Ciberseguridad

Estas start-ups quieren terminar con las contraseñas para que nunca más tengas que recordar otra clave

Silicon Valley apuesta por la tecnología biométrica para evitar que tengamos que recordar interminables inicios de sesión.

La start-up que atrajo la mayor inversión de la historia de la ciberseguridad, de más de u$s 500 millones, tiene una misión sencilla: quiere terminar con las contraseñas.

Una persona media tiene que recordar entre 70 y 80 contraseñas, pero Transmit Security, con sede en Boston, cree que hay una forma mejor de iniciar sesión en sitios web y aplicaciones, dada la ubicuidad de los smartphones y las computadoras con tecnología de reconocimiento facial o lectura de huellas dactilares.

"Esto es lo que ha cambiado en el mercado, algo que no era cierto hace un año o dos", afirma Rakesh Loonkar, presidente y cofundador de Transmit, que obtuvo u$s 543 millones por parte de los inversores en junio.

Proyecto Dunbar: por qué el mundo financiero no puede dejar de mirar este experimento digital de cuatro bancos centrales

La necesidad de reemplazar las cadenas de letras y números que se olvidan con facilidad y que son muy fáciles de hackear, y que utilizamos para acceder a nuestra vida cotidiana, se ha vuelto aún más urgente con el cambio al trabajo a distancia y el aumento de los hackeos relacionados con las contraseñas, como la paralización del oleoducto Colonial Pipeline, que provocó una escasez de combustible en la costa este de Estados Unidos a principios de este año.

El año pasado, el Foro Económico Mundial (FEM) aprovechó la pandemia para reclamar un "futuro sin contraseñas", argumentando que "mejora enormemente la seguridad de una empresa al reducir la superficie de ataque general y eliminar el riesgo de credenciales comprometidas".

En consecuencia, la carrera por sustituir a las contraseñas está en marcha, y la seguridad basada en la biometría se perfila como una de las soluciones más solicitadas.

"Creo que la gran mayoría de los servicios de consumo ofrecerán sistemas de inicio de sesión sin contraseña en los próximos dos años", afirma Andrew Shikiar, ejecutivo de la alianza Fast Identity Online, o Fido, una coalición de más de 250 empresas, entre ellas Google y Microsoft, que promueve un sistema estándar de autenticación sin contraseña.

"Si se hace de forma correcta y segura, la biometría nos ayuda a avanzar rápidamente hacia un futuro sin contraseñas. Hay mucha innovación... y mucha inversión en el espacio".

'12345'

A pesar de la aparición de programas de gestión de contraseñas capaces de generar y recordar complicadas cadenas de caracteres aleatorios, algunas de las contraseñas más comunes siguen siendo "12345", "password" e "iloveyou".

Como resultado, más del 80% de los hackeos implican contraseñas comprometidas, según el FEM, y las contraseñas siguen siendo los datos más buscados por los hackers, por encima de otra información personal o sensible.

Polémica: una empresa le dio un rastreador de 'bienestar' a sus empleados para controlar sus patrones de estrés, sedentarismo, sueño y otros hábitos privados

En muchos casos, los individuos son engañados para que entreguen sus contraseñas mediante correos electrónicos de phishing y otras técnicas de ingeniería social. Pero los intrusos cibernéticos también han intentado entrar en las aplicaciones y robar bases de datos de contraseñas completas, y grandes grupos tecnológicos como Yahoo y LinkedIn han sufrido grandes hackeos de contraseñas en el pasado.

En la dark web, una parte de Internet a la que sólo se puede acceder a través de un navegador no rastreable, existe un activo mercado de contraseñas. Según una investigación de Digital Shadows, hay más de 15.000 millones de credenciales circulando por los foros de hackers, procedentes de más de 100.000 violaciones distintas.

Las contraseñas también son objeto de ataques por parte de nuevas tecnologías, como los bots automatizados que intentan adivinarlas rápidamente, una táctica conocida como password spraying, o que prueban las contraseñas robadas en varias cuentas online diferentes, una técnica conocida como credential stuffing.

El futuro sin contraseñas

Varias empresas están convenciendo a cada vez más compañías para que cambien las contraseñas por otros métodos de autenticación, por seguridad, facilidad de uso y para reducir los costos.

Las estimaciones varían, pero para muchas empresas el costo de restablecer las contraseñas de sus empleados es de entre u$s 25 y u$s 75 por vez, teniendo en cuenta la necesidad de contar con personal de recuperación de cuentas y centros de llamadas.

