, en un mundo donde la gran mayoría de las personas utilizan la misma contraseña, o pequeñas variaciones de la misma, para acceder a todos los servicios, esta amenaza ya existe, y un sistema de validación por el móvil significará un enorme incremento en materia de seguridad.
Y estos servicios de autenticación a través del móvil son apenas el comienzo. La lenta popularización de los relojes inteligentes, podrán llevar el sistema de doble verificación a una nueva frontera, haciendo que prácticamente todos los servicios requieran que el usuario valide su identidad a través de su dispositivo, utilizando su huella digital, sin importar dónde se encuentre.
La seguridad en Internet es un problema, y con una gran mayoría de usuarios que no parecen preocuparse demasiado por crear contraseñas difíciles de descifrar o por tratar con recelo sus datos personales, el aporte de nuevos sistemas móviles capaces de evitar el hurto de información son, sin dudas, bienvenidos. Basta ver si existe un interés real de la comunidad por utilizar estas herramientas o si, como hasta ahora, muchos preferirán seguir utilizando contraseña123 como clave de acceso.