24 de julio de 2015

Seguridad personal: hacia nuevas soluciones

Bajo el título de "Secretos, mentiras y recuperación de cuentas" Google ha publicado un interesante informe sobre la protección y recuperación de contraseñas basada en preguntas de seguridad. La conclusión es que, por una parte, muchas personas se olvidan de las respuestas que han dado (el 40% las olvidó y el 37% admitió haber proporcionado respuestas falsas) y, por otra, muchas veces se registran ahí datos que los piratas pueden encontrar con facilidad en las redes sociales (p.ej. el nombre de una mascota). Así, las preguntas secretas ofrecen un nivel de seguridad mucho más bajo que las contraseñas. Esto contribuye a la evolución de la autenticación de doble factor y códigos de verificación basados en SMS (que funcionan en más del 80% de los casos). (Hispasec, 26/05/2015)

Aparte del sistema de SMS, también usado en el sistema de autenticación de dos factores (el que manda un código único indispensable para confirmar la identidad), que se empieza a usar en muchos sitios web, se está trabajando también en mejorar los sistemas biométricos. 

Ya se ha demostrado que el detector de huella dactilar (como el del iPhone) puede ser vulnerado al copiar la huella dactilar dejada en una superficie lisa o incluso con simples fotografías tomadas con una cámara de fotos estándar en eventos públicos, como demostró Jan Krissler en la 31º convención anual de Chaos Computer Club en Alemania (ABC.es, 29/12/2014)

Para hacer frente a las debilidades de este sistema, se han buscado otras alternativas, recurriendo, por ejemplo, al reconocimiento del rostro. Para evitar el uso de fotos, se ha desarrollado una nueva técnica, que obligaría a pestañear o mover la cabeza. Mastercard acaba de anunciar que durante los próximos meses un selecto grupo de 500 clientes podrá utilizar una aplicación para pagar mediante reconocimiento facial en vez de con las típicas contraseñas. La aplicación de Mastercard pedirá el pestañeo cuando se vaya a hacer el «selfie». (ABC.es, 24/07/2015). Pero diversas organizaciones de protección de la intimidad y de derechos humanos están levantando la voz ante la "intrusión" de los sistemas de  reconocimiento de rostros y algunos gobiernos les están poniendo restricciones.

Para evitar este tipo de problema, el banco Halifax propone recurrir al pulso de cada persona, que responde a un patrón único y es más seguro que la huella dactilar (Noticiasdot, 22/03/2015). Por su parte, PayPal se encuentra trabajando en tecnologías empotrables en el cuerpo, como chips de silicona, implantes cerebrales (!), e incluso cápsulas digeribles que detectan la glucosa presente en el estómago para formar un mapa personal único y así reforzar o reemplazar las contraseñas (FayerWayer, 21/04/2015). 

El problema de este tipo de solución es que se trata de datos que  deberían quedar fuera del alcance de los hackers. Siempre es posible que accedan a las bases de datos donde se guardarían y, mientras podemos cambiar una contraseña, no es posible cambiar estos datos.

La solución parece estar en un análisis más complejo, como el del contexto: el aparato utilizado y algunos datos únicos que contiene así como los hábitos del usuario. En este campo, Google ha creado el Proyecto Abacus, que recoge la información sobre el comportamiento del usuario: hábitos de movimiento, velocidad del tecleo, qué apps usa más, agregando la voz o el reconocimiento facial cuando el terminal lo permite. La combinación de toda esta información es la que permitiría construir un sistema hasta diez veces más seguro de identificación del usuario y discernir si es o no el propietario de un dispositivo o una cuenta. Hasta 33 universidades, entre las cuales figuran Princeton y el MIT, se asociaron para colaborar en la creación de este concepto. El siguiente gráfico muestra los niveles de seguridad ligados a distintos comportamientos observables (basado en tests con 1500 usuarios). (Xataka, 30/05/2015)

Una aplicación más sencilla del mismo principio es el que la NSA está probando: la biométrica de firma dinámica, desarrollada en colaboración con Lookheed Martin. La idea es que las grafías que forman la escritura pueden falsificarse si se dispone de tiempo y  habilidad suficientes, pero no se puede falsificar la escritura en sí, o sea los gestos que cada persona hace al escribir, por ejemplo en la pantalla tactil. El ritmo y la velocidad de escritura serían suficientes para identificar de forma inequívoca a una persona. (Gizmodo, 27/05/2015)
(Ver también mi post del 6 de marzo)

No hay comentarios:

Publicar un comentario

No se reciben comentarios.

Nota: solo los miembros de este blog pueden publicar comentarios.