Nuevo round entre China y los gigantes de Internet: el país endurece las leyes de competencia 

Un informe de 2018 elaborado por Forrester descubrió que algunas grandes empresas estadounidenses destinaban más de un millón de dólares anuales a los costos de soporte relacionados con las contraseñas, incluidas las tecnologías anti-bot.

"Se trata de la experiencia del usuario, del cumplimiento de la normativa... y también del ahorro de dinero", dijo Ismet Geri, director ejecutivo de la empresa de identidad sin contraseña Veridium, y añadió que los ingresos de su empresa crecieron un 250% interanual en 2020 debido a la gran demanda.

Veridium, Transmit y varias empresas emergentes dedicadas a las finanzas, los pagos y el comercio minorista online han adoptado una solución que también defienden Fido y el FEM: la biometría. Microsoft, Google y Apple también están incorporando cada vez más la autenticación biométrica como medio de inicio de sesión en sus dispositivos, según Fido.

Bitcoin: la campaña de China por el medio ambiente está generando fortunas para los mineros del mundo

Pero el uso de estos sistemas sigue presentando riesgos. A diferencia de las contraseñas, la biometría no puede cambiarse. Esto significa que estos datos deben estar estrechamente vigilados tanto por motivos de privacidad como para evitar la suplantación, cuando los hackers intentan engañar a las cámaras o sensores con fotos, máscaras o moldes de su víctima.

"La autenticación biométrica y la autenticación sin contraseña tienen su propia superficie de ataque", afirma Lavi Lazarovitz, director de investigación de seguridad de CyberArk. El mes pasado, su equipo reveló que había encontrado un fallo de diseño que permitiría a los posibles atacantes eludir el inicio de sesión por reconocimiento facial de Windows, Windows Hello, inyectando fotos falsas de la cara de los usuarios en el proceso.

Según Lazarovitz, un ataque de este tipo sería muy sofisticado y requeriría el acceso físico al dispositivo en cuestión, pero podría ser llevado a cabo por "atacantes de un estado nacional que tuvieran como objetivo a una persona concreta". Advirtió que el mercado negro de estos valiosos datos biométricos podría ser cada vez más común.

La seguridad de los inicios de sesión biométricos

Sin embargo, la seguridad de los sistemas biométricos ha mejorado, según Loonkar, de Transmit. En el pasado, la información biométrica solía guardarse en bases de datos en servidores centralizados, pero ahora es posible garantizar que permanezca en una parte segura del dispositivo del individuo.

"Cuando la gente tiene miedo de la biometría, lo que realmente teme es que los datos biométricos se almacenen de forma centralizada y puedan ser robados de forma centralizada", afirma Loonkar, citando la filtración en 2018 de una base de datos de datos biométricos de ciudadanos indios en poder del gobierno. Pero con la tecnología de Transmit, los hackeos masivos son imposibles y, en cambio, tendrían que llevarse a cabo "dispositivo por dispositivo", añadió.

Mientras tanto, otras empresas emergentes, como BioCatch y BehavioSec, están explorando formas de evitar la suplantación de identidad mediante la verificación continua de un usuario en tiempo real, utilizando biometría "conductual". Sus sistemas aprenden cómo un usuario maneja su dispositivo o se comporta en su computadora y señalan si hay algún cambio sospechoso. "La biometría del comportamiento debería ser una capa más para la detección del fraude", afirma Geri, de Veridium.

No obstante, es necesaria una mayor supervisión del incipiente mercado de la biometría -para evitar abusos por parte de empresas o gobiernos-, según Anil Jain, distinguido profesor de la Universidad Estatal de Michigan y experto en reconocimiento biométrico. "Al igual que la información personal se comparte con los anunciantes, en el caso de los datos biométricos necesitamos una fuerte regulación", dijo.

Un largo camino por delante

Pero el mayor obstáculo que se interpone en el camino de las nuevas empresas que esperan acabar con la contraseña es cómo cambiar años de costumbre.

Ed Amoroso, director ejecutivo y fundador de TAG Cyber, una empresa de investigación y asesoramiento cibernético, argumentó que, aunque las aplicaciones sensibles puedan abandonar rápidamente las contraseñas, otros sitios web, como los de poker online, por ejemplo, tienen menos incentivos para actualizar sus sistemas.

"Mi opinión es que nunca te librarás de ellas. No puedes hacer que sea ilegal que alguien lo haga", dijo. "Nunca llegaremos a esta era post-password".

Temas relacionados
Más noticias de ciberseguridad

Las más leídas de Financial Times

Destacadas de hoy

Noticias de tu interés

Compartí tus comentarios

¿Querés dejar tu opinión? Registrate para comentar este artículo.