Los ataques hacen que las empresas recurran a tokens tanto de hardware como de software

Por Will Rodger, Editor colaborador

Frente a los incesantes ataques de hackers de gran potencia, los productores de hardware y software dirigen cada vez más su atención a las contraseñas que pueden ser diseñadas al vuelo, utilizadas una sola vez y luego descartadas para siempre. En un momento dado parecía exagerado usarlas, salvo para los datos más sensibles. Sin embargo ahora los principales usuarios están recurriendo a esa tecnología a un ritmo que no era previsible hace unos pocos años.

“Los puntos fuertes están claros”, señala el profesional de seguridad independiente Peter Wayner. “Cambiar la contraseña evita un gran número de problemas creados por registradores de teclas, escucha, espionaje sobre el hombro (shoulder surfing) y virus. Es una gran ventaja porque esas son algunas de las amenazas más comunes hoy en día”.

Cómo funcionan las contraseñas de un solo uso (OTP)

Las tecnologías de contraseñas de un solo uso se basan en un token o servidor separado de la computadora del usuario. Por definición, las soluciones de contraseña de un solo uso se apoyan en por lo menos dos fuentes de información, por lo que son una forma de autenticación multifactor.

Con independencia de la situación específica, el atacante tiene que comprometer de forma simultánea todas las entradas. Por esta razón la mayoría de los adversarios consideran actualmente que la tarea es imposible.

He aquí un ejemplo en acción. Los tokens de hardware plásticos generalmente están colgados a un llavero y tienen pequeñas pantallas LCD que presentan códigos de pase aleatorios. Esas contraseñas cambian cada 30 segundos aproximadamente, en sincronización con un servidor que calcula el número vinculado al usuario. La combinación de algo que el usuario conoce (un PIN) y algo que tiene (el código de pase del token) hace que resulte muy difícil comprometer la contraseña.
Como ocurre con todo en la computación, también hay desventajas. Aunque la mayoría de los expertos están de acuerdo en que los tokens de hardware constituyen una de las tecnologías más seguras en la actualidad, también ocurre que son voluminosos, caros y generalmente de una sola función, atados a un solo sistema en cada ocasión.

Pasando al token suave

En su lugar están los “tokens suaves” cada vez más populares, sistemas de autenticación que se basan en tabletas, laptops, ordenadores y teléfonos inteligentes para producir las contraseñas que tradicionalmente han sido generadas por tokens autónomos de hardware. Algunos sistemas incluso hacen los cálculos en el extremo del servidor, enviando contraseñas al usuario.

Por razones obvias, el teléfono inteligente ha hecho su despegue en el mercado. Aunque los PINS siguen siendo una forma de verificar la identidad cuando se usa un teléfono inteligente, ahora las computadoras portátiles pueden aceptar más y mejores factores que la mayoría de las PC gracias a todos los sensores y tecnologías que tienen incorporadas. Las cámaras integradas pueden captar impresiones de rostro y de iris; los sensores de movimiento pueden demandar un gesto distintivo de sus dueños; y los puertos IP y GPS pueden detectar la localización del usuario. Asimismo, el iPhone 5S como es sabido añadió un escáner de huellas digitales a su principal botón de control.

Verizon se vende considerando las aproximaciones de multiplataformas, explica Peter Graham, estratega principal de identidad de Verizon Enterprise Solutions. El Servicio de Identificación Universal de la compañía es una autenticación basada en nube y una plataforma de protección de identidad completamente administrada, la cual puede ocuparse de todo, desde la emisión de identificaciones hasta los requisitos de seguridad NIST de nivel 3.

Para registrarse, los usuarios entran desde un sitio seguro o usan una identificación de un intermediario aprobado para entrar en un sitio que está funcionando con la plataforma Verizon.

Imaginemos que un médico desea prescribir narcóticos de manera remota, explica Graham. Para hacerlo, puede abrir una cuenta en línea usando un certificado digital emitido por la SAFE-BioPharma Association. El Servicio de Identificación Universal le da un nombre de usuario y un PIN, que es enviado a través de una sesión encriptada de navegador.

