Autor: Ignacio Velásquez L.
Temas como la digitalización de la información y la ciberseguridad tienen una gran importancia hoy en día. Tal es la relevancia de esta última, que en Chile se ha declarado que octubre sea el mes de la ciberseguridad. El objetivo de las autoridades, durante este mes, es que “se efectúen actividades de fomento y ejercicios nacionales relacionados con esta materia”.
Uno de los tópicos que abarca la ciberseguridad es la autenticación de las personas. La autenticación se entiende como la realización de un número de pasos para que una persona le demuestre a un sistema informático que es quién dice ser. Hoy en día muchas personas almacenan una gran parte de su información personal en la red y para resguardarla es necesario mantenerla restringida, permitiendo acceder solo a quienes demuestren tener el permiso necesario. Aquí es donde la autenticación adquiere valor, y es utilizada a diario por una gran cantidad personas, incluso tal vez sin ser conscientes de ello.
La autenticación se puede dar de distintas maneras y existen variadas técnicas para ello. Estas técnicas se categorizan principalmente en tres tipos o factores, según las características de cada técnica: (i) aquellas basadas en “Algo que se Sabe” (Factor de Conocimiento), como lo es el uso de contraseñas; (ii) aquellas basadas en “Algo que se Posee” (Factor de Posesión), como lo es el uso de tarjetas; y (iii) aquellas basadas en “Algo que se Es” (Factor de Inherencia), que tienen relación a los factores biométricos -características físicas o conductuales- de los mismos individuos, como sus huellas dactilares.
Como se mencionaba, una persona podría inconscientemente utilizar a diario variadas técnicas de autenticación. Por ejemplo, cuando desea iniciar sesión en su correo electrónico, en sus cuentas de redes sociales, o incluso en la página de su banco. En la mayoría de los casos se usa la técnica de autenticación más conocida y utilizada de todas, que es el uso de las contraseñas de texto. Las contraseñas de texto son cadenas de caracteres que deben ser conocidos sólo por el usuario propietario de una cuenta. Estas contraseñas se ven asociadas a un nombre de cuenta; en el caso de los bancos normalmente es el RUT de la persona, mientras que en otros contextos puede ser el correo electrónico o un alias definido por el individuo. Esta técnica de autenticación es la más antigua de todas, pertenece al factor de conocimiento y, si bien no es la más segura, es preferida por muchos gracias a que provee una alta usabilidad.
Ahora, si el mismo individuo, habiendo ingresado a la página de su banco, desea realizar una transferencia de dinero a otra persona, éste debe utilizar al menos una técnica de autenticación adicional al momento de confirmar esta transferencia. Generalmente se usa una de dos técnicas para realizar esta segunda autenticación:
La primera de ellas es la utilización de una tarjeta en posesión del usuario, la cual tiene una serie de coordenadas. Para realizar la transferencia, se le requiere al usuario ingresar las coordenadas que le sean solicitadas por la página del banco.
La segunda corresponde al uso de un dispositivo, nuevamente en posesión del usuario, que genera claves dinámicamente a lo largo del tiempo. Para confirmar la transferencia, se le requiere al usuario ingresar la clave provista por el dispositivo en ese instante. Estos dispositivos tienen el nombre de Tokens.
Las dos técnicas anteriores corresponden al factor de posesión. Estas técnicas son generalmente más seguras pero, debido a que requieren que el usuario tenga posesión de un elemento adicional, sufren en el ámbito de la usabilidad.
Puede darse el caso de que, para realizar una transferencia de dinero muy grande, o para transferir a un destinatario nuevo, el banco le solicite al individuo una autenticación adicional. Esto regularmente contempla el envío de un mensaje de texto al teléfono del usuario. Esta técnica también corresponde al factor de posesión.
Por un lado, al utilizar una segunda técnica del mismo factor, estamos ante lo que se denomina autenticación multi-modal. Por otro lado, al estar utilizando, además, las contraseñas de texto, pertenecientes a otro factor, para iniciar sesión en la página del banco antes de realizar la transferencia, estamos ante lo que se denomina autenticación multi-factor. Tanto la autenticación multi-modal como la multi-factor tienen como objetivo proveer una mayor seguridad, con el costo de una reducción en usabilidad al tener que autenticarse múltiples veces.
Siguiendo con el caso de realizar una transferencia a un nuevo destinatario, ahora el individuo necesita ingresar el código que llega a su celular, pero para ello debe desbloquear el teléfono. Esta es una acción que realizamos múltiples veces a lo largo del día por múltiples motivos. A continuación, tenemos tres posibles técnicas a utilizar para realizar este desbloqueo.
Primero tenemos el común patrón que el usuario debe ingresar en una cuadrícula que regularmente es de 3 x 3. Esta técnica pertenece al factor de conocimiento y básicamente es una contraseña, pero gráfica, pues el usuario debe memorizar una cadena gráfica, en vez de una de caracteres.
En segundo lugar, está el uso de la huella dactilar para autenticarse. Esta técnica ha estado ganando popularidad recientemente y ya muchos celulares la incluyen.
Finalmente, si bien no es tan común como las otras dos, tenemos la autenticación por medio del rostro del usuario. Ésta, junto a la técnica anterior, corresponden al factor de inherencia, pues requieren del propio individuo para realizar la autenticación. Las biométricas normalmente proveen una seguridad y usabilidad balanceadas en comparación a otras técnicas de autenticación.
Llegamos al final de la entrada. Con tan solo dos ejemplos hemos logrado conocer siete técnicas de autenticación que usamos diariamente y que tal vez no reconocíamos como tales. Sin embargo, finalizamos esta entrada planteándole las siguientes preguntas a los lectores: ¿Existirá una técnica de autenticación que sea superior a todas las demás? ¿Cómo sé qué técnica de autenticación debería utilizar en cada caso? ¿Qué criterios considera un desarrollador al decidir qué técnica implementar en una aplicación?
Ignacio Velásquez L.
Ingeniero Civil en Informática
Magister en Ciencias de la Computación
ignaciovl@outlook.com
