Contraseñas en la era de la computación cuántica
Quien piense que las contraseñas permiten identificar unívocamente a las personas está en un error porque, en realidad, cualquiera que conozca la contraseña puede acceder a la información de una determinada persona.
Cuando empezó a ser evidente este problema y empezaron a surgir más y más fraudes por suplantación de identidad, las empresas y todos los mensajes del sector tecnológico se limitaban a echar la culpa a las personas, diciendo que debían crear contraseñas más complejas, que no debían repetirlas en diversos sitios y tampoco tenerlas apuntadas para evitar que pudieran ser descubiertas, entre otras cosas. Este discurso culpabilizando al usuario llegó al punto de que la industria tecnológica creó un Día Mundial de la Contraseña (primer jueves de mayo), para concienciar al usuario de la importancia que tiene establecer contraseñas y claves seguras y robustas.
Con la llegada de la computación cuántica, este discurso ya no es sostenible. Una vez demostrada la vulnerabilidad de las contraseñas y lo engorroso de recordar y almacenar decenas de claves, comenzaron a aplicarse esfuerzos por fortalecer el esquema actual con la implementación de los llamados múltiples factores de autenticación.
Este sistema se basa en utilizar varios de los tres elementos que se pueden usar para identificar a una persona: algo que la persona conoce (contraseña, fecha de nacimiento y otros datos personales); algo que tiene (un dispositivo, normalmente, aunque también puede ser una tarjeta de acceso o un documento de identificación); y algo que es (su biometría).
Sin embargo, la mayoría de estas implementaciones están basadas en el uso de mensajes SMS que involucran un dispositivo de la persona que tiene que ser identificada, además de pedirle la contraseña. La práctica ha demostrado que estas soluciones están siendo vulneradas por los hackers, que tienen diversos métodos para interceptar ese mensaje de texto con cierta facilidad, sorteando así el del segundo factor de autenticación.
Aunque pocos casos salgan a la luz pública, están a la orden del día los ataques de SIM swapping, estafa que consiste en duplicar de forma fraudulenta la tarjeta SIM del teléfono móvil de una persona y hacerse pasar por ella, algo que se ha multiplicado con estándares como el PSD2. Con ello, los cibercriminales interceptan los mensajes de texto que se envían para confirmar operaciones desde el móvil. De hecho, a principios de año la Agencia Española de Protección de Datos (AEPD) impuso multas millonarias de entre 70.000 euros y 3,9 millones a las principales operadoras de móviles por el fraude del SIM swapping, al considerar que no habían protegido bien los datos de los clientes cuando algunos estafadores trataron de conseguir duplicados de tarjetas.
De los tres elementos de identificación mencionados anteriormente, la combinación de un elemento que se tiene (el dispositivo móvil) junto con la biometría de la persona representa la opción más segura y con menores riesgos de ser vulnerada. Sin embargo, muchas implementaciones envían información biométrica de las personas para hacer una comparación con parte del patrón biométrico del usuario almacenado en una base de datos. Y que alguien tenga datos de nuestro patrón biométrico (aunque sean pocos y muchas personas aseguren que insuficientes para reconstruir un perfil biométrico) representa un riesgo que como ciudadanos no deberíamos asumir.
Que nuestros datos biométricos caigan en manos equivocadas podría significar un problema de por vida. Pero esto no supone que debemos renunciar al uso de la biometría, sino que debemos exigir un uso responsable de nuestros datos biométricos. Con uso responsable nos referimos a que la biometría esté en posesión de la persona, y no en servidores externos donde perdemos el control de cómo se protege esa biometría.
Existen otras maneras de identificar fehacientemente a las personas, de verdad, sin depender de las contraseñas y haciendo un uso responsable de la biometría que millones de personas ya tenemos almacenada en nuestros teléfonos móviles. Algunas empresas ya llevan años trabajando en nuevos sistemas de identificación que permitan dar un paso importante en la protección de los intereses de las empresas y de sus empleados y usuarios.
Las soluciones que generarán el cambio necesario para olvidarnos definitivamente de las contraseñas serán aquellas que utilicen las capacidades actuales de los teléfonos móviles para resguardar la biometría y que puedan establecer un protocolo en el que se pueda saber que la persona que porte ese dispositivo es verdaderamente quién dice ser.
Así, los teléfonos móviles y los nuevos modelos de identificación que están emergiendo jugarán un rol importante para dejar de utilizar, de una vez por todas, las tan problemáticas y nada seguras contraseñas.