Entonces el médico puede utilizar ese nombre de usuario y PIN, que es algo que él conoce, para obtener una contraseña que mantendrá su validez solamente durante 30 segundos.

Como los nombres de usuario y PINs pueden deducirse, Graham explica que Verizon añade algo a la combinación. Si el usuario emplea un celular, Verizon puede enviarle un mensaje SMS con la contraseña que necesita. En su lugar, si el usuario tiene una PC, un teléfono inteligente, tableta u otro dispositivo con pantalla, la compañía puede enviarle un mensaje a una pieza de software propia, que puede ser un token suave. Incluso pueden llamar a una línea fija para entregar contraseñas de un solo uso.

“A medida que las plataformas inteligentes se hacen más seguras y los estándares se hacen mucho más rigurosos, cada vez más personas autorizarán a sus empleados y clientes a emplear sus propios dispositivos”, señala Tracy Hulver, estratega principal de identidad en Verizon Enterprise Solutions. “Es más conveniente y muchísimo más barato para la compañía que quiera implementar una autenticación más fuerte de una forma segura”.

Eligiendo una opción

¿Cómo hace usted la elección? Primero necesita determinar la importancia de la información que quiere proteger. Si no es tan importante, puede que no se justifique el presupuesto para asegurarla.

También es crucial conocer quién ha de acceder a la información que usted quiere asegurar. La tecnología escogida no solo tiene que estar a su alcance económicamente, sino que tiene que ser escalable y sencilla en la medida de la audiencia a que se dirige. Por ejemplo, es posible que un gerente financiero de una empresa se conforme con utilizar contraseñas largas y complicadas de un control tipo llavero cuando tiene que manejar documentos sensibles. La base más grande de usuarios con dispositivos Android propensos a ataques de phising y clickbait, son posiblemente el mayor riesgo.

Por otra parte, los clientes minoristas en red difícilmente querrán complicarse con un token físico, de modo que usted tendrá que valorar qué opción utilizar en ese caso.

Cruzando la línea de la biometría

Si el token es algo que usted tiene y el PIN algo que usted conoce, entonces las modalidades biométricas es lo que usted es. Pocos se cuestionan sobre el potencial que tiene esa tecnología, pero aún falta para que se adopte en amplia escala por las organizaciones que están incrementando la seguridad de sus datos.

Dan Kusnetzky, del Grupo Kusnetzky en Rochester, New York, examina todos los años muchas propuestas de seguridad biométrica para corporaciones. El es de la opinión que la tecnología a menudo deja a los gerentes con la impresión de que el usuario promedio se va a sentir incómodo. Muchos sugieren que la detección del iris, las imágenes faciales e incluso la toma de huellas digitales, pueden infringir la privacidad de los empleados, apunta Kusnetzky. Incluso cuando la privacidad no es la preocupación, los costos y el temor al cambio sí pueden serlo.

Sin embargo, otros consideran que el uso creciente de la biometría en los dispositivos y aplicaciones de consumo es el preludio de la aceptación en los centros de trabajo. También citan el hecho de que los empleadores pueden implantar su uso para los empleados con independencia de esos temores.

“Algunas de las cosas que he observado en términos de los nuevos métodos relativos a la identificación, tienen que ver con la inercia”, dice Kusnetzky. “Ven el costo y piensan: Aún no hemos tenido una violación de datos y no podemos asumir ese gasto en estos momentos”. Optar por no hacer nada, señala, a menudo coincide con la ocasión en que son golpeados por un ataque y cambia la dinámica.

El futuro

Nada es perfecto en materia de seguridad, pero al parecer la autenticación multifactor está entre las tecnologías más seguras que hay disponibles. Por ejemplo, el informe más reciente de Verizon sobre investigación de violaciones de datos, halló que de miles de ataques examinados, menos del 1% tenían que ver con identificación multifactor que estuviera comprometida.

¿Seguirán las cosas tan bien como hasta ahora? Puede ser. RSA estima que se ha producido un incremento del 35,000% en malware en Android entre 2011 y 2012. Y en cuanto a las aplicaciones, existe malware que roba mensajes SMS utilizados por muchas tecnologías multifactor.