No arregles tus terribles contraseñas: acaba con ellas

Da igual la magnitud de la última filtración masiva de datos; para mucha gente, la facilidad a la hora de iniciar sesión sigue prevaleciendo sobre la seguridad. Con arreglo a la compañía de gestión de contraseñas Keeper Security Inc., la contraseña favorita a escala mundial sigue siendo «123456». Las compañías de tecnología de consumo llevan años tratando, aunque no de forma urgente, de limitar el daño que los hackers pueden llegar a hacer al crackear contraseñas «tradicionales», mediante el sistema de doble autenticación de Gmail, la huella digital de iPhone o el escáner de iris en el caso del Samsung Galaxy S8 del amigo. (Dos de los tres no están nada mal.) 

La plaga de ransomware que paralizó los sistemas corporativos y estatales de todo el mundo el pasado 12 de mayo no comenzó con el robo de contraseñas mediante phishing o suplantación de identidad, pero los expertos en seguridad consideran que debería servir de impulso para reforzar el que desde hace muchos años es el punto débil de la seguridad informática para las personas. «Nuestra idea es acabar con las contraseñas por completo,» comenta Dylan Casey, vicepresidente de gestión de producto en Yahoo! Inc. «En el futuro, recordaremos la época actual y nos reiremos al pensar que era necesario crear un código de 10 caracteres con mayúsculas y minúsculas, un número y un carácter especial para iniciar sesión, al igual que hoy día los adolescentes se ríen cuando se plantean el concepto de comprar un disco o un CD». 

Con vistas a ir aproximándose a ese futuro, Yahoo ha puesto en marcha un sistema que solo permite a los usuarios de correo electrónico desbloquear su cuenta a través de una notificación automática que se envía a sus smartphone, sin que tenga que introducirse contraseña. Las propuestas de otras compañías pasan en gran parte por el smartphone o por generalizar el uso de los datos biométricos como identificadores únicos, en lugar de emplear un código alfanumérico desfasado. Desde mediados del mes de mayo, los propietarios de un Galaxy S8 en Reino Unido pueden autorizar pagos a través del móvil mediante el escáner del iris que incorpora el teléfono. Microsoft Corp. ha añadido una doble autenticación en su última versión de su sistema operativo Windows y Lloyds Banking Group Plc está probando Windows Hello, que permite a los usuarios iniciar sesión en cuentas online a través de una foto de su rostro hecha con webcam.

EL MÁS UTILIZADO 

El escáner de huella digital de los Smartphone, presentado por Apple Inc. en 2013, ha sido el más empleado hasta la fecha. A lo largo de este año, se suministrarán aproximadamente 1.000 millones los teléfonos con sensores de identidad en todo el mundo. La rama de Deloitte dedicada a la investigación ha estimado que el sensor típico se usa unas 30 veces al día. Apple ha incorporado un escáner de huella digital a sus modelos de MacBook. Microsoft ofrece autenticación mediante huella digital a través de smartphone a los 800 millones de usuarios diarios de Outlook, Xbox y otros servicios en la nube, y cuenta con un sistema similar para ordenadores de escritorio y portátiles que verá la luz en otoño. «Va a ser posible coger el teléfono, ir al ordenador con Windows 10 e iniciar sesión solo con la huella dactilar», comenta Alex Simons, responsable de producto en la división ID de Microsoft. 

En un momento en que los dispositivos accionados por voz, como Echo de Amazon.com Inc. y el asistente Home de Google Inc., permiten pedir la cena o una película, el reconocimiento de voz también está ganando más protagonismo en el mundo empresarial. Barclays Plc ha implantado un sistema que permite a sus clientes minoristas verificar su identidad con el teléfono mediante grabaciones de voz, un servicio que lleva desde 2014 probando con clientes con grandes patrimonios. Simon Separghan, que dirige los centros de contacto del banco en Reino Unido, India y Filipinas afirma que su aplicación para móviles incluirá el reconocimiento de voz muy pronto.

Este tipo de medidas de seguridad no son perfectas. En marzo, los usuarios descubrieron que podía engañarse al asistente de reconocimiento facial del Galaxy S8 solo con mostrarle una fotografía del rostro de la persona. En una declaración posterior, desde Samsung Electronics Co. se comentó que los usuarios tenían otras maneras de desbloquear sus teléfonos y que el reconocimiento facial no podía emplearse para acceder a los sistemas de pago a través del S8. Desde Microsoft, se ha afirmado que sus sistemas emplean sensores casi-infrarrojos que no pueden franquearse del modo expuesto.

Por el momento, los bancos que están probando nuevas tecnologías mantienen los sistemas opt-in y no insisten a sus impacientes clientes en que dejen atrás los códigos PIN y otras contraseñas. Michela Menting, directora de investigación en seguridad digital en ABI Research, comenta que va a ser complicado que quienes más se resisten se olviden del 123456 «hasta que logremos integrar los dispositivos de tal modo que actúen como esa contraseña».