Un mundo sin contraseñas, el próximo gran reto

Cada vez más tecnologías y más organizaciones del sector abogan por ofrecer unos servicios accesibles a través de métodos que no incluyan la necesidad de introducir una contraseña que, supuestamente, solo el usuario conoce. Y, al mismo tiempo, las empresas de seguridad insisten una y otra vez desde hace años en que las contraseñas deben ser complicadas de adivinar, mezclar letras, números y algún carácter diferente como puede ser un guión o una exclamación. Y en que es muy importante no repetir esa misma contraseña para acceder a diferentes programas, aplicaciones, dispositivos o servicios online varios.

Este contenido fue publicado en el número de Octubre de la revista IT Digital Security, disponible desde este enlace.

También te puede interesar... Formación y concienciación para mejorar la seguridad Especial Ciberseguridad Industrial Especial Cloud

Ahora bien, la mayoría reconocerán que reutilizan sus contraseñas, que dejan los programas o dispositivos sin bloquear, sesiones sin cerrar, o que guardan la contraseña para acceder con un simple ‘click’ a su cuenta de alguna página o servicio, para no tener que volver a introducir la combinación de números y letras que les da acceso; y eso en el caso de que hayan combinado números y letras creando una contraseña complicada.

Para los responsables de seguridad, y para cualquier empresa que ofrezca servicios informáticos, el mundo que se avista sin contraseñas y usando tecnologías avanzadas de reconocimiento del usuario, supone un gran reto que no se debe perder de vista. Son muchas las empresas que han implementado algunos métodos básicos para administrar la autenticación de usuarios para el acceso a datos confidenciales. El inicio de sesión único ha ido ganando adeptos y se tiende hacia la autenticación multifactor. Lo que parece claro es que en el actual entorno de TI juegan cada vez más dispositivos y ubicaciones de usuarios, incluidos equipos móviles, servicios en la nube e incluso dispositivos de Internet de las cosas.

Según la empresa LastPass, aunque cada vez son más las empresas que invierten en gestión de contraseñas, la mayoría tienen un aprobado justo en materia de seguridad de las contraseñas. Si bien una puntuación del 52% es correcta, también pone de manifiesto que hacen falta políticas y programas de formación más eficaces para superar esta cifra. A esto se añade que el robo de contraseñas es, hoy en día, una de las grandes preocupaciones de los usuarios. Según un estudio, el 81% de los delitos relacionados con la piratería informática se deben al robo de contraseñas o a que éstas son muy débiles.

De la mano de Héctor Sánchez Montenegro, National Technology Officer de Microsoft Ibérica, una de las empresas que más ha insistido recientemente en la necesidad de desarrollar tecnologías que no requieran el uso de contraseñas;  Martín Álvarez Espinar, Responsable de Oficina del W3C (Consorcio World Wide Web) en España, una entidad global que considera que acceder a programas sin contraseña es un hito hacia el que debe el mundo avanzar para una simplificación del uso de Internet; Hervé Lambert, Global Consumer Operations Manager de Panda Security, empresa experta en seguridad informática; Ignacio Gilart, Ceo de WhiteBearSolutions y José de Soto, CTO de SmartLogin, explicarán en las siguientes líneas cómo se presenta el futuro sin contraseñas y las nuevas tecnologías para la autenticación de los usuarios.

¿Qué alternativas existen a las contraseñas?

Para Ignacio Gilart, el fin del uso de las contraseñas, aunque es totalmente viable desde un punto de vista técnico y funcional, quizá no lo sea tanto desde un punto de vista práctico, económico o incluso de seguridad. Han aparecido múltiples tecnologías de autenticación como el escaneo de un código QR, sistemas biométricos e incluso sistemas basados en ultrasonidos, pero si analizamos la adopción de los mismos todo parece apuntar a que se usan de forma combinada como Multifactor de autenticación (MFA) y no tanto como un único factor. “Hace poco conocí una empresa que usaba la huella dactilar como su único método de autenticación. Les platee una pregunta: ¿qué pasa si tu huella dactilar se ve comprometida? ¿La reseteas como una contraseña?”, y añade el CEO de WhiteBearSolutions que otros métodos de autenticación, como el reconocimiento facial, por algún motivo no acaba de encajar como método de autenticación único, quizá por sus componentes de experiencia de usuario en algunos casos, quizá por el coste a la hora de implantarlo en una organización. “Lo que sí está claro es que, si una organización tiene bien planteada su política de gestión de identidad y acceso con sistemas de autenticación multiprocolo y multifactor, estará preparada para dar el siguiente gran salto: el final del uso de credenciales tradicionales basadas en usuario y contraseña”.

