Un nuevo estándar para una Internet más segura

¿Quién no se ha olvidado alguna vez de su contraseña? ¿O ha usado algo como 1234 para no perder tiempo al registrarse en un nuevo sitio? ¿Y por qué la huella dactilar puede usarse para desbloquear el móvil pero no para entrar en una tienda de comercio electrónico recién descubierta?

FIDO Alliance

El Consorcio W3C y la FIDO Alliance llevan años trabajando en la creación de un estándar para la Web, llamado WebAuthn («Autenticación Web») que permita utilizar combinaciones de «usuarios y contraseñas» más seguros y fáciles que los actuales. El W3C se encarga de definir asuntos relacionados con la ingeniería de la Web en cuanto a los protocolos y contenidos; la FIDO (término que viene de Fast IDentity Online, «identidad online rápida») reúne a diversos fabricantes y empresas con el objetivo de simplificar los sistemas de autenticación de cuentas y contraseñas, especialmente cuando tienen que ver con dispositivos físicos. La idea básica es que no tengamos que recordarlos todos y usar cuentas y contraseñas diferentes para servicio.

En los últimos años además ha habido muchos avances interesantes, pero a veces un poco descoordinados. Quienes más seguridad necesitan están acostumbrados a utilizar software como gestores de contraseña o «llaves de seguridad USB» físicas (dongles) que permiten acceder a ciertos sitios cuando están enchufadas. También hay cada vez más smartphones, tabletas (y portátiles) que se activan con la huella dactilar, sin necesidad de tener que recordar una contraseña. Otros sistemas biométricos incluyen el reconocimiento de rostros o del iris del ojo. Sin embargo, no son sistemas interfuncionales y no todos son válidos para el software o los servicios a los que se desea acceder.

Este problema ha padecido de la situación de la pescadilla que se mordía la cola: las empresas no usaban un método único porque no había un estándar y nadie desarrollaba un estándar suficientemente «popular» porque era difícil convencer a todas las partes implicadas.

WebAuthn para todos

Con el nuevo estándar WebAuthn se intenta crear una solución que funcione en todos los sistemas operativos (Mac, Windows, Linux), en todas las plataformas tanto de ordenadores como de smartphones, tabletas y otros dispositivos y en todos los navegadores web (Chrome, Firefox, Edge, Safari, etcétera). Esto permitirá incluir dispositivos de la Internet de las cosas, sistemas de pago poco frecuentes hasta ahora, hogares conectados y demás.

Estando ya aprobado como «estándar oficial de la web» lo único que falta es que las diversas empresas y organizaciones implicadas lo vayan implementando. En la práctica bastará crear una cuenta para la que ni siquiera hará falta recordar una contraseña: bastará enchufar la llave física al dispositivo, poner el dedo en el sensor de huellas o mostrar el rostro a la cámara. Esas credenciales serán las mismas para todos los servicios, pero las «contraseñas» (que ni siquiera el usuario conoce) son tan seguras que nunca abandonan el dispositivo al que están asociadas, tan solo realizan una «operación de autenticación» cuando es necesario.

Yubikey

Nuevas costumbres, mucho más seguras

Que ni siquiera la persona conozca su propia contraseña tiene muchas ventajas: la mayor parte de los «ataques» y robos de datos tienen que ver con las contraseñas «por defecto» con que vienen instalados muchos sistemas, por ejemplo. Y otro buen porcentaje son contraseñas «trivialmente sencillas» o bien contraseñas normales que acaban «robadas» mediante técnicas como el phising: engaños a través de correo electrónico y otras formas de la llamada ingeniería social.

Además, aunque con WebAuthn una cuenta y su contraseña secreta sirvan para identificarse en diferentes servicios y empresas el estándar no permite que se pueda hacer un «seguimiento» de las personas de unos lugares a otros, una ventaja añadida de cara a la privacidad.

En los próximos tiempos iremos viendo cómo los fabricantes van incorporando sus soluciones y cómo los smartphones, ordenadores y otros dispositivos comienzan a ser capaces de utilizar este nuevo estándar: con empresas como Amazon, Google, Microsoft, Mastercard, ING, Intel, Lenovo, Paypal, Visa, Yubico y otras –tanto generalistas como especializadas– implicadas en ello, es solo cuestión de tiempo.