Haga el siguiente ejercicio: recuerde cuantas contraseñas necesita memorizar y usar a diario para acceder a su teléfono móvil, computadora laboral, PC hogareña, el correo electrónico, la casilla de mensajes de voz de su casa, oficina y celular. Más el “homebanking”, la mensajería instantánea y las redes sociales. Y no se olvide de las claves de sus tarjetas bancarias. 

Se trata de cadenas de números y caracteres que, además, deben cambiarse cada cierto tiempo, ante alertas de los proveedores sobre el “hackeo” de cuentas. 

Las contraseñas son el eslabón más débil en la seguridad de los servicios y dispositivos basados en las tecnologías de la información y la comunicación (TIC).

Las claves de millones de cuentas son sencillas de adivinar, porque son “12345678” o “abcd”, o el nombre del usuario y su año de nacimiento.

Diversas filtraciones de datos han expuesto a millones de identificaciones de usuario y contraseñas. Los programas y las claves están expuestos en una forma oculta o “hash”, los procesadores cada vez más potentes y el descifrado de los códigos de seguridad permiten que incluso los “hackers” novatos puedan convertirlos en texto sin formato.

Sin embargo, pareciera que a las “passwords” se les acerca su “hora final” en los próximos años, si prospera una iniciativa que fomentan grandes proveedores tecnológicos, y que estaría presente en el próximo modelo del iPhone, el famoso teléfono móvil de Apple.

"Nuestra intención es realmente borrar, dentro de un cierto número de años, las contraseñas y números PIN, incluso en Internet”, dijo Michael Barrett, jefe de seguridad de la información en PayPal, este mes en la conferencia Interop en Las Vegas, EEUU. 

Este miembro de la empresa estadounidense propiedad de eBay, que permite la transferencia de dinero entre usuarios que tengan correo electrónico, también preside la Alianza FIDO, un consorcio recientemente presentado que trata de crear un estándar abierto que pueda sustituir a las contraseñas. 

Google, Lenovo y otras compañías tienen representantes en la junta directiva de FIDO, sigla en inglés de Fast IDentity Online (rápida identidad en línea).

El sistema funcionaría con los usuarios que se autentifiquen en su dispositivo personal, teléfono inteligente u otro. A su vez, la identidad de ellos se autentifica en un sitio web (como PayPal) utilizando los protocolos de FIDO.

Las formas para validar a cada individuo pueden ser la lectura de la huella digital o la detección del iris del ojo.

Debajo, una gráfica del funcionamiento del sistema:

“La idea es que la persona se autentifique a su dispositivo y éste se verifique con seguridad a un sitio web”, dijo Barrett. “Las credenciales que se autentican en el equipo se almacenan de forma segura en él”, detalló.

“Las contraseñas se están quedando ´sin gas´ como una solución de autenticación. Están empezando a impedir el desarrollo de la propia Internet. Está bastante claro que no podemos arreglarlo con un enfoque propio”, advirtió.

PayPal es uno de los sitios web en los que se implementa este sistema.

Así, cuando ya esté lanzado, el usuario accederá a la página, éste enviará hacia el dispositivo la orden con el tipo de acción que deberá realizar el usuario para autenticarse en el servicio.

Mientras tanto, las credenciales encargadas de confirmar la identidad del individuo sobre el equipo se almacenan de forma segura.

Barrett estimó que los primeros aparatos con FIDO estarán habilitados este año, en teléfonos inteligentes con lectores de huellas digitales.

El ejecutivo recordó que Apple compró una compañía de tecnología de sensor de huellas digitales el año pasado y se supone que incluirá este sistema en el próximo modelo del iPhone. 

“Se rumorea que un proveedor de tecnología importante en Cupertino, California, saldrá con un teléfono a finales de este año que tiene un lector de huellas digitales en él”, expresó el ejecutivo de PayPal.

Los teléfonos móviles también podrían autentificar a un usuario a través de la biometría de su voz, el escaneo del iris o el reconocimiento facial, expresó Barrett. 

En las PC, habría un “plugin” para el navegador que podría reconocer los métodos de autenticación que el sistema es capaz de hacer. 

Una memoria USB con software FIDO también podría funcionar en el caso de los usuarios que necesiten autenticarse en equipos que no posean esta plataforma. 

La validación que provee la alianza viene en dos variantes básicas:

• Fichas de identificación: serán identificadores únicos que se pueden conectar a las cuentas de Internet del usuario. Una vez que se accede a ellas, se presentarán de forma transparente cada vez que se ingrese como un identificador. 
• Tokens de autenticación: pueden pedir al usuario para realizar una acción explícita para demostrar que es realmente el propietario del token. Estas medidas podrían incluir la introducción de una contraseña, PIN o "pasar" el dedo. 

El desafío consiste en conseguir una mejor seguridad sin que sea difícil para las personas, resumió Barrett, quien mostró en la conferencia -donde iProfesional fue el único medio argentino presente-, una imagen de un conjunto de claves difíciles de manejar, con un montón de dispositivos de autenticación de dos factores. La foto era de un llavero real utilizado por un funcionario de seguridad de PayPal.

“Esto es lo que vamos a conseguir si no hacemos algo mejor que una contraseña”, advirtió.

La llamada “Internet de las cosas”, donde diferentes máquinas se vinculan y deciden entre sí, sin intervención humana, añade más complicaciones.

Barrett mencionó el desarrollo de las heladeras que pueden registrar los alimentos que contienen y ordenar automáticamente al supermercado su reemplazo. Tal vez este tipo de tecnología será común en unos pocos años y la heladera necesitará una manera de pagar esas compras.

"Se plantea la pregunta: ¿de verdad quiere que su heladera conozca su contraseña de PayPal?”, planteó Barrett, quien mostró cuáles son las contraseñas más utilizadas, de acuerdo a un relevamiento de proveedores del mercado de seguridad. 

La Alianza FIDO trabaja en su tecnología desde hace casi dos años detrás de escena, y empezó a hablar en público recién hace un par de meses.

El ejecutivo de PayPal recordó que los mecanismos de seguridad más avanzados que van más allá de las contraseñas son propietarios y por lo tanto no interoperables.  

El grupo que impulsa FIDO tiene como objetivo construir un sistema que pueda ser utilizado por cualquier persona.

Las contraseñas están tan arraigadas en el uso diario de Internet que erradicarlas sería un logro monumental. 

Puede parecer casi imposible, pero Barrett citó al empresario automotriz Henry Ford:  “Si crees que puedes, tienes razón. Si crees que no puedes, también tienes razón”.