En el camino hacia un uso de las tecnologías más seguro y más sencillo han surgido nuevas tecnologías. La biometría es, actualmente, la principal alternativa a las contraseñas. Las tecnologías biométricas son capaces de reconocer partes del cuerpo humano exclusivas de una persona como las huellas dactilares, la retina, el iris o los patrones faciales, entre otros.

Explica Héctor Sánchez Montenegro, directivo de Microsoft Ibérica que “en general, esta aplicación trae consigo una reducción de costes de mantenimiento en los sistemas de autentificación, un aumento en la eficiencia del control horario o una mayor sencillez en las tramitaciones remotas”.

Por otro lado, Martín Álvarez Espinar, desde W3C recuerda que otros de los sistemas más populares en la actualidad son elementos físicos que incluyen información criptográfica que sustituye las funciones de la contraseña para identificarnos. Estos pueden conectarse con los equipos informáticos a través de tecnologías de comunicación de proximidad como USB, NFC o bluetooth, y pueden tener variadas formas, desde tarjetas inteligentes, sticks USB que sirven como llavero, relojes o joyas”. Y estos elementos físicos se pueden combinar con la detección de los parámetros biométricos únicos de las personas; “el futuro de la autenticación la harán posible los sensores y elementos que extraen patrones de nuestra morfología y los elementos biológicos (p.e., pulso, tensión, etc.) que, combinados, nos identifican unívocamente”, concreta Álvarez Espinar.

Para Panda Security será una alternativa muy buena a las contraseñas el uso de la autenticación por ADN. Afirma Hervé Lambert, Global Consumer Operations Manager de la empresa que “aunque es algo perfectamente posible, ya que una máquina puede detectar ciertos patrones en el ADN de un ser humano, la realidad es que al ADN es algo que está cambiando en tiempo real en un ser humano. Por tanto, las variables que podrían medirse a nivel de ciberseguridad serían bastante fáciles de hackear si se cuenta con la tecnología y los conocimientos biológicos suficiente”. Sin embargo, el directivo anima a continuar el desarrollo en esa dirección: “Por ahora no se han encontrado un modelo interesante de biometría por ADN”, explica Lambert.

Además, no hay que olvidar que para que sea robusta, la autenticación debe pasar por dos procesos. Ir a otro tipo de autenticaciones con otros parámetros, como doble factor de autenticación, biométricos o accesos condicionales. “Sin duda, estos factores de doble autenticación proporcionan garantías adicionales para asegurar la identidad de los usuarios. El uso de algo que se tiene (aplicación, teléfono, Smart Card, etc) a algo que se sabe (contraseña, PIN etc.…) o algo que se es (biometría), proporciona mecanismos más robustos y fiables que solo una contraseña”, afirma Héctor Sánchez desde Microsoft Ibérica.

¿Están los usuarios y empresas preparados para la vida sin contraseñas?

El uso de las tecnologías tal y como se conocen ahora, siempre ha girado en torno a las contraseñas. Los nuevos métodos pueden crear cierta desconfianza. Aunque el hecho de que marcas de teléfonos muy conocidas hayan introducido la biometría para el desbloqueo de los terminales, puede ser de gran ayuda para que todo el mundo se confíe. Microsoft, otro gran conocido, ofrece un nuevo soporte para el inicio de sesión sin contraseña a través de la aplicación Microsoft Authenticator para los cientos de miles de aplicaciones conectadas a Azure AD que las empresas utilizan a diario.

“Habilitar la autenticación a través de dispositivos móviles con acceso basado en biometría es la mejor aproximación para eliminar las contraseñas”, concluía hace unas semanas un estudio de MobileIron, asegurando que de esta manera se crea un escenario fácil de desplegar, con un alto nivel de seguridad y con capacidad para mejorar la productividad de los usuarios. Los resultados de este informe se publicaron el pasado mes de julio, tras encuestar a 150 responsables de TI y seguridad, que aseguraron que la biometría, analítica de conducta, certificados y otros, que ofrecen alternativas a los tradicionales procesos de acceso basados en contraseñas, se estaban poniendo muy de moda.

