¿Por qué no es suficiente la contraseña?

En los últimos años en el mundo se han promulgado leyes que buscan salvaguardar la privacidad de las personas, haciendo que las empresas tengan que implementar mecanismos que lleven a sus usuarios a validar su identidad de diferentes formas.

Uno de los ejemplos más usuales lo vivimos en las plataformas gratuitas de correo, cómo Gmail, Outlook y Yahoo, que cuando usas un dispositivo nuevo para ver tu cuenta de correo te sale un mensaje indicando que te llegará un mensaje a tu móvil o que debes en tu móvil dar la aprobación para validar el acceso en este nuevo dispositivo.

Estos mensajes tienen dos objetivos fundamentalmente, el primer es dar un aviso al usuario que se esta accediendo a su cuenta y que tienen todos los datos de acceso. La segunda, es confirmar que si es el usuario valido quien lo esta haciendo pueda autenticar su identidad con algo que debe tener únicamente él, como es su móvil.

Esto se fundamenta en que la identidad de un usuario se puede verificar a través de tres diferentes mecanismos, donde se puede usar uno o las combinaciones que se quieran de estos tres mecanismos.

Sin embargo, estamos acostumbrados a que únicamente se solicite uno de estos mecanismo con la contraseña, la cual valida algo que debería conocer únicamente el usuario, pero esto no ha sido efectivo, por lo que surge la necesidad de confirmar algo que debe tener únicamente el usuario, como es el móvil.

¿Por qué surge esta necesidad?

En los últimos años las fugas de información que se han presentado a empresas como Yahoo, Facebook, Marriot, MySpace, Google, Twitter, Uber, Amazon, Equifax, entre muchos otros, han generado que millones de usuarios y contraseñas se vean expuestas para que cualquier usuario mal intencionado pueda acceder a las cuentas de los usuarios y suplantar la identidad.

 

 

 

Adicional a estas fugas, los usuarios repetidamente usan la misma contraseña en diferentes perfiles de Internet, generado por la compleja administración que supone usar una contraseña en cada una de las cuentas y la dificultad de recordar varias contraseñas.

Estas dos condiciones han generado que las empresas busquen mecanismo que mejoren los procesos de identificación de los usuarios, pero que no suponga un nivel de complejidad muy alto para los usuarios.

¿Que soluciones se han planteado?

Una de las primeras soluciones que se puso en funcionamiento es lo que se denomino “Login Social”, que es validar la identidad de un usuario haciendo una relación a alguno de sus perfiles en redes sociales. Esto realmente no mitiga el riesgo si no que por el contrario expone al usuario a que todas sus cuentas se vean expuestas cuando su identidad en al red social se vea comprometida.

Por este motivo se ha buscado que la identidad de un usuario se valide a través de pruebas que confirmen algo que el usuario conozca, como un pin o una contraseña, algo que el usuario tenga, como un token o el móvil y/o algo que el usuario sea, como la biometría dactilar o reconocimiento facial.

Un avance en este sentido lo han planteado los navegadores, implementando un mecanismo que puede usar cualquier sitio web, donde se le solicita al usuario que digite un identificador, que puede ser un correo electrónico o un username, una vez se hace esto se debe colocar una USB que contenga una llave de autenticación, la cual es única y esta relacionada con el usuario cuando se registra, así se valida la identidad con algo que tiene y algo que sabe.

Conclusiones

Las contraseñas van a ser reemplazadas en corto tiempo, por lo que debemos acostumbrarnos a que nuestros servicios digitales nos soliciten más de un dato o de una acción para poder acceder a nuestros datos o a usar sus servicios. Aun se están realizando las pruebas y la validación de los diferentes mecanismos para este reemplazo, mucho depende de que los usuarios vean que aunque puede ser un poco más complejo que el uso de la contraseña, estos mecanismos son la forma de proteger su información y su privacidad.

Diego Samuel Espitia Montenegro

CSA en Colombia

ElevenPaths Cybersecurity Unit of Telefónica

@dsespitia

 

 

 

 

Por favor síganme y denme un Me Gusta
error