A medida que confiamos cada vez más en los datos biométricos, como las huellas dactilares y el reconocimiento facial, para proteger nuestra vida digital, estamos llegando a un punto en el que el uso de cadenas de caracteres, como las contraseñas, para cifrar nuestros datos va a convertirse en algo del pasado, y quizás muy pronto.
Las grandes empresas tecnológicas parecen estar de acuerdo. El triunvirato formado por Apple, Microsoft y Google se ha adherido recientemente a FIDO2 WebAuthn, un estándar creado por la Fast IDentity Online Alliance (FIDO), una asociación de la industria cuyo objetivo es que dejemos de utilizar contraseñas para utilizar alternativas sin texto.
Y según Eve Maler, directora de tecnología de la empresa de gestión de accesos ForgeRock, las contraseñas ya no son una opción viable para los que se preocupan por la seguridad, ya que hay varias tecnologías avanzadas que pretenden sustituirlas.
Biometría del comportamiento
El protagonista es la biometría del comportamiento, que tiene "un papel importante para hacer realidad la seguridad sin contraseña", según Maler. Estas tecnologías "rastrean nuestros hábitos físicos, como la forma de andar, la altura o la ubicación, y los patrones de inicio de sesión para construir un mapa de un usuario y su comportamiento "normal"".
A continuación, la IA entra en la ecuación, evaluando el riesgo de los intentos de inicio de sesión al detectar cualquier acción fuera de lo normal para el usuario, como una compra cara. Si lo hace, entonces "se pueden solicitar capas adicionales de verificación, como un escaneo de la huella dactilar o una solicitud de autenticación por tiempo", explica Maler.
Maler cree que esta tecnología será adoptada por la corriente principal en un futuro próximo, haciendo referencia al ya mencionado FIDO2 WebAuthn apoyado por los tres grandes gigantes de la tecnología. Confía en que "la mejora de la experiencia del usuario que permite este estándar animará a más empresas a adoptar estas tecnologías".
Maler también mencionó que "FIDO está persiguiendo una mayor estandarización conocida como 'passkeys': credenciales multidispositivo que permiten una autenticación fuerte sin contraseña que funciona en múltiples dispositivos, navegadores e incluso ecosistemas de dispositivos". Apple y Google ya han anunciado que la integración de passkeys llegará a sus respectivos dispositivos a finales de este año.
Normas y regulaciones
Dado que cada vez más empresas se enfrentan a normativas en constante evolución para mejorar sus medidas de seguridad, Maler cree que esto significa inevitablemente un movimiento hacia la adopción de sistemas sin contraseña. A medida que las normas cambien, las empresas necesitarán sistemas flexibles para seguir el ritmo, e incluso "experimentar con diferentes tipos de autenticación para ver qué se ajusta a las necesidades de su empresa y de sus clientes."
También sugiere que la IA puede utilizarse en lugar de la 2FA para ayudar a reducir la "fricción del cliente", que puede supervisar el comportamiento del cliente y los hábitos de inicio de sesión de forma continua y evaluar cuándo se necesitan capas adicionales de seguridad. Cree que este tipo de autenticación adaptativa impulsada por la IA permitirá a las empresas adoptar cualquier nuevo estándar que se les presente, así como eliminar la necesidad de solicitudes multifactoriales, que, según señala, son explotadas cada vez más por los criminales.
Preparándonos para el futuro
Así pues, ¿cómo se pueden preparar las empresas para los sistemas sin contraseña? La respuesta, según Maler, "es habilitar una amplia gestión de identidades y accesos (IAM) con una orquestación de identidades flexible". Destaca la importancia de la experiencia del usuario, afirmando que "la única manera de que un enfoque sin contraseña tenga éxito es si adopta una postura sin concesiones entre la seguridad y la experiencia del usuario".
Con la orquestación adecuada, Maler sostiene que las empresas podrán transicionar con flexibilidad entre los distintos estándares a medida que se vayan imponiendo. Además, "la orquestación sin código permite a un conjunto más amplio de implementadores de servicios crear, diseñar y configurar múltiples recorridos de usuario para eliminar la fricción con fines de registro y autenticación".
