Adiós a las contraseñas. Autenticación biométrica y por comportamiento

David Vergara, 17 de Febrero de 2017

Antes de que existieran los "preppers" estaban los portadores de carteles, que proclamaban audazmente "El fin está cerca" en las esquinas, en los estadios de fútbol y, de hecho, en cualquier lugar en el que se reunieran grandes multitudes.Hoy en día, hay expertos (y otros) en la industria de la seguridad que anuncian un mensaje similar, el fin, o para ser más precisos, la muerte de las contraseñas estáticas está cerca. No es de extrañar, en realidad, todas las razones por las que las contraseñas deberían desaparecer:

  • Son estáticos
  • Son fáciles de hackear/robar
  • Son difíciles de recordar
  • A menudo se reutilizan de un sitio a otro, maximizando el impacto de las violaciones.

Así que, si las contraseñas van a desaparecer, es lógico preguntarse qué ocupará su lugar

En resumen, tecnología de seguridad que minimiza la fricción y, a los efectos de este debate, la autenticación por comportamiento.

Seguridad y confianza

Firma Electrónica Seguridad y Confianza

Cree confianza digital a través de la seguridad, autenticación, verificación y confiabilidad

Descargar ahora

A alto nivel, la autenticación biométrica refleja tecnologías como el escaneo de huellas dactilares, el reconocimiento de voz y la autenticación de selfies para asegurar las aplicaciones y servicios de una empresa. En otras palabras, la biometría utiliza aspectos físicos y de comportamiento de cada individuo como base de una autenticación segura.

En el sector sanitario, los proveedores de la red Novant Health de cuatro estados pueden vincular los datos biométricos de un paciente en el momento de la inscripción (por ejemplo, huellas dactilares, reconocimiento del iris, venas -en el dedo o en la palma de la mano- y rostro) a su historial médico para producir una firma única que puede utilizarse posteriormente para consultar rápidamente su historial médico.

Y antes de que se reste importancia a esta tecnología, el Biometrics Research Group predice que este tipo de tecnologías producirá más de 9.000 millones de dólares de ingresos en 2018 para la industria de la biometría.  

Los analistas también están atentos a esta evolución. De hecho, Mercator Advisory Group, asesor de confianza de los sectores bancario y de pagos en todo el mundo, ha publicado recientemente un informe titulado "Biometrics: A New Wrinkle Changes the Authentication Landscape" (Biometría: una nueva arruga cambia el panorama de la autenticación), que sugiere la necesidad de soluciones basadas en software, como la autenticación biométrica multimodal, para impulsar la innovación y la seguridad.

Mercator sugiere además que, con el tiempo, el concepto de "identidad persistente", en el que la autenticación ya no consiste únicamente en un único evento de desafío, como el escaneo de una huella dactilar, sino que evoluciona hacia un valor de confianza pasivo asociado de forma exclusiva a un individuo. Este "valor de confianza" se actualizará continuamente en función de factores como la ubicación, el sonido, el reconocimiento facial y, sobre todo, "una serie de datos sobre el comportamiento". Con todos estos datos, tendría sentido que el camino evolutivo inicial de las contraseñas sea trabajar junto a la biometría para aumentar la seguridad de las transacciones "más arriesgadas".  

Entonces, ¿cuáles son estas aportaciones de comportamiento?

En pocas palabras, son la forma de interactuar con el dispositivo; cómo se sostiene y se utiliza el ratón, cómo se pulsan las teclas, con qué rapidez se pasa de una línea a otra o de una página a otra. Estas acciones, analizadas y aprendidas, a lo largo del tiempo, se interpolan a través de algoritmos para establecer un patrón único de cada usuario que permita determinar si se trata del mismo usuario que solicita el acceso o de un posible fraude(autenticación por comportamiento).

Cuando el comportamiento del usuario (o de la máquina) que intenta conectarse no coincide con el modelo de usuario establecido, la tecnología puede "intensificar" la autenticación, que puede incluir una medida adicional de autenticación biométrica o una pregunta de seguridad, por ejemplo.

Ahora mismo, probablemente esté pensando que sobre el papel todo eso suena bien, pero ¿qué pasa en la práctica? Por ejemplo, ¿hay bancos que utilicen este tipo de herramientas de autenticación conductual de última generación en la actualidad? Aunque VASCO acaba de entrar en este mercado a través de una asociación con BehavioSec, la respuesta más amplia es... ¡sí!

  • Una gran filial de un banco británico ha incorporado un software de aprendizaje automático, integrado en la aplicación móvil y el sitio de banca online del banco, para supervisar y capturar métricas sobre 500 comportamientos diferentes de los clientes del banco en línea y en el móvil. Esto incluye desde, literalmente, el ángulo en el que un usuario sostiene su teléfono hasta la cantidad de presión utilizada cuando un cliente pulsa en una pantalla e incluso la cadencia de las pulsaciones del teclado. Todos estos datos se compilan para construir un perfil biométrico único para cada cliente, comparándolo con cada vez que el usuario se conecta a una aplicación o a un sitio de banca online.
  • Una filial de un banco de Oriente Medio ha introducido también una solución integrada de verificación de la identidad móvil basada en la biometría del comportamiento. La tecnología seleccionada supervisa continuamente cada actividad dentro de la aplicación basándose en un perfil de uso personal único dentro del dispositivo móvil. Esto incluye aspectos como el tamaño del dedo, la presión táctil y el área de impacto, lo que permite al banco identificar, en tiempo real, si el propietario de la tarjeta es realmente la persona que accede y utiliza la aplicación. Un vicepresidente ejecutivo del banco sugiere que, para ellos, las formas pasivas de biometría como la autenticación por comportamiento eran atractivas "porque son mucho más naturales, fluidas y mucho menos intrusivas para los usuarios que cosas como el reconocimiento facial y los escaneos del iris, que en su mayoría requieren que se detengan y realicen una acción".

En resumen, muchos creen que la muerte de la contraseña será una realidad pronto -- un dato interesante proporcionado en este artículo de noticias de 2004 donde Bill Gates predijo la desaparición de la contraseña tradicional - aquí en 2017. Sin embargo, la evolución pragmática de la contraseña la convertirá primero en un complemento de un enfoque de seguridad más estratificado, aprovechando la biometría y otros datos contextuales. A partir de este momento, puedes contar los días que faltan para que las contraseñas sean oficialmente abandonadas.

David Vergara es Director de Marketing de Productos de Seguridad en OneSpan y tiene más de 10 años de experiencia en el espacio de seguridad de software. Antes de OneSpan, fue vicepresidente de marketing de Accertify, una estrategia líder de comercialización para su solución de detección de fraude en línea.