Nunca más una contraseña volverá a ser algo lo suficientemente seguro. Al menos no aquellas memorizables. Cada vez son más los servicios que incluyen sistemas de doble factor de autenticación, e incluso tres o más, pero el tema es poder darle más una llave de seguridad a una misma puerta.

Hay quienes optan por tener muchas y conservarlas en un gestor de contraseñas, pero también quienes prefieren utilizar herramientas generadoras de passwords y que las hay en demasía en la red, pero lo cierto es que nunca cumplirán su rol en su totalidad. Y es justo ahí donde otras alternativas, como los datos biométricos, comienzan a ser una buena chance al momento de hablar de ciberseguridad de los dispositivos y cuentas, que conservan material sensible de los usuarios.

Según datos de Gartner, una de las más reputadas consultoras de tecnología en el mundo, entre el 20% y 50% de los casos de soporte que se abren en el área de TI corresponden a solicitudes de recuperación de contraseña. De acuerdo a estudios de la misma firma, un 80% de las brechas de seguridad están basadas en password débiles o reutilizados, y que deja en claro lo necesario que es para los usuarios no repetirse contraseñas o ni siquiera términos en sus contraseñas.

Justamente esta problemática es algo que muchas veces empresas que manejan sitios de bancos, de retail o redes sociales tienen que lidiar. Juan Pablo Arias, Gerente de Ingeniería en Fortinet Chile, plantea que la idea es usar varias credenciales, no solamente un usuario y un password, sino que varios. Ahí entran los sistemas de doble autenticación o multifactor de autenticación.

Existen tres problemas en el sector, asegura Arias. Primero, menciona que los password, debido a la alta cantidad de plataformas y perfiles en comercios o páginas web, son muy difíciles de gestionar. Luego, eso hace que los usuarios tengan una mala experiencia y, por último, a ambos factores se suman los problemas con la seguridad. “Una tendencia y solución que se plantea en la industria, es el doble factor de autenticación, pero también se habla del multifactor (MFA), y que le hace la vida más difícil a los hackers, pero también más fácil a los usuarios”, afirma.

La idea de estos sistemas se basan en el siguiente principio: las empresas -o plataformas- tienen algo que el usuario sabe, que puede ser una contraseña; algo que tiene en su posesión, como puede ser un token físico o una aplicación (OTP); y algo que es específico suyo, y que puede traducirse a información biométrica como el rostro o la huella digital, y que es algo que hoy utilizan mucho los bancos. O incluso los teléfonos inteligentes, que incluyen lectura de huella dactilar o identificación del rostro de los usuarios.

Los sistemas de autenticación, plantea Arias, no debiesen ser estáticos. “No debería ser solo el rostro, porque podría tener una foto tuya y hackeo un sistema, pero se puede incluir también un gesto o un movimiento, para que así sea más difícil descifrar si eres o no tú”, asegura. Estas herramientas debiesen de ser dinámicas y adaptarse de acuerdo a los requisitos o motivos que tenga el usuario para utilizarlos.

Por ejemplo, si es que se desea realizar una transacción bancaria por un monto muy reducido, la plataforma quizás solicite una clave adicional, un token o alguna verificación biométrica. Pero si el monto escalara a unos cinco millones, dice, y además a una persona a la que nunca antes se le han hecho transacciones, posiblemente la aplicación o sitio web pida ahí otros medios de comprobación. “La idea es tener siempre más seguridad, pero del lado del usuario”, afirma.

En la industria tecnológica e informática es algo que ya está integrado, y existen aplicaciones que generan contraseñas únicas y que nunca se repiten, que sirve a los usuarios para entrar con mayor seguridad a sus diversas cuentas. O incluso, así como algunas apps de bancos que sirven para la comprobación de transacción y en las que solamente se debe aprobar o denegar, y que incluso acusan a un tercero si es que se está intentando comprar algo con una tarjeta propia en un comercio en internet.

Hoy día se está dando una tendencia, afirma Arias, hacia la eliminación de los passwords para “definitivamente borrar las contraseñas”. En los últimos días Apple dio a conocer una nueva serie de lanzamientos, entre las que destacaron productos pero también herramientas. Desde hace algunos años venían experimentando con el sistema de Touch ID, con el cual los usuarios pueden acceder a sus equipos con su huella dactilar, pero esta vez fueron unos cuántos pasos más allá.

La empresa, en conjunto con Alphabet -propietaria de Google-, anunciaron que para fines de año lanzarán un sistema de compatibilidad de contraseñas para correos electrónicos o cuentas bancarias, solamente a través de la huella dactilar, en un registro único que permitirá a los usuarios de Android e iOS entrar a determinados sitios solamente poniendo su huella dactilar.

“La idea es que se mantenga la cultura de la seguridad, pero por otro lado se centran en molestar menos al usuario, para que sea también una experiencia con sus aplicaciones, más transparente y amigable”, dice el experto. Y el caso de Apple, que se basa en biometría para implementar su tecnología, es solo un ejemplo. Sistemas propios del usuario pueden corresponder también a “llaves” USB, que básicamente son pendrives que funcionan como un desbloqueo. “Los wallets en el mundo de las criptomonedas tienen una llave física, por ejemplo, que en el fondo significa que de digital tienes nada, sino que tenga algún dispositivo con un tipo de sensor para ser leído”, asegura.

Cuando se trata de sistemas de doble autenticación, idealmente no debe de estar integrada a la plataforma principal. Si se trata, por ejemplo, de un aplicativo bancario, que la herramienta de verificación esté afuera de la principal. “No es tan malo cuando se te dirige a otro lado o cuando un tercero maneja la parte de seguridad, porque hoy en día hay empresas especialistas en ese tema, pero si el mismo que desarrolla toda la lógica del banco es quien ve la parte de seguridad, probablemente no esté tan bien eso”, asegura Arias, de Fortinet.

A pesar de la evidente seguridad que puedan entregar estas herramientas, el experto asegura que pueden existir riesgos. Por ejemplo, en el caso de tratarse de algún sistema de verificación biométrica por rostro, que alguien intente suplantar la identidad del usuario con una fotografía, y por eso es relevante que sean herramientas dinámicas y no estáticas. Que puedan solicitar perfil del usuario, rostro u otro ángulo. Incluso, en caso de querer entregar mayor seguridad a los cibernautas, pueden complementarse con reconocimiento de voz y distintas tonalidades, gestos.

“Las contraseñas memorizables, en promedio, se pueden hackear en menos de 1 hora, porque utilizan el método de fuerza bruta, con un programa que prueba todas las combinaciones. Puedo tener un documento con mis contraseñas o un gestor, pero si alguien entra, puede verlas todas... Este es un problema aún sin final”, dice.

Esa es la primera complicación, asegura. Luego, la que se mantiene vigente es el phishing, que a pesar de ser una estrategia conocida por los usuarios, aún son muchos los vulnerados y una de las principales causas de secuestro de datos o robo de información.