Selecciona Edició
Connecta’t

La fi de les contrasenyes

Els atacs deixen obsolets els sistemes de seguretat a la xarxa. La doble autenticació i la biometria s'obren camí

Emilio Martínez mostra el programa de contrasenya per veu.
Emilio Martínez mostra el programa de contrasenya per veu.

Amb saquejos massius de dades com el de Sony, el ciberatac més greu fet contra una empresa, o el que va patir Apple fa uns mesos, quan desenes de fotos privades d'actrius de Hollywood van ser robades i difoses per tots els racons de la xarxa, parlar d'Internet i seguretat s'ha convertit gairebé en un oxímoron, una contradicció en els termes. La majoria dels experts considera que l'actual sistema de contrasenyes que regeix la xarxa ha caducat perquè és incòmode per als usuaris i, com cada vegada queda més clar, per la seva falta de fiabilitat. El futur són els sistemes de doble autenticació i la biometria, camp en què diverses empreses espanyoles són pioneres. Mentrestant, tots els experts en seguretat donen el mateix consell: generar contrasenyes més complexes, en la mesura del que sigui possible, per dificultar el treball dels lladres de dades.

Com ha escrit l'expert en informàtica de The New York Times, Farhad Manjoo, “no envieu un correu, no pugeu una foto al núvol, no envieu un missatge de text, almenys si teniu qualsevol esperança que continuï sent privat”. El problema és que cada vegada desem més dades i més importants a Internet, ja siguin bancàries, professionals o personals, i cada vegada estan més exposades. La pàgina web www.databreaches.net calcula que s'han produït 30.000 robatoris de dades en tota mena d'empreses en els últims deu anys, amb una inquietant acceleració el 2013 i el 2014. Javier García Villalba, professor del Departament d'Enginyeria de Programari i Intel·ligència Artificial de la Universitat Complutense de Madrid, assegura: “Una contrasenya per si sola ja no ofereix prou seguretat. Els atacs informàtics comprometen per igual qualsevol contrasenya, sigui bona, dolenta o regular”.

“Les contrasenyes es consideren insegures pràcticament des del seu naixement”, explica per la seva banda Alejandro Ramos, professor del màster en seguretat de les tecnologies de la Universitat Europea de Madrid. “El problema és que s'han utilitzat en tots els sistemes d'informació i ens hem acostumat a usar-les. Canviar i aprendre nous mètodes d'autenticació no és senzill i aquest és el motiu principal pel qual avui dia es continuen utilitzant”. Un estudi de l'empresa nord-americana Fortinet, especialitzada en sistemes de seguretat reforçada, assegura que cada usuari fa servir com a mínim 25 llocs amb contrasenyes, encara que només s'utilitzen 6,5 claus diferents de mitjana, circumstància que redueix encara més la protecció. “L'objectiu és buscar solucions tecnològiques que eliminin les contrasenyes que fan cada vegada més complicat moure's al web”, explica el director a Espanya de PayPal (la principal empresa de pagament per Internet), Estanis Martín de Nicolás. Javier Barrachina, responsable de producte de l'empresa FacePhi, una start-up alacantina que ha desenvolupat un sistema de reconeixement facial a través del mòbil que acaba de comprar l'Associació de Bancs del Perú (ASBANC) que agrupa 16 entitats, es mostra rotund: “El final de les contrasenyes és inevitable. Abans havíem d'aprendre desenes de números telèfon de memòria, ara ens sembla impensable. A més, treballa a favor de les persones”.