Un dato muy importante es que más del 90% de los encuestados indicaron que sus organizaciones sufrieron una violación grave de su política de contraseñas el año pasado y la mitad considera que un enfoque de autenticación sin contraseña es más seguro que las contraseñas. Pero no todos los expertos se muestran tan positivos ante esta realidad. Desde Panda Security, Lambert recuerda que el mercado aún no está del todo listo: “los dispositivos de reconocimiento facial, por ejemplo, todavía no son perfectos. Además, su implantación supone un coste económico que la gran mayoría de empresas y personas no están dispuestos a asumir”. Su adopción será muy escalonada “hasta que este tipo de tecnologías se convierta en una ‘comodity’ que venga instalada en todo el hardware que se pueda comprar, tanto a nivel personal como empresarial”, de acuerdo con el portavoz de Panda. Aun así, Hervé Lambert reconoce que “tarde o temprano, todos estaremos monitorizados por algún factor biométrico (ya sean huella dactilares, reconocimiento facial, o de la voz) y la biometría va a democratizarse tanto, que tendrá que alcanzarse un consenso entre las empresas y fabricantes para securizar la intimidad de las personas”.

Abandonar las contraseñas pasa, irremediablemente, por una estrategia de autenticación. Para Ignacion Gilart, “es importante analizar la criticidad de los distintos datos respecto a su valor, confidencialidad, integridad, disponibilidad, ubicuidad, etc. a la hora de definir una política de gestión de acceso a los mismos”. Explica el directivo que cuanto más crítico sea un dato desde el punto de vista de la seguridad, más importante será establecer mecanismos de autenticación robustos y sofisticados. Bajo este punto de vista, una estrategia de autenticación debe formar parte de una visión más amplia de la seguridad, formando parte de una auténtica política global de gestión de identidad y acceso. Con dicha política se garantiza una normalización de las identidades en la organización, así como de los accesos a la información corporativa conforme a roles y perfiles predefinidos. Igualmente se garantizan unas políticas de contraseñas apropiadas en función de los niveles de criticidad del ecosistema corporativo. Además, se obtiene un ágil aprovisionamiento de usuarios conforme estos varíen su relación con la organización, facilitando así la modificación o revocación de permisos de accesos a la información. De esta manera se eliminan drásticamente los peligros derivados de mantener unos permisos de acceso a los datos por parte de personal no autorizado o bien de personal que dispone por su rol accesos privilegiados muy sensibles que requieren un tratamiento especial desde el punto de vista de autenticación.

FIDO Alliance

La FIDO (Fast IDentity Online) Alliance es una asociación creada en febrero de 2013 y cuya misión es desarrollar y promover estándares de autenticación que ayuden a reducir la excesiva dependencia del mundo de las contraseñas. FIDO admite una gama completa de tecnologías de autenticación, que incluyen biometría, como escáneres de huellas dactilares e iris, reconocimiento de voz y facial, así como soluciones existentes y estándares de comunicación, como Trusted Platform Modules (TPM), tokens de seguridad USB, elementos seguros integrados (eSE), tarjetas inteligentes y comunicación NFC.

Desde W3C, Martín Álvarez recuerda que esta entidad, junto con la FIDO Alliance, han lanzado estándares que ya han sido implementados en los principales navegadores y que permiten el uso de todo este ecosistema de seguridad sin contraseñas y la integración de estos en las aplicaciones y servicios de la Web de una forma transparente para el usuario. “Hace años era impensable pagar con una tarjeta de crédito, ahora lo hacemos desde el teléfono móvil o el reloj, elementos que siempre van con nosotros. Siempre habrá escépticos, pero la confianza en la tecnología sigue aumentando”, aclara Álvarez.

Microsoft recuerda un informe reciente de Gartner que afirma que para 2022, el 60% de las grandes empresas y el 90% de las medianas implementarán métodos sin contraseña en más del 50% de los casos de uso.

¿Qué ventajas tiene el acceso sin contraseñas a aplicaciones, equipos y programas?

Adoptar este tipo de soluciones de autentificación sin contraseña reduce el riesgo de suplantación de identidad, difusión de contraseña y otro tipo de ataques, explica el experto de Microsoft. “En otras palabras, proporciona una mejor y más segura experiencia de usuario: no tenemos que recordar determinados datos ni recurrir a combinaciones de cifras y letras, mayúsculas y minúsculas, signos de puntuación, y demás caracteres imposibles de retener”.

Por su parte, Martín Álvarez desde W3C afirma que “la principal ventaja es que nos permite evitar uno de los grandes retos a los que el usuario se enfrenta cada día, que es recordar las docenas contraseñas que tenemos que mantener para utilizar los servicios digitales. Los mecanismos de seguridad basados únicamente en contraseñas, aparte de ser vulnerables, muchas veces suelen imponer ciertas reglas para seleccionar contraseñas robustas que dificultan la selección de una contraseña que sea ideal para ser recordada”.

Ahora bien, “el hecho de que nuestro cuerpo se convierta en un ‘dispositivo más’ que se puede monitorizar conlleva problemas éticos y morales, especialmente en lo que respecta a la privacidad de las personas”, y el representante de Panda Security quiere que esto se tenga en cuenta. Esta empresa cree que las contraseñas seguirán existiendo, aunque sea como la alternativa si alguno de los demás métodos falla para acceder a un dispositivo o programa.

