En el futuro no habrá contraseñas, pero… (The Wall Street Journal)

Publicado: 25 octubre, 2022

Las contraseñas tienen mucho tiempo de ser el eje de la maquinaria que protege nuestras cuentas en línea. En lugar de ello, se les ve cada vez más como un eslabón débil, del que algunas empresas quieren deshacerse por completo.

Seguir los consejos actuales sobre cómo abrir una sesión de forma segura en nuestras cuentas puede ser como tratar de mantenerse al día con la cantidad de cuchillas que tiene el rastrillo de afeitar desechable más nuevo. El proceso ha cambiado a lo largo de los años, de contraseñas sencillas y fáciles de memorizar a cadenas de caracteres impronunciables personalizadas para cada cuenta. Más recientemente, se nos indicó que cada inicio de sesión necesita una segunda prueba de identidad, conocida como autenticación de dos factores, generalmente un número enviado por mensaje de texto o correo electrónico.

Está claro ahora, antes de que la mayoría de las personas haya comenzado a usar la autenticación de dos factores, que incluso eso es simplemente otro obstáculo menor para los hackers que desean ingresar a nuestras cuentas. Incluso los hackers relativamente poco sofisticados pueden rentar sistemas por horas que pueden vencer las defensas.

Hace poco escribí sobre cómo las grandes empresas de tecnología están adoptando enfoques de seguridad “confianza cero”, y estas tendencias están relacionadas. Las empresas y sus redes ya no pueden confiar cuando ingresamos nuestra contraseña y el código de dos factores de que somos quienes decimos ser.

Eso se debe en parte a que los humanos son confiados (crédulos, incluso) y a que los esfuerzos para explotar ese rasgo aumentan constantemente. El número de sitios en la red empleados para ataques de phishing, diseñados para engañar a las personas para que revelen sus contraseñas, alcanzó un máximo histórico en el segundo trimestre del 2022, superando el millón de sitios, arroja un reporte del Anti-Phishing Working Group.

Medido de otra manera: “Ahora estamos viendo más de mil ataques de contraseña por segundo en nuestros sistemas”, apunta Alex Weinert, director de seguridad de identidad en Microsoft.

Lo que significa ‘sin contraseña’

Los sistemas de inicio de sesión que se basan en información legible por humanos -contraseñas, códigos push y similares- se pueden hackear independientemente de cuánta información secreta usemos para asegurarlos, o qué gran empresa de tecnología sea responsable, expone Ofer Maor, director de tecnología y cofundador de la empresa de respuesta a incidentes de ciberseguridad Mitiga.

“En los últimos meses, todo lo que nos llegó comenzó con haber eludido la autenticación de dos factores”, comenta Maor.

En un sistema sin contraseña, las cosas son diferentes. No se transmite información legible por humanos entre ningún dispositivo e internet. Toda la comunicación está encriptada. Su identidad se verifica cuando su dispositivo -un celular, por ejemplo- envía un código de un solo uso que sólo ese teléfono podría haber generado. De esta manera, su dispositivo se convierte en su contraseña.

La razón por la que nadie puede simplemente robar su teléfono e iniciar sesión en sus cuentas es, por supuesto, que está protegido con algún tipo de biométrico, como su rostro o su huella digital. Esta es una de las razones por las que los lectores biométricos se están abriendo paso a las laptops, las computadoras de escritorio y una variedad de otros dispositivos.

De autenticación de dos factores a cualquier factor

Dependiendo de qué tan seguro quiera una organización hacer sus sistemas, un inicio de sesión “sin contraseña” puede ser sólo el comienzo de un proceso que puede involucrar, bueno, contraseñas. En diversos puntos del proceso de inicio de sesión, comenzando con el desbloqueo del teléfono, es posible solicitar a los usuarios un PIN o una contraseña, o analizar su ubicación para asegurarse de que no estén intentando iniciar una sesión desde un lugar que no tiene sentido para esa persona.

También es posible analizar las acciones de un usuario para asegurarse de que no se comporte fuera de lo común, por ejemplo, al intentar acceder a cosas que normalmente no haría.

Una razón por la que las organizaciones podrían hacer todo esto es para determinar si una persona está siendo obligada a acceder a su cuenta. Otra es que a veces los empleados se vuelven deshonestos y un sistema de inicio de sesión puede ser parte de la neutralización de una amenaza interna. Como resultado, Microsoft ya realiza un análisis de comportamiento de los más de 100 mil millones de eventos de inicio de sesión que manejan sus sistemas por día.

Si en el futuro necesitarán las empresas agregar aún más factores de autenticación a cualquier proceso de inicio de sesión dado, dependerá de la rapidez con la que los hackers descubran cómo vulnerar estos nuevos sistemas más fuertes de inicio de sesión sin contraseña.

Los sistemas sin contraseña también crearán nuevos tipos de inconvenientes. Por ejemplo, ¿cómo recuperas una contraseña perdida si nunca tuviste una en primer lugar? Si este proceso es demasiado difícil, los empleados podrían quedar bloqueados de sus cuentas y no poder hacer su trabajo.

Por otro lado, si un proceso de recuperación de cuenta es demasiado fácil, puede convertirse en otra forma de hackear sistemas. Muchas empresas están descubriendo que sus procesos para entregar credenciales en primer lugar son débiles, dice Weinert. “En el caso de muchas empresas, llamas a la mesa de ayuda y afirmas ser la persona”, agrega. Eso abre la posibilidad de que los atacantes puedan eludir incluso el sistema de inicio de sesión sin contraseña más seguro simplemente convenciendo a un humano o a algún otro sistema para que inscriba sus propios dispositivos en el sistema de la empresa.

Maor cree que los sistemas de inicio de sesión sin contraseña son mejores que los que tenemos ahora, pero que el ingenio y la motivación de los hackers no tienen fin.

Edición del artículo original

Fuente: Reforma, The Wall Street Journal, 25 de octubre 2022