Apenas ha comenzado 2019 y ya sabemos que casi 800 millones (¡sí! has leído bien, 800 millones) de cuentas de correo y 21 millones de contraseñas (o 23 según las fuentes) han sido liberadas en un foro hacker. Sorprende lo elevado del número de cuentas y, aunque varios millones de ellas ya habían sido expuestas anteriormente, se trata de una cantidad demasiado elevada teniendo en cuenta los esfuerzos que hacen las empresas por proteger sus aplicaciones y difundir buenos hábitos para los usuarios.
A los 87GB del fichero con la filtración le han puesto nombre: #Collection1 y, pese a que ya ha sido retirado, si todavía sigues con el miedo en el cuerpo por si has sido uno de los “agraciados”, puedes visitar esta web para comprobar si tu cuenta o tus claves se encuentran entre las afectadas.
Tanto si apareces en la lista anterior como si no, siempre es recomendable tener contraseñas diferentes para diferentes servicios con la correspondiente combinación de caracteres-números, con una longitud mínima de 8 dígitos que incrementa la complejidad. Y, ya puestos, sería genial disponer de un método de identificación de dos pasos o por multifactor.
La llamada identificación (autenticación) de dos pasos (2FA) se sustenta en dos pilares: algo que conoces, por ejemplo tu usuario y tu contraseña, y algo que tienes o eres y que va a estar mediado por tu dispositivo móvil: un SMS, una notificación, o datos biométricos.
El 2FA supone una incomodidad relativa al tener que esperar un poco más para recibir un mensaje o una notificación, a cambio de incrementar nuestra seguridad. Sin embargo, también encuentra un problema añadido: que perdamos o nos roben el dispositivo móvil. En este caso quien lo encuentre o lo tenga, dispone normalmente de los datos de acceso guardados en el móvil y el propio dispositivo al que le llegarán las notificaciones para el segundo paso de nuestra identificación.
Así que, para darle una vuelta de tuerca a nuestra seguridad, entran en juego los datos biométricos: huella dactilar, venas, lectura de iris o bien el reconocimiento facial y de voz. Aunque tampoco son 100% seguros, resultan muchísimo más difíciles de conseguir para quien dispone de nuestro usuario y contraseña.
La mayoría de grandes compañías, ya disponen en sus aplicaciones de 2FA para incrementar la seguridad del usuario (puedes comprobarlo en esta web) e incluso las más rezagadas como Whatsapp están lanzando nuevas versiones que lo incorporen.
Cuatroochenta también está implementando estas funcionalidades en sus apps desde hace tiempo, como por ejemplo Mundo Consum y ASSA, que utilizan la huella dactilar (Touch ID) y el reconocimiento facial (Face ID, solo en iOS) para loguearse, mientras que el parquímetro virtual Moviltik recurre a la huella para proteger la recarga.
Un sistema que tiene una gran ventaja en términos de seguridad y protección de datos. Como explica Iván Sorribes, uno de los responsables del equipo de desarrollo app de Cuatroochenta, “la aplicación en ningún momento almacena datos biométricos en el dispositivo ni en el servidor, sino que con una lectura a través del scanner o la cámara del propio dispositivo, los coteja con los que el usuario ha guardado voluntariamente en su dispositivo para controlar el acceso al mismo”. Esto significa que no hay que preocuparse, ya sea como proveedor de la app o como usuario, por el cumplimiento del Reglamento de Protección de Datos (RGPD) que entró en vigor el 25 de mayo del pasado año.
Aceptación tecnologías biométricas
Si atendemos al IBM Future of Identity Study-2018 se ve claramente esta tendencia hacia la identificación en dos pasos y especialmente hacia la popularización de la biometría. Esta inclinación se da sobre todo entre los menores de 40 años. “El 75% de los millennials (aquellos comprendidos entre los 20 y los 36 años) se siente cómodo con las tecnologías biométricas, mientras que solo un 58% de los mayores de 55 años lo hace”, según este informe en el que se han entrevistado más de 4.000 personas en todo el mundo.
Paradójicamente son también los menores de 40 años quienes dan menos importancia a la seguridad de la primera parte del proceso de autenticación pues “solo el 42% de los millennials utiliza contraseñas complejas que combinan letras, números y caracteres especiales (frente al 49% de los mayores de 55 años) y el 41% usa la misma contraseña varias veces (frente al 31% de los mayores de 55 años). Un dato más: “Los mayores de 55 años utilizan, de media, 12 contraseñas distintas, mientras que la denominada Generación Z (aquellos comprendidos entre los 18 y los 20 años) solo 5".
La aceptación que está teniendo este modo de autenticación está llevando a que no solamente aplicaciones móviles, sino también las webs, comiencen a ver en los datos biométricos una alternativa o un complemento a las tradicionales claves. Así, compañías como Google, Microsoft, Mozilla, Nok Nok Labs, Qualcomm, Paypal, etc. están contribuyendo con WebAuthn, que W3C y FIDO Alliance (organizaciones que gestionan los estándares para la creación de aplicaciones) pusieron en marcha en 2018, con el objetivo de que se convierta en el nuevo estándar abierto para sustituir las contraseñas de las webs por tu huella dactilar, unos tockens para el hardware o aplicaciones concretas.