¿Para qué ataques deben prepararse los CIOs del futuro mundo sin contraseñas?

Aunque la opinión general es que el uso de las nuevas tecnologías que evitan el uso de contraseñas es mucho más seguro que el panorama actual, todos coinciden en que seguirá habiendo riesgos. Incluso cuando se haga doble uso de herramientas de autenticación. Las tecnologías se hacen por personas y siempre habrá hackers dispuestos a trabajar para hacer frente a los sistemas que lleguen. Y, por ello, los CIOs deben conocer qué les depara el presente y futuro cercano para saber hacia dónde enfocar sus esfuerzos.

“En un mundo en el que las amenazas son cada vez más constantes, las empresas deben ser conscientes de que deben adoptar cuanto antes medidas de seguridad que les permitan proteger su información y la de sus empleados”, recuerda Héctor Sánchez. Y aclara el portavoz de Microsoft Ibérica que “a medida que se evoluciona y se crean mejores soluciones tecnológicas, los ciberdelincuentes también lo hacen”. Un gran reto al que el mercado se enfrenta, de acuerdo con sus declaraciones es que “a medida que la naturaleza de las amenazas y el perfil de los atacantes sigue evolucionando, los expertos en la materia son escasos”.

Desde Panda Security, Lambert recuerda que “en breve, las impresoras 3D podrán copiarlo prácticamente todo, incluso a escalas microscópicas. La ingeniería genética también podría ser un problema para la autenticación por ADN. La imaginación humana es ilimitada y para cada Ley siempre se genera una nueva trampa”. Además, añade, “el principal reto es la hiper conectividad que lleva a que todo cada vez está más cercano para todos”.

El nuevo hacker de hoy se maneja muy bien en el mundo online y en el offline. Opina el experto de Panda que “hay grupos súper organizados que son capaces de hacer de todo contando con grandísimos expertos de distintas disciplinas trabajando en equipo. Por ejemplo, si un grupo organizado cuenta con los mejores informáticos, los mejores biólogos y la financiación del departamento de Defensa de un país avanzado, es más que probable que se pueda hackear cualquier dispositivo, ya sea privado o público. Siempre habrá alguien que tenga más inteligencia colectiva o un algoritmo más rápido”.

Y es que, por muy robusta que sea una tecnología, “no hay sistema perfecto y todos son, en mayor o menor medida, vulnerables”. Explica Martín Álvarez desde W3C que “las mejoras en la capacidad de computación de los dispositivos permiten hacer los algoritmos más complejos, y la variedad de opciones permite establecer mecanismos de autenticación basados en varios factores que limitan las potenciales brechas de seguridad en la suplantación de identidad” y esto es algo que los CIOs no deberán perder de vista. Ahora bien, “los estándares son implementados en diversas situaciones y para distintas tecnologías, por lo que la posibilidad de que haya fallos siempre es una opción. La utilización de varios factores de autenticación cruzados (p.e., confiando en variables biométricas más algún dispositivo físico) hará más robusto el sistema y minimizará riesgos” lo que lleva a que, aunque sea difícil anticipar los problemas que vendrán, “posiblemente los principales ataques serán como siempre, utilizando lo que se conoce como ingeniería social, o la manipulación de los usuarios legítimos para conseguir los parámetros que permiten la autenticación”, concluye Álvarez. 

WebAuthn y FIDO de la mano

Hace unos meses era aprobado por parte del consorcio World Wide Web (W3C) el estándar WebAuthn, o Web Authenticatión API, el estándar que implementa FIDO2 de forma fácil y permite identificarse e iniciar sesión en los navegadores sin necesidad de utilizar una contraseña a favor de datos biométricos, tokens para hardware y aplicaciones determinadas.

Explica José Soto, CTO de SmartLoging, que durante los últimos años la contratación de servicios en la nube por parte de organizaciones y usuarios particulares se ha multiplicado de forma exponencial. El correo, almacenamiento o las herramientas que se utilizan en nuestro día a día ya no están instalados en nuestros centros de proceso de datos ni en nuestros equipo de trabajo, “permitiéndonos ajustar el coste a lo que realmente necesitamos y facilitándonos el escalado en caso de necesitarlo. No obstante, al tener que trabajar con varias aplicaciones de varios fabricantes, almacenadas en una misteriosa “nube”, nos enfrentamos a nuevos problemas”.

