El mundo de la seguridad lleva ya décadas buscando la alternativa definitiva a las contraseñas, un sistema de autenticación que era razonablemente en su momento, pero que hace ya mucho, muchísimo tiempo, que dejó de ofrecer un nivel de seguridad que resulte aceptable. Y sí, es cierto que hay contraseñas más y menos seguras frente a determinados tipos de ataques, como los de ingeniería social básica (como la deducción de palabras relacionadas con la persona), de diccionario o de fuerza bruta. No obstante, existe consenso universal en que hace ya tiempo que dejaron de ser suficiente.
Algo en lo que también hay bastante consenso es en que un único factor de autenticación es, para gran parte de los casos, insuficiente. Para entender esto debemos partir de la premisa de que ningún sistema es 100%, aunque algunos obtengan una calificación muy alta en este sentido. Y es que si, por cualquier razón la seguridad de dicho factor de identificación se ve comprometida, la seguridad habrá dejado de existir.
Esta es la razón por la que, de un tiempo a esta parte, han proliferado los sistemas de autenticación que combinan dos (2FA) o más (MFA) factores. El más común es combinar las credenciales tradicionales, con una segunda clave, ésta temporal y de un solo uso, que podemos obtener por múltiples vías (mensaje SMS, app específica, email, etcétera). También en este sentido hay opciones más y menos seguras (los SMS de texto con la clave de un solo uso, por ejemplo, cada vez son menos recomendados, mientras que las apps como Google Authenticator y Authy, entre otras, son bastante mejor vistos por la comunidad de la ciberseguridad)… en fin, como puedes comprobar, hay un extenso y muy interesante debate al respecto.
Dentro de los sistemas de identificación, los basados en sensores biométricos han ganado una enorme presencia durante los últimos años. Primero en smarphones, pero de un tiempo a esta parte también en ordenadores y otros dispositivos. Y es que, al menos en primera instancia, este sistema parece ser mucho más seguro que las contraseñas… pero el problema es que pueden terminar por no serlo y, en tal caso, cuentan con una enorme desventaja con respecto a las claves: no pueden sustituirse.
Así, William Malik, vicepresidente de estrategias de infraestructura de Trend Micro, pone el dedo en la llaga al afirmar que «El uso de la biometría es defendido por algunos como una alternativa más segura y fácil de usar para las contraseñas. Sin embargo, a diferencia de las contraseñas, nuestras características no pueden cambiarse fácilmente. Por ello, un compromiso podría tener un impacto duradero en los usuarios. Secuestrar el perfil del metaverso de un usuario en el futuro podría ser similar a obtener un acceso completo a su PC en la actualidad«.
Malik hace esta afirmación pensando, especialmente, en el contexto del Metaverso, un espacio todavía incipiente, pero cuyo crecimiento, que a medio o largo plazo podría llevarlo incluso a ser la próxima gran iteración de la web e Internet, apunta a que se convertirá en un espacio con activos y accesos cada vez más valiosos. Y, por lo tanto, este es el momento adecuado para empezar a trabajar en la seguridad que protegerá el acceso y nuestros datos y activos allí.
Es, por lo tanto, el momento de abordar este debate, pero partiendo de la base de que es un enorme error presuponer que la identificación biométrica ofrece, por si misma, suficiente seguridad. Y es que dejarlo para más adelante puede ser una rémora que comprometa la seguridad del Metaverso y que, por lo tanto, lastre sus posibilidades de crecimiento y ponga en peligro a sus usuarios.
