Métodos de autenticación: deja que tu cuerpo hable por ti

Los métodos para dar acceso a servicios digitales a través de un proceso de identificación han sido un tema de preocupación desde que Internet comenzó a expandirse en los años 80. Y no es un asunto baladí, teniendo en cuenta que en los últimos seis años han sido robados 112.000 millones de dólares mediante fraudes relacionados con la usurpación de la identidad digital -35.600 dólares por minuto-, según un informe de IBM. Es por eso que la industria no cesa en su empeño de buscar herramientas cada vez más seguras, cómodas y (por qué no) baratas para asegurarse de que los usuarios son quienes dicen ser. Especialmente, teniendo en cuenta que cada vez realizamos más operaciones delicadas a través de la Red (desde transferencias a presentar la declaración de la renta o, incluso, operar en bolsa). Por todo ello, parece lógico superar el sistema de usuario y contraseña que ha imperado durante décadas -y que tan arraigado está en la mente de los internautas-, pero que ha dejado al descubierto sus deficiencias en estos años (en los que se han producido robos masivos a las organizaciones supuestamente seguras que los custodiaban). «Las contraseñas personales como único mecanismo de autenticación tienen los días contados, con lo que se reducirán los riesgos de seguridad asociados a las contraseñas fácilmente adivinables y a la reutilización de las mismas en diferentes servicios», explica en este sentido Alejandro López, del Instituto Nacional de Ciberseguridad (INCIBE), tras participar en la tercera edición de Revolution Banking 2018.

El proceso ya está en marcha. En los últimos años, los usuarios de banca hemos visto cómo se han introducido diferentes sistemas biométricos para acceder a las aplicaciones de nuestra entidad como la huella digital (BBVA, Santander y CaixaBank lo tienen, entre otras entidades), el reconocimiento facial o, incluso, el escaneo del iris, unos métodos que ha sido posible implantar gracias a la alta penetración de smartphones equipados con este tipo de tecnologías, según explica López. De hecho, uno de los acicates del fenómeno fue el lanzamiento del iPhone 5S con lector de huella dactilar, el 20 de septiembre de 2013 (si bien, no fue el primer teléfono en incluir esta tecnología).

Y todo parece indicar que los nuevos avances van a profundizar en este tipo de herramientas que usan el cuerpo para identificar a los usuarios. «Se está investigando en los últimos años lo que se conoce como biometría del comportamiento o patrones biométricos dinámicos. Éstos permiten identificar a una persona en base a su comportamiento en el uso de un dispositivo. Para ello, se analiza la navegación en Internet, los movimientos gestuales con el ratón o en la pantalla táctil, el desplazamiento físico, etc. Este tipo de reconocimiento requiere un análisis continuo del comportamiento y está intrínsecamente relacionado con la inteligencia artificial, el machine learning y el análisis de datos», relata López, quien añade que también se avanza en soluciones como el reconocimiento del pulso, de la huella de toda la mano, etc.

Inicialmente, este tipo de software levantaba algunos recelos entre los usuarios pero su comodidad frente al engorro de tener que memorizar diversas contraseñas ha ido favoreciendo su implantación. Así, el 44 por ciento de los españoles considera que el reconocimiento de la huella digital es el método más seguro, por encima de las contraseñas tradicionales y de los números PIN, según IBM. A nivel mundial, también están siendo bien acogidas. En concreto, el 67 por ciento de los usuarios se encuentra cómodo utilizando soluciones de autenticación biométrica y el 87 por ciento cree que lo estará en el futuro. Aunque eso no quiere decir que los recelos hayan desaparecido por completo, como muestra el hecho de que España sea el segundo país europeo con mayor preocupación por los posibles riesgos del uso de la autenticación biométrica, con un porcentaje del 55 por ciento, frente al 45 por ciento de media en la UE.

Pero, ¿tienen razón los españoles cuando se preocupan por la seguridad de estos nuevos métodos? Juan Acosta, business information security officer de Wizink Bank, explica que aunque el PIN «es un valor tremendamente protegido por las instituciones financieras», que se genera a través de un proceso criptográfico irreproductible, es más vulnerable que los nuevos métodos debido a los errores humanos para almacenarlo y memorizarlo. Lo mismo ocurre con la tarjeta de coordenadas, que se puede sustraer o perder. Por eso, las nuevas metodologías son más seguras aunque no exista la infalibilidad al 100 por cien. En concreto, el reconocimiento del iris es el método que los expertos consideran más avanzado, aunque la huella dactilar es más cómoda a día de hoy.

Precisamente, para mejorar la seguridad en el proceso de autenticación, el Banco Central Europeo promueve el uso de sistemas multi-factor (es decir, combinar más de una herramienta). «Este tipo de autenticación requiere del uso de, al menos, 2 elementos de distinta categoría e independientes entre sí. Los elementos pueden ser de las siguientes categorías: algo que se conoce (contraseña, PIN, etc.), algo que se tiene (token, smart card, dispositivo OTP, smartphone, tablet, etc.) o algo que se es (característica biométrica)», explica López. Los mensajes de texto SMS con una clave específica son la medida de seguridad adicional más usada en los sistemas multi-factor, según un informe de Indra.

«Ofrecer a los usuarios la posibilidad de elegir entre múltiples sistemas de autenticación redundará en una mayor adopción de autenticación multi-factor y potencialmente mejorará la seguridad pues los hackers tendrán dificultades para obtener datos en masa de diferente tipo», explica en este sentido el estudio de IBM.

Si bien, más allá de la seguridad, son las preferencias, hábitos y actitudes de los usuarios los que van a determinar la predominancia de unos métodos sobre los otros. A este respecto, las tecnologías que resultan invisibles para el usuario, como la biometría del pulso, son las que tienen más probabilidades a juicio de Acosta, aunque su desarrollo está poco avanzado y «queda mucho» para que resulten operativas, según él. 

Múltiples soluciones

Por todo lo anterior, parece que el mercado está lejos de adoptar una única solución. «Algún método se pondrá de moda puntualmente pero será algo temporal por definición hasta que alguien encuentre algo más cómodo», relata Acosta, quien añade: «Lo interesante es introducir varios métodos de manera que el cliente experimente dependiendo de sus circunstancias. Por ejemplo, si me conecto desde casa, un OTP (contraseña de un solo uso) en conjunción con usuario/contraseña podría ser suficiente pero, ¿y si estoy en la calle? Necesito una solución más ágil como la huella», explica Acosta (quien también participó en Revolution Banking). Acosta, desde luego, descarta que se vaya a alcanzar una solución única para toda la industria. López está de acuerdo: «Lo más probable es que convivan durante algún tiempo varias herramientas o todas ellas, al menos, hasta que alguna consiga una adopción del mercado suficientemente amplia». En este sentido, los esfuerzos por lograr una estandarización también contribuyen, como apunta López: «Una iniciativa que va a ayudar a la adopción masiva de sistemas biométricos, así como los basados en token y OTP, es el estándar WebAuthn, impulsado por el consorcio World Wide Web y Fido Alliance». 

Aunque nunca hay que olvidar que siempre podría sobrevenir «un ataque, una vulnerabilidad u otro tipo de evento» y forzar al sector a adaptarse y modificar la tecnología de autenticación más allá de lo que ahora se considera «suficiente», según Acosta.