Uno de los más preocupantes es el asunto de la autenticación. ¿A quién delegamos esta tarea?, ¿dónde residen las contraseñas?, ¿y la información de los usuarios?, ¿tengo que introducir un usuario y contraseña en cada aplicación? ¿Puedo utilizar FIDO como método de autenticación único o debo utilizarlo como segundo factor? ¿Qué protocolo de federación debo utilizar?

Para el CTO de SmartLoging la solución por las que apuestan los proveedores SaaS (Software as a Service) es, con mucha diferencia, la federación. Explica el directivo que la tecnología se basa en un conjunto de aplicaciones “federadas” que confían por completo la autenticación y autorización de usuarios en un tercer servidor central. “Sigue los mismos principios que seguían protocolos de autenticación más antiguos como podía ser el caso de Kerberos, pero mejorando los problemas que presentaba este y orientándolo al mundo web”, añade.

Una vez decidido que vamos a federar nuestras aplicaciones nos toca elegir qué tecnología utilizar. Dentro de las muchas opciones que disponemos, destacan tres de ellas: SAML, oAuth y OpenID. Aunque tienen diferencias esenciales entre ellas, realmente no compiten entre sí, sino que dan solución a distintas necesidades.

De esta manera OpenID, patrocinado por grandes proveedores como Google, Facebook, Microsoft, Yahoo!, etc., está orientado a los usuarios que diariamente consumen servicios en la web y muy extendido en el mundo de las redes sociales. oAuth, sin embargo, está pensado para todas aquellas “apps” que buscan la autorización en servicios en la nube. Por último, está SAML, pensado para el mundo “enterprise” porque, a pesar de que su implementación es algo más compleja que OpenID, ofrece una gran robustez y seguridad, rasgos imprescindibles para las aplicaciones de una gran corporación.

“En el caso de las organizaciones creo que se producirá una adopción más rápida que en los usuarios individuales, lo cual conllevará asociados importantes retos en materia de seguridad”, asegura José Soto, añadiendo que por ello uno de los escenarios comunes será la utilización conjunta de FIDO con protocolos de Federación. Será común ver FIDO2 conectado con un IDP que gestione la autenticación, la vinculación y otras medidas de seguridad en caso de que el hardware (W3C WebAuthn / FIDO2) se vea comprometido. Este IDP de forma segura con protocolos tipo SAML federará al resto de entornos. Por lo tanto, para una organización el hecho de tener una buena gestión de identidad y una gestión de acceso centralizado le prepara para adoptar de una forma sencilla la nueva especificación WebAuthn / FIDO2. Con W3C WebAuthn / FIDO2 tenemos ahora las herramientas para mejorar la seguridad en internet, si bien ahora está en nuestras manos como implementamos el caso de uso para implantar esa seguridad conjuntamente con experiencia de usuario.

Federación de identidades

La adopción de la Federación de identidades a la que se refiere José Soto está cada vez más extendida. Para Ignacio Gilart a pesar de que es cierto que dicha adopción es mayor cuanto mayor tamaño tienen las organizaciones, “la democratización de la tecnología a través de la nube ha permitido que muchas organizaciones medias e incluso startups adopten de forma nativa este mecanismo de autenticación”.

Explica el CEO de WhiteBearSolutions que la Federación de identidades proporciona múltiples ventajas a las organizaciones que lo implementan:

Nos proporciona los mecanismos para detectar que un usuario ha iniciado sesión en cualquiera de las aplicaciones evitando volver a solicitar usuario y contraseña si el mismo usuario quiere acceder a otra de las aplicaciones del entorno, creando así un entorno federado.
No es necesario que las aplicaciones remotas guarden los datos de los usuarios, con lo que nos proporciona un usuario y contraseña únicos y evita que datos críticos como las contraseñas viajen por la red.
La mayoría de proveedores de servicios en la nube y muchos fabricantes de software on-premise, ofrecen una fácil configuración de este tipo de protocolos, lo que facilita enormemente su adopción.
Existen gran multitud de plataformas en la nube y en formato on-premise de fácil acceso (open source en su mayoría en este último caso) que proporcionan los servicios centrales necesarios para el despliegue de la federación (Directorio para almacenamiento y autenticación de usuarios, Motor IdM para provisión y ejecución de workflows, Rol IdP para SSO con SAML, OAuth, OpenID… principalmente).

“Como conclusión, diremos que la federación de la entidad en entornos “nube” para las organizaciones es imprescindible, ya no solo por lo que supone gestionar de forma local los usuarios de tantas aplicaciones, si no por los problemas de seguridad que este tipo de administración puede causar”, dice Ignacio Gilart, apuntando por último que un sistema de login único es también muy deseable para mejorar la experiencia de los usuarios.