El fin de las contraseñas

Por: Eduardo Sánchez

La omnipresencia de la informática en nuestra vida ha servido para simplificar un gran número de nuestras actividades cotidianas; pero, en muchos casos, el precio pagado ha sido alto: podríamos citar, por ejemplo, la pérdida de privacidad (utilización de nuestros datos personales con fines comerciales o políticos) y las molestias producidas por las contraseñas (cada día tenemos que recordar por lo menos una decena, comenzando por la necesaria para activar nuestro computador o smartphone).

Aunque las contraseñas fueron usadas desde la antigüedad para identificar al receptor de una información protegida, su utilización informática empezó a comienzos de los años sesenta cuando Fernando Corbató, profesor del MIT y uno de los grandes pioneros de la informática, las utilizó para proteger el acceso a los ficheros de sus computadores.

Paradójicamente, las contraseñas no han sido nunca un sistema seguro de protección: el primer robo de contraseñas ocurrió en 1962 en el MIT, en el primer computador que las utilizó. Y, desde entonces, las contraseñas han sido el punto débil utilizado por los piratas como puerta de entrada a los sistemas que quieren acceder ilegalmente: un estudio publicado en 2020 por Verizon muestra que el 80 por ciento de los robos de datos informáticos implicaban la utilización de contraseñas débiles, perdidas o robadas. En efecto, por simple pereza intelectual, una gran parte de los usuarios define contraseñas muy fáciles de encontrar (la contraseña más popular es “123456”), utiliza la misma contraseña para múltiples servicios o, simplemente, las anota en un documento de fácil acceso.

Ante las grandes amenazas presentadas por grupos de piratas cada vez mejor organizados, algunos en colaboración con servicios de inteligencia estatales, y la cada vez mayor dependencia de la economía y de los gobiernos en datos almacenados digitalmente, las grandes empresas tecnológicas han decidido eliminar las contraseñas y adoptar otros métodos de autenticación. El 5 de mayo de 2022, paradójicamente el Dia Mundial de la Contraseña, fue dado un gran paso en esa dirección: Google, Apple y Microsoft anunciaron públicamente el reemplazo de las contraseñas en sus sistemas con un método desarrollado por la asociación FIDO Alliance (Fast IDentity Online), utilizando el smartphone como intermediario.

La idea es guardar en el teléfono una llave de paso, encriptada y accesible únicamente después de desbloquear el teléfono con una autentificación biométrica (huella digital o reconocimiento facial). Luego, en el momento de crear una cuenta, en una aplicación o sitio web, en lugar de introducir una contraseña, se indica el teléfono que estará asociado. Y, cuando el usuario se quiera conectar a dicha cuenta, ya sea con el teléfono o con un computador cercano, la llave de paso dará automáticamente el acceso, independientemente del sistema utilizado (Chrome, iOS, MacOS o Windows). En caso de pérdida del teléfono, la llave de paso se sincronizará al nuevo teléfono desde un cloud backup. Aunque no hay fecha precisa de comienzo, la FIDO Alliance ha anunciado que este nuevo método estará disponible en 2023.

El principal inconveniente de este sistema libre de contraseñas es la dependencia en el smartphone: el acceso a las cuentas será imposible sin él activo a su lado, ya sea porque está perdido, robado, olvidado o, simplemente, sin batería. O porque el usuario hace parte del 16 por ciento de la población mundial que no posee un smartphone... La principal ventaja es, por supuesto, un mejor nivel de protección, asociado a una menor molestia de utilización. Pero no nos hagamos ilusiones: la seguridad informática absoluta no existe. Robert Morris, hoy día profesor de informática en el MIT, pero conocido sobre todo por haber creado en 1988 el primer virus informático de tipo gusano (worm) dice que las tres reglas de oro para garantizar la seguridad de un computador son: no poseer un computador, no prenderlo y no usarlo.