Hasta el día de hoy, sabemos que tecnologías como la autenticación multi-factor se consideran como muy fiables. Muchas aplicaciones y servicios se valen de estos métodos para que millones de usuarios tengan acceso cada día de manera segura a sus cuentas. Sin embargo, éstos no se salvan de contar con vulnerabilidades que pueden ser explotadas. He ahí el motivo por el cual comienza a hablarse de la Autenticación con Cero Factores.
Cualquier tipo de servicio que pueda involucrar dinero de personas y organizaciones, se convierte en un blanco atractivo para los cibercriminales. En cuestión de minutos, los distintos servicios financieros, bancarios o las nóminas pueden ser víctimas de ataques. Las consecuencias que generan son bastante graves y recuperarse de las mismas se tardaría muchos años. Una de las razones por las cuales estos sucesos ocurren consiste en métodos de autenticación débiles o vulnerables de los usuarios. A pesar de que los avances tecnológicos han dado pie a mejoras en los métodos de autenticación multi-factor como TOTP, éstos igualmente pueden derribarse por causas incluso externas a estas tecnologías.
Pongamos como ejemplo el caso de un reseteo de contraseña de una cuenta de banca digital. Para la creación e inicio de sesión de la cuenta, la entidad bancaria emplea métodos de autenticación multi-factor mediante la técnica citada más arriba: TOTP. Cada vez que quiera iniciar sesión, la persona recibe un código aleatorio que podