La revolución de la Autenticación

La informática ha evolucionado mucho en poco tiempo. Cada vez tenemos más capacidad en menos espacio, más potencia en la palma de la mano. Nos cansamos de hablar de transformación digital, de discutir sobre la naturaleza del cloud, de fomentar el as-a-Service o el Software defined... pero una de las cosas que se mantienen con menos cambios es cómo se autentican los usuarios cuando quieren acceder a sus dispositivos, sus servicios o su información.

 

También puedes leer... Informe global sobre Seguridad de la Información 2016-2017 Evolución de los ataques con exploits GDPR: todas sus claves Riesgos de IoT en las empresas Desarrollo de estrategias de ciberseguridad nacional

Lo cierto es que seguimos utilizando el modelo de nombre de usuario y contraseña que se desarrollaron hace más de 50 años. La primera contraseña informática fue desarrollada en 1961, en el MIT, el Massachusetts Institute of Technology, para su uso con el Compatible Time-Sharing System(CTSS), que dio lugar a muchas de las funciones básicas de computación que utilizamos hoy en día. Ese CTSS, o sistema compatible de tiempo compartido, fue diseñado para que varios usuarios pudieran acceder a la vez al mismo procesador y por eso cada investigador necesitaba un punto de entrada personal en el sistema. Como cada usuario tenía además sus propios archivos personales, una contraseña individual resultaba ideal para impedir que el resto pudiera acceder a los mismos.

 

Y medio siglo después seguimos con el sistema de contraseñas. La presión sobre el usuario aumenta porque ya no sólo se trata de acceder a nuestra cuenta de correo web, o nuestro servicio de banca online; ahora la mayoría de los servicios tecnológicos requieren contraseñas fuertes, que incluyan número, letras mayúsculas e incluso caracteres especiales, y que además sean contraseñas únicas, que no se repitan en más de un servicio.

 

¿Por qué es necesario complicar las contraseñas? Porque pocos años después de aparecer se desarrollaron programas capaces de crackearlas. En sus comienzos eran simples diccionarios de palabras y números almacenados que posteriormente fueron evolucionando.

 

Afortunadamente en los últimos años han llegado al mercado nuevas formas de autenticación. La tecnología biométrica parece ser la próxima sustituta de las contraseñas y su empuje llega desde el mercado de consumo gracias a su expansión en el mundo de los smartphones.

 

 

Tokens y biometría

 

La buena autenticación es aquella que combina algo conocido, algo que se lleva (token) y algo que sea inherente a la persona (biometría). Esta es, desde hace unos años, la máxima de las soluciones de autenticación.

 

Tradicionalmente los tokens han sido pequeños dispositivos capaces de generar una cadena de caracteres única y de un sólo uso. Desde que los móviles han invadido nuestras vidas, son utilizados como tokens. Un ejemplo es LaunKey, una plataforma de autenticación multifactor que permite a los usuarios hacer uso de sus propios dispositivos móviles en lugar de tokens o contraseñas para el acceso remoto, una autenticación en tiempo real y una verificación de dos pasos.

 

El máximo exponente de la tecnología biométrica es la huella dactilar. Hace bastantes años que puede verse integrada en portátiles, inicialmente en los diseñados para el mundo corporativo para después extenderse al mundo del consumo.

 

La mezcla de tecnologías biométricas y del concepto de token es lo que ha permitido a la empresa Qondado lanzar KodeKey, una aplicación basada en la idea de que el usuario no necesitas crear y recordar contraseñas porque siempre lleva consigo dos cosas que le identifican: el teléfono móvil y las huellas dactilares.

 

Pero más allá de las huellas dactilares, ya se están aplicando nuestras voces, iris, mapa de venas y otras señales físicas como los latidos del corazón, como mecanismos de autenticación. Los wearables, por cierto, empiezan a jugar un papel importante como método de autenticación multifactor.

 

Las investigaciones no sólo se quedan ahí. Se experimenta con la combinación de diferentes tipos de información, como puede ser la localización, audio y gestos para verificar que tú eres quien dice ser. Y lo mejor de todos estos avances es que se tiende a que el usuario sea ajeno a estas capacidades porque funcionan a sus espaldas y sólo en caso de duda se lanza la alerta.

 

Autenticación como Servicio

 

La llegada de los servicios basados en cloud está cambiando el panorama del mundo IT. El Software-as-a-Service permite que más empresas accedan a más recursos, consumiendo lo que necesitan.

 

Algunas veces identificado como Directory-as-a-Service o Identity-as-a-Service, la Autenticación como Servicio permite gestionar el acceso a diferentes recursos de TI, incluidos dispositivos, aplicaciones y redes. Y para muchos es la única opción de seguridad que funciona.

 

La demanda de este tipo de ofertas está aumentando porque el número de servicios y dispositivos a los que accedemos también aumenta y mantener un control sobre quién entra a qué recursos se hace cada vez más complicado.

 

Un informe de Gartner predice que para 2020 el 40% de las compras relacionadas con soluciones IAM (gestión de identidades y accesos) incluirán modelos en forma de IDaaS. La firma de investigación también prevé que el 40% de las implementaciones de IDaaS reemplazarán implementaciones IAM on-premise.

 

Algunos de los vendedores a tener en cuenta en este mercado, según el Cuadrante Mágico de Gartner, incluyen a Centrify, OneLogic, Okta, Ping Identity o Microsoft.