¿Recuerdan cuando hace unos meses atrás hackearon a un periodista de Wired llamado Mat Honan borrándole todas sus cuentas en varios servicios como Twitter y Gmail? Pues bien, cuando Honan relató en detalle su experiencia en la revista unos meses después, dio a conocer un dato interesante: Sus contraseñas no eran cortas ni débiles. Tenían entre 7 y 19 caracteres donde mezclaba letras y símbolos.
La idea de protegerse completamente detrás de una contraseña es bastante frágil (por algo la criptografía es una disciplina tan antigua). De hecho, conozco un ingeniero informático que se desempeña en el área de seguridad bancaria online y que afirma que “no hay ningún sistema de protección online garantizada. Son cientos, sino miles, los que están tratando permanentemente de burlar los sistemas de seguridad y siempre están un paso adelantados. Lo único realmente efectivo es sencillamente contratar un seguro“.
Pese al pesimismo de mi amigo, hay varios proyectos que están tratando de reemplazar o aumentar la seguridad del frágil password (al fin y al cabo, la Ley de Moore también implica una mayor rapidez en las máquinas para descifrar contraseñas por fuerza bruta), como los siguientes:
1.- FIDO (Fast Identity Online)
Esta iniciativa –la más reciente de todas pues se anunció oficialmente el 12 de febrero–consiste en una alianza entre diversas compañías de tecnología como Lenovo y PayPal, cuya meta es bastante simple: Lograr un método más fuerte y seguro de autentificarse a través de Internet.
Para lograrlo, el proyecto contempla una serie de diversos métodos de autentificación como biometría, reconocimiento facial y de la voz, NFC, contraseñas ‘desechables’ (de un sólo uso), y dispositivos USB. Los dispositivos con seguridad FIDO permitirían a sus usuarios ocupar cualquiera de los métodos anteriormente descritos, como cualquier otro que la tecnología invente en un futuro cercano y que nos sea más cómodo.
2.- Método de ‘Autorización Activa’ de DARPA
La agencia de investigación estadounidense DARPA, que depende del Departamento de Defensa, está investigando un método que consistiría en el reconocimiento constante del usuario que está ocupando un dispositivo o computador en base a la forma en la que éste interactúa con la máquina.
La primera etapa del programa consistirá en encontrar biometría que no requiera la instalación de hardware adicional mediante el descubrimiento de parámetros de uso como la forma en la que movemos el mouse o tecleamos, y la segunda etapa consistirá en encontrar nuevas formas de autentificación biométrica más seguras, pero destinada específicamente a computadores del Departamento de Defensa estadounidense.
3.- Método del aprendizaje implícito
Un equipo de investigadores en los campos de neurología y criptografía de la Universidad de Stanford, dirigidos por Hristo Bojinov, crearon un método infalible para evitar las estafas donde te convencen mediante engaños para que entregues tu contraseña voluntariamente, pues consiste en que tu mismo no sepas conscientemente cuál es tu propia contraseña.
Lo que ocurre es que el método de Bojinov consiste en un proceso de aprendizaje donde tu cerebro adquiere una información determinada sin ser consciente de eso, por lo que si te preguntan tu clave, no sabrás que responder, pero si te ponen un teclado en tus manos, lograrás escribirla sin ningún problema.
Además, de esta forma puedes recordar secuencias muy extensas de caracteres prácticamente azarosos que hipotéticamente le darían una mayor seguridad a tu proceso de autentificación. Según Bojinov, “en nuestros experimentos –en una sesión de entrenamiento entre 30 y 45 minutos– una persona podía aprender un password al azar con 38 bits de entropía. En los experimentos posteriores, los participantes no fueron capaces de recordar la secuencia, ni siquiera pequeños trozos de ella“.
4.- La llave de Google
La empresa de Mountain View reveló recientemente que ha estado buscando soluciones al problema de la autentificación para así lograr deshacernos eventualmente de la contraseña. Una de las soluciones consiste en usar un pequeño “YubiKey“, un dispositivo USB para autenticar a un usuario enviando a determinados servicios claves generadas que sólo se pueden utilizar una vez.
De esta forma, bastaría con ingresar a un sitio como Gmail y conectar la ‘llave’ al puerto USB. Ésta te entregaría una contraseña con la que en un click te permitiría ingresar a tu cuenta de correo.
Como muestra final, si quieres ver en la práctica un intento real de estafa online, la siguiente imagen muestra una sesión del chat de Gmail donde una de las cuentas fue hackeada, y posteriormente utilizada para tratar de convencer a sus contactos de que le realizaran transferencias de dinero (al día siguiente, la persona afectada le pidió disculpas a sus contactos y señaló que fue víctima de un hackeo a su cuenta):
