El final de les contrasenyes

Amb els saquejos massius de dades com el de Sony, el major ciberatac patit per una empresa, o el que va patir Apple fa uns mesos, quan desenes de fotos privades d'actrius de Hollywood van ser robades i difoses per tots els racons de la xarxa, parlar d'Internet i seguretat s'ha convertit gairebé en un oxímoron, una contradicció en els termes. La majoria dels experts considera que l'actual sistema de contrasenyes que regeix la xarxa ha caducat per l'incòmode que resulta per als usuaris i per la seva falta de fiabilitat. El futur es troba en els sistemes de doble autenticació i en la biometria, camp en el qual diverses empreses espanyoles estan a l'avantguarda. Mentrestant, tots els experts en seguretat donen el mateix consell: generar contrasenyes més complexes per, en la mesura del possible, entorpir la feina dels lladres de dades.

Com ha escrit l'expert en informàtica de The New York Times, Farhad Manjoo, "no enviïs un mail, no pugis una foto al núvol, no enviïs un missatge de text, almenys si tens qualsevol esperança que continui essent privat". El problema és que cada vegada tenim més dades i més importants a Internet, ja siguin bancàries, professionals o personals, i cada vegada estan més exposades. La pàgina web www.databreaches.net calcula que s'han produït 30.000 robatoris de dades en tot tipus d'empreses en els últims deu anys, amb una inquietant acceleració al 2013 i al 2014. Javier García Villalba, professor del Departament d'Enginyeria de Software i Intel·ligència Artificial de la Universitat Complutense de Madrid, assegura: "Una contrasenya per si sola ja no ofereix prou seguretat. Els atacs informàtics comprometen per igual qualsevol contrasenya, sigui bona, dolenta o regular ".

Llavors, si les contrasenyes han mort, quin és el futur? "Els experts determinen que hi ha tres factors d'autenticació que es defineixen per: una cosa que sabem, una cosa que tenim i alguna cosa que som", explica Daniel Firvida, coordinador d'operacions del Instituto Nacional de Ciberseguridad (Incibe), una societat estatal adscrita al Ministeri d'Indústria, Energia i Turisme que té com a missió reforçar la seguretat de la informació a Internet. Una cosa que sabem seria la contrasenya tradicional, una cosa que tenim serien les targetes de coordenades o les aplicacions per generar-ne, que actualment utilitzen gairebé tots els bancs (que exigeixen una doble autenticació abans de realitzar qualsevol operació important), i una cosa que som seria la biometria, la autenticació a través de la veu, l'empremta dactilar o l'iris. "Les contrasenyes es consideren insegures pràcticament des del seu naixement", explica per la seva banda Alejandro Ramos, professor del Màster en Seguretat de les Tecnologies de la Universitat Europea de Madrid. "El problema és que s'han utilitzat en tots els sistemes d'informació i ens hem acostumat al seu ús.

Canviar i aprendre nous mètodes de connexió és senzill i aquest és el motiu principal pel qual avui dia se segueixen utilitzant. Un estudi de l'empresa nord-americana Fortinet, especialitzada en sistemes de seguretat reforçada, assegura que cada usuari fa servir com a mínim 25 llocs amb contrasenyes, encara que només s'utilitzen 6,5 claus diferents de mitjana, el que debilita encara més la protecció: "L'objectiu és buscar solucions tecnològiques que eliminin les contrasenyes que fan cada vegada més complicat moure's a la web", explica el director per a Espanya de PayPal (la principal empresa de pagament per Internet), Estanis Martín de Nicolás. L'empresa FacePhi, és una startup alacantina que ha desenvolupat un sistema de reconeixement facial a través del mòbil i l'acaba de comprar l'Associació de Bancs del Perú (ASBANC) que agrupa 16 entitats. Javier Barrachina, responsable de producte de FacePhi es mostra rotund: "El final de les contrasenyes és una cosa inevitable. Abans havíem d'aprendre desenes de números de telèfon de memòria, ara ens sembla inconcebible. Treballa a favor de les persones ".

"Les contrasenyes estan ferides de mort, però no mortes", explica Emilio Martínez. "Ja hi ha les bases tecnològiques i d'estàndards de pagament que ens permeten anar-les substituint, però la seva incorporació és lenta", afegeix. Martínez. Recorda com ha anat evolucionant la indústria del pagament, des dels vells temps en què amb una signatura n'hi havia prou per utilitzar una targeta de crèdit, fins a la gradual incorporació dels xips a les targetes -es van crear el 1998 però van trigar més de deu anys en generalitzar-se-. La clau no està només a incorporar sistemes de seguretat molt sofisticats utilitzant els sensors de què disposen els telèfons per captar la veu, la imatge o les empremtes dactilars -els càlculs de la indústria indiquen que el 2017 hi haurà 990 milions de mòbils que incorporin aquests sistemes-, sinó en la forma d'emmagatzemar la informació. Per als experts, un avenç fonamental és posar en marxa sistemes que facin que les companyies no emmagatzemin les contrasenyes, que només les tingui el client -és el que s'anomena contrasenyes tancades i obertes-. D'aquesta manera, encara que pateixi un atac, els danys serien molt més reduïts que ara.

Des d'un vuitè pis de la Gran Via que ofereix una vista impressionant sobre Madrid, Emilio Martínez, CEO de l'empresa madrilenya Agnitio, ofereix una visió d'un futur que ja forma part del present. La seva empresa, coneguda per un programa de reconeixement de veu que utilitzen les policies de gairebé 40 països, ha creat un sofisticat programa per reemplaçar les contrasenyes pel reconeixement de veu dins de l'aliança internacional FIDO, el projecte més ambiciós per fer un salt endavant en la seguretat a Internet. Impulsada per PayPal i amb gegants com Google, Microsoft, Samsung, Visa, Mastercard, Alibaba, BlackBerry o Bank of America entre els seus membres, l'objectiu d'aquesta aliança és oferir nous mètodes de seguretat que es converteixin en estàndards per pagar o gestionar dades. Apple, a través de ApplePay que està incorporat als EUA als seus nous aparells com l'iPhone 6, també permet noves formes de pagament, amb una seguretat molt més sofisticada. Aquest telèfon, com l'últim model de Samsung, ja es desbloquegen amb un sistema biomètric i permeten realitzar pagaments només amb l'empremta dactilar com a identificació.

El problema és que la biometria encara planteja molts reptes: És més fàcil utilitzar-la en un telèfon que en una pàgina web i ha de ser incorporada de manera generalitzada per la indústria, des dels comerços fins als bancs o les empreses que manegen informació al web (bàsicament, totes). Com explica Javier García Villalba, "està bé per entrar en un edifici, però no per connectar amb Melbourne". De moment, el més segur sembla l'ús del que s'anomena autenticació de dos factors, on a més d'una contrasenya s'utilitza alguna mesura biomètrica o alguna cosa que el client posseeix com una calculadora, el telèfon mòbil. Això fa que el compromís d'una contrasenya causi menys mal i, encara que no és tampoc un sistema totalment fiable, ofereix millor seguretat ", afegeix aquest professor de la Complutense.


Font: El País