Métodos de identificación

Aunque muchas cosas han cambiado en la seguridad en internet en los últimos 10 años, sin embargo otras han permanecido igual, como es el caso de la identificación mediante contraseñas alfanuméricas. Éstas siguen siendo la forma de autenticación dominante: según estudios el 97% de las organizaciones las utilizan.

Sin embargo, a pesar de ser la forma de autenticación más extendida, la identificación mediante contraseña alfanumérica tiene algunos inconvenientes bastante destacados, como son el olvido y el robo de las mismas. Los fallos en la autenticación de usuarios pueden causar muchos daños técnicos y además tener un gran coste económico. En 2007 se cuantificaron en 3200 millones de dólares las pérdidas debidas a suplantación/robo de la identidad (phishing).

Todo esto ha llevado a la investigación en formas alternativas de identificación de los usuarios, que tienen como objetivo principal evitar los problemas actuales de las contraseñas alfanuméricas y dotar a los sistemas de una forma de identificación más segura.

Un método alternativo de identificación también basado en contraseñas es el uso de contraseñas gráficas o de audio. Así, el usuario para identificarse deberá reconocer una serie de imágenes o sonidos entre los presentados (métodos de reconocimiento). Otra variante son los métodos basados en clics, donde el usuario debe clicar sobre ciertos puntos, previamente seleccionados, de la imagen o de la pista de audio para que el sistema lo reconozca.

Diferentes alternativas basadas en el uso de fichas (tokens) también se han desarrollado recientemente. Son sistemas en los que el usuario posee un dispositivo personal como una tarjeta inteligente con PIN, una memoria USB con contraseñas, etc.

Aunque algunos de estos métodos se pueden encontrar aplicados a programas o aplicaciones, los nuevos métodos de identificación que más auge están teniendo son los que utilizan alguna biométrica del usuario para el reconocimiento.

Se entiende por biométrica a cada una de las características particulares del individuo. Existen dos tipos principalmente: las biométricas físicas —relativas a una propiedad fisiológica del usuario— y las de comportamiento —relativas a una propiedad conductual del usuario—.

Son varias las características físicas de un usuario que se pueden medir para caracterizarlo. Entre las más comunes se encuentran: la huella digital, la geometría o la huella de la palma de la mano, el reconocimiento facial y el reconocimiento del iris.

Por otro lado, las biométricas de comportamiento más frecuentemente utilizadas para la identificación son: análisis de voz, patrón de tecleado, identificación de firma y patrón de interacción (tecnología háptica).

La identificación mediante biométricas ha alcanzado una precisión considerable en los últimos años para poder aplicarla en diferentes sistemas, tanto por el desarrollo de nuevos métodos de captura de información biométrica como por el diseño de nuevos algoritmos de extracción de características y reconocimiento.

El auge de las biométricas se debe principalmente a que estas características personales son muy difíciles (casi imposibles) de copiar. Sin embargo, esto también es un inconveniente, ya que si se logran copiar, el falso usuario dispondrá de gran información sobre el usuario real, utilizada en muchos casos por organismos oficiales. Esto lleva a que muchos usuarios no estén dispuestos a utilizar las biométricas para su identificación en diferentes sistemas.

A pesar de la cantidad de métodos alternativos de identificación surgidos en los últimos años, ninguno de ellos ha demostrado ser, en términos generales, superior a las contraseñas alfanuméricas tan extendidas. Por un lado, por motivos de precisión. Por otro, por motivos de usabilidad o de coste económico.

Esto ha llevado al diseño de métodos de identificación que combinen varias de las técnicas mencionadas, para solventar los inconvenientes de cada una por separado. Los más comunes son los sistemas que utilizan el reconocimiento de alguna biométrica más la utilización de una contraseña alfanumérica. De esta forma, consiguiendo la copia de la contraseña o la emulación de la biométrica únicamente no se puede realizar la falsificación exitosa de la identificación.

Sin embargo, no hay que confiarse. Una forma de identificación más segura da lugar inmediatamente al diseño de nuevas formas de suplantación o ataques. Ejemplos de esto pueden ser los ataques del tipo MiTM (Man-in-the-middle) o los ataques Troyanos que, en vez de actuar en la fase de identificación, actúan en la fase de envío de datos, consiguiendo de esta forma acceso al sistema.

Por ello, un método de identificación más elaborado quizás sólo consiga una seguridad de acceso temporal. Como en casi todo lo relativo a la seguridad, parece que el camino de los métodos de identificación es una carretera de doble sentido.

Comments

  1. Independientemente de si se usan tokens, biometria, o contraseñas (visuales, pines, dibujos, etc), lo más importante siempre ha sido utilizar al menos dos de estos tipos combinados, lo que se viene llamando autenticación de dos factores.

    Puede parecer complicado pero la gente no se da cuenta de que ya lo viene usando en el día a día:
    -Tarjeta de crédito + pin: algo que se tiene mas algo que se sabe.
    -Contraseña del banco + confirmación por SMS: algo que se sabe, mas algo que se tiene (el teléfono).
    -Desconectador en el coche (muy antiguo ya): algo que se tiene (llave), más algo que se sabe (donde está el botón).

    Ahora solo nos falta que los usuarios empiecen a utilizar la autenticación de dos factores que nos ofrecen servicios online como Google o similares. Personalmente cada día lo gasto más y solo es cuestión de acostumbrarse.

  2. Uso el sistema de identificación en 2 pasos con Google desde hace al menos 2 o 3 años. La verdad es que ha costado que los bancos se pusieran al día con la identificación mediante dos factores. Al menos hasta hace nada, este servicio les sonaba por así decirlo a chino. Y lo que no acabo de entender es cómo Paypal no lo tiene implementado todavía (al menos en la versión básica…supongo que se podrá configurar para tener esta opción de doble seguridad….probando….probando)

  3. Buen aporte. Lo que está claro es que no se debe fiar nuestra seguridad a un único sistema, sino combinar identificaciones en dos o más pasos. Como dices, cuanto más avanzan los sistemas de seguridad, más lo hacen a su vez las técnicas de hacking.

    Apropósito de nuevos sistemas biométricos, hace poco apareció un sistema llamado Nymi que se basa en nuestro cardiograma para complementar la autentificación -de momento, en smartphones- qué opinas? https://seguridadparaelpc.wordpress.com/2013/09/04/olvida-las-contrasenas-nymi-nos-conoce-por-nuestros-latidos/

  4. son muy buenas alternativas, solo que tienen que ser muy biien analizadas, ya podemos ver lo que ha pasado con el ios que aunque es un sistema operativo muy bueno en el tema de seguridad tiene algunos bugs que no han esperado a salir a flote en las redes sociales…

    muchas gracias por el aporte