Si les contrasenyes han mort, quin és el futur? “Els experts determinen que hi ha tres factors d'autenticació, que es defineixen per alguna cosa que sabem, alguna cosa que tenim i alguna cosa que som”, explica Daniel Firvida, coordinador d'operacions de l'Institut Nacional de Ciberseguretat (Incibe), una societat estatal adscrita al Ministeri d'Indústria, Energia i Turisme la missió del qual és reforçar la seguretat de la informació a Internet. Alguna cosa que sabem seria la contrasenya tradicional, alguna cosa que tenim serien les targetes de coordenades o les aplicacions per generar-les que actualment utilitzen gairebé tots els bancs, que exigeixen una doble autenticació abans d'efectuar qualsevol operació important, i alguna cosa que som seria la biometria, l'autenticació a través de la veu, l'empremta dactilar o l'iris.

La biometria encara planteja molts problemes per a
la seva implantació

Des d'un vuitè pis de la Gran Via que ofereix una vista impressionant sobre Madrid, Emilio Martínez, CEO de l'empresa madrilenya Agnitio, ofereix una visió d'un futur que ja forma part del present. La seva empresa, coneguda per un programa de reconeixement de veu que utilitzen les policies de gairebé 40 països, ha creat un programa sofisticat per substituir les contrasenyes pel reconeixement de veu dins de l'aliança internacional FIDO, el projecte més ambiciós per fer un salt endavant en la seguretat a Internet. Impulsada per PayPal i amb gegants com Google, Microsoft, Samsung, Visa, MasterCard, Alibaba, BlackBerry o Bank of America entre els seus membres, l'objectiu d'aquesta aliança és oferir nous mètodes de seguretat que es converteixin en estàndards per pagar o fer servir dades. Apple, a través d'ApplePay que està implantant als EUA en els nous aparells com l'iPhone 6, també permet disposar de noves formes de pagament, amb una seguretat molt més sofisticada. Aquest telèfon, com l'últim model de Samsung, ja es desbloquegen amb un sistema biomètric i permeten fer pagaments només amb l'empremta dactilar com a identificació.

“Les contrasenyes estan malferides, però no mortes”, explica Emilio Martínez. “Ja hi ha bases tecnològiques i d'estàndards de pagament que ens permetin anar-les substituint però la seva incorporació és lenta”, afegeix. Martínez recorda com ha anat evolucionant la indústria del pagament, des dels vells temps en què amb una signatura n'hi havia prou per utilitzar una targeta de crèdit –recordar les velles bacallaneres que deixaven una còpia brillant en paper carbó de la targeta fa posar els pèls de punta– fins a la incorporació gradual dels xips a les targetes de crèdit –es van crear el 1998 però van trigar més de deu anys a generalitzar-se–. La clau no consisteix només a incorporar sistemes de seguretat molt sofisticats utilitzant els sensors de què disposen els telèfons per captar la veu, la imatge o les empremtes dactilars –els càlculs de la indústria indiquen que el 2017 hi haurà 990 milions de mòbils que incorporin aquests sistemes–, sinó en la manera d'emmagatzemar la informació. Pels experts, un avanç fonamental és desenvolupar sistemes que facin que les companyies no emmagatzemin les contrasenyes, que només les tingui el client –és el que s'anomena contrasenyes tancades i obertes–. D'aquesta manera, encara que pateixi un atac, els danys serien molt més reduïts que ara.

“Les contrasenyes fan que cada dia sigui més difícil navegar”, diu un expert

El problema és que la biometria encara planteja molts reptes: és més fàcil utilitzar-la en un telèfon que en una pàgina web i s'ha d'incorporar de manera generalitzada en la indústria, des dels comerços fins als bancs o les empreses que treballen amb informació als webs (bàsicament, totes). Com explica Javier García Villalba, “està bé per entrar en un edifici, però no per connectar amb Melbourne”. “De moment, el més segur sembla l'ús del que es coneix com a autenticació de dos factors, en què a més d'una contrasenya s'utilitza alguna mesura biomètrica o alguna cosa que té el client, com una calculadora o el telèfon mòbil. Això fa que el compromís d'una contrasenya sigui menys perillós i, tot i que tampoc no és un sistema totalment fiable, ofereix molta més seguretat”, afegeix aquest professor de la Complutense.

MÉS INFORMACIÓ