Contraseñas, ¿se avecina su desaparición?
Las contraseñas son la pesadilla de los usuarios y los equipos de seguridad. Los equipos de seguridad han dedicado años a formar a los usuarios con recomendaciones como no utilizar 123456 como contraseña o no reciclar contraseñas para diferentes cuentas personales y profesionales. Del mismo modo, han tomado medidas como la implementación de reglas para contraseñas aún más rigurosas o inversiones en herramientas de administración de contraseñas. Sin embargo, y a pesar de todos estos esfuerzos, estas combinaciones de letras, números y caracteres especiales siguen siendo un objetivo muy fructífero para los atacantes. No obstante, es probable que ahora nos encontremos ante el principio del fin de las contraseñas tal y como las conocemos y que presenciemos cómo son sustituidas por la autenticación sin palabras.
La extinción de especies se asocia comúnmente con eventos que causan una disminución repentina de la biodiversidad del planeta. Muchos de estos eventos se relacionan con volcanes y asteroides que han alterado la temperatura del planeta o la cantidad de CO2 en el aire. Aunque esto puede resultar inquietante dadas las recientes noticias sobre el cambio climático, creo que también es importante analizar eventos menos dramáticos, pero que afectan a un gran número de personas.
Muchos de nosotros ya estamos familiarizados con conceptos relacionados con la autenticación multifactorial, que normalmente requiere al menos dos de los siguientes tres factores:
Algo que sabe (contraseña)
Algo que es (huella dactilar u otro factor biométrico)
Algo que tiene (teléfono móvil u otro dispositivo físico)
El primer factor ha sido tradicionalmente la opción predeterminada: el primer método que cualquier desarrollador de aplicaciones o administrador de TI utiliza para permitir el acceso. Las contraseñas son algo con lo que ya estamos familiarizados, aunque no porque nos gusten. Las consideramos un mal necesario. ¿A cuántas personas les gusta tener que usar, recordar y crear contraseñas nuevas cada día? Piense en los cientos de servicios que utilizamos y las redes a las que accedemos, o la cantidad de servicios y redes que debemos supervisar y gestionar.
Hace poco revisé las contraseñas almacenadas en mi aplicación de administración de contraseñas y conté 258 inicios de sesión diferentes para aplicaciones relacionadas con el trabajo, los viajes y las redes sociales. Las aplicaciones abarcaban cosas como los puntos de fidelización de las aerolíneas, mi proveedor de telefonía, la información sobre mi sueldo o la capacidad de pedir una bebida en un pub durante el confinamiento por la COVID-19.
Precisamente por eso utilizo un administrador de contraseñas, ya que al crear contraseñas complejas y únicas garantizo su seguridad relativamente. De lo contrario, sería bastante peligroso que la contraseña que utilizo en la aplicación para pedir bebidas en un pub fuese la misma que la que uso para mi proveedor de nóminas, agente de bolsa o correo electrónico corporativo. Si ese fuera el caso, existiría un riesgo real de que si una de esas credenciales se compartiese en Internet (es decir, fuese pirateada), todas las demás cuentas correrían el riesgo de ser robadas. Sin embargo, los administradores de contraseñas, aunque sean más o menos eficaces, nunca contarán con la aceptación del público general, ya que muchos usuarios no "ven" el beneficio de utilizarlos. Además, este tipo de herramientas pueden ser complicadas y suponer un desafío para aquellos usuarios que no sean tan hábiles con la tecnología.
Cada vez es más frecuente encontrar credenciales compartidas en Internet, especialmente desde que el confinamiento que se impuso en gran parte del mundo obligó a un mayor número de personas a trabajar desde casa y utilizar Internet con más frecuencia para una gran variedad de servicios, como la entrega de comestibles, el streaming de vídeo y cualquier otro producto o servicio que le puedan llevar a su puerta. Esta tendencia ha aumentado tanto que el famoso sitio haveibeenpwned.com, donde se publican las credenciales compartidas en Internet para que los usuarios legítimos puedan comprobar si se han expuesto sus credenciales, ahora enumera casi 11 500 millones de cuentas. Si se tiene en cuenta que el número de usuarios de Internet son solo algo más de 4500 millones, esto significa que se han compartido en Internet alrededor de dos credenciales y media por cada usuario del planeta y que ahora están en manos de agentes malintencionados.
Los hackers saben que las contraseñas no se nos dan especialmente bien, por lo que utilizan estas contraseñas compartidas en sitios web de todo el mundo con la esperanza de acertar en algún caso. Si tiene en cuenta que la tasa de éxito puede alcanzar el 1 %, resulta evidente que esta técnica es una manera eficaz de vulnerar cuentas de todo el mundo.
Por este motivo, cada vez es más habitual utilizar los otros dos factores para verificar la identidad de los usuarios que inician sesión solo con una contraseña. Puede recibir un mensaje de texto o un correo electrónico para verificar su identidad. Pero, una vez más, este paso adicional es un proceso engorroso por el que muchos servicios online no quieren hacer pasar a sus clientes. A decir verdad, tener que copiar y pegar un código de un SMS en un sitio web no encaja en el concepto de "fluidez", que es precisamente lo que los propietarios de los sitios buscan para garantizar que la experiencia de los usuarios sea positiva.
Entonces, si queremos ofrecer una buena experiencia de usuario a nuestros usuarios, ¿por qué seguimos solicitando contraseñas? Además de ser omnipresentes, conocemos sus fallos y riesgos. Podríamos utilizar cualquiera de los otros dos factores en su lugar. Por ejemplo, que cuando visite un sitio web en el que tiene una cuenta, se envíe una notificación a su teléfono móvil que tan solo debe confirmar. Este caso no requiere recordar una contraseña y se incluye en la categoría de "algo que tiene". Si además solicitamos que la confirmación se realice mediante una huella dactilar, entonces obtenemos autenticación de dos factores: "algo que tiene" y "algo que es". Este método funcionaría para aplicaciones web y móviles sin diferenciación.
La inclusividad se percibe a menudo como un importante obstáculo al considerar alternativas a las contraseñas. Sin embargo, tradicionalmente se ha considerado que las contraseñas en sí mismas y todas las páginas de restablecimiento o captcha que se utilizan junto a ellas son excluyentes en cierto grado. Aproximadamente el 20 % del mundo angloparlante sufre dislexia, por lo que es evidente que la posición actual de las contraseñas no es la ideal.
Por lo tanto, las alternativas pueden ser incluso más inclusivas que las que ya existen. El reconocimiento facial, el escaneo de la huella dactilar o el reconocimiento de voz son alternativas que se pueden utilizar en lugar de una contraseña. No es necesario recordar nada y todas son únicas. La actual pandemia ha acelerado muchas tecnologías durante los últimos 18 meses que facilitan nuestra vida y nos protegen, entonces ¿por qué seguimos atascados con las contraseñas?
Probablemente, las contraseñas no desaparezcan por culpa de un meteorito, pero pronto podrían terminar corriendo la misma suerte que el dodo.