Según Maler, la orquestación constituye la base de los sistemas sin contraseña, ya que sin problemas los usuarios cambian a dispositivos nuevos o diferentes. Sin embargo, Maler señala que esto también es un problema para los sistemas basados en contraseñas, e incluso sin orquestación, "se puede conceder a un usuario el acceso a un nuevo dispositivo con un código QR, un dispositivo secundario registrado o señales de comportamiento". De hecho, con la llegada de las claves de acceso, las credenciales pueden repartirse entre varios dispositivos sin necesidad de una inscripción secundaria.
Parece que la comodidad es crucial para el éxito de los sistemas sin contraseña, ya que Maler cree que uno de los problemas centrales de las contraseñas es que "la gente tiene tantos inicios de sesión diferentes... para recordar que mucha gente seguirá reutilizando las contraseñas en todos los servicios".
Los sistemas sin contraseña, en cambio, no provocan la misma "fatiga cognitiva", como ella dice.
¿Y si la tecnología no funciona como debe?
Al igual que con cualquier tecnología, los sistemas sin contraseña pueden fallar, por lo que es bueno contar con mecanismos de seguridad. Pero si se descartan por completo las contraseñas, ¿cómo acceden los usuarios a sus cuentas y datos?
Maler sugiere que hay suficientes alternativas sin contraseña disponibles para que, en caso de que una no funcione por la razón que sea, haya algo más que utilizar: "Las soluciones alternativas, como los códigos QR y los dispositivos de inscripción secundaria, actúan como una red de seguridad que permite a los usuarios iniciar sesión si el modo principal de autenticación sin contraseña no funciona".
Añadió que la llegada y el desarrollo de las claves de acceso significa que todos los dispositivos de un usuario estarán conectados a través de una "identidad de usuario central", de modo que si un dispositivo falla, se puede utilizar otro en su lugar. Otros métodos que pueden utilizarse para recuperar las cuentas son "las señales de comportamiento (por ejemplo, la ubicación, la hora) o el inicio de sesión único de emergencia".
Y aunque Maler insiste en que los sistemas sin contraseña son superiores, prevé que empresas tecnológicas como Apple "sigan habilitando los números PIN para el desbloqueo de dispositivos como alternativa al reconocimiento facial o de huellas dactilares", y que esos PIN (y las contraseñas, en realidad) "son más seguros cuando se almacenan y utilizan completamente en el dispositivo".
Mirando al futuro
Con los métodos alternativos que ya se están utilizando de forma generalizada, parece inevitable que las contraseñas dejen de ser necesarias dentro de poco, al menos en cierta medida. A medida que nuestra tecnología se vuelve más sofisticada e interconectada, con todos nosotros utilizando un gran número de credenciales de acceso para todo tipo de servicios, las contraseñas ya no parecen ser adecuadas para su propósito.
Incluso la mejora de las prácticas de contraseñas no contribuiría a mejorar su seguridad a los ojos de Maler. Aunque admite que esto puede ayudar a mitigar los riesgos de seguridad, sostiene que, aparte de la "experiencia negativa del cliente" que la gente tiene con las contraseñas, éstas se prestan a ser explotadas mediante ataques de phishing. Maler señala que los sistemas sin contraseña que cumplen las normas FIDO son resistentes al phishing en lo que respecta a la autenticación.
Pero aún quedan preguntas sin respuesta en relación con las soluciones sin contraseña. ¿Qué nos parece que nuestros datos biométricos, cada vez más íntimos, estén en manos de un poder privado? ¿Y qué nos parece que la inteligencia artificial intente analizar nuestros pensamientos, por no hablar de si puede hacerlo con precisión? ¿Se opondrá la gente a la idea de que las empresas tengan este tipo de capacidades e información sobre nosotros?
Tendremos que ver cómo se abordan estas preocupaciones una vez que los sistemas sin contraseña se adopten al por mayor, y si surgen otros problemas imprevistos en relación con la privacidad o su eficacia.
Pero independientemente de la nueva tecnología que acabemos utilizando para proteger nuestro mundo digital, Maler ofrece un consejo sabio y atemporal: "Como ocurre con todos los sistemas de ciberseguridad, la ausencia de contraseña es tan infalible como la forma en que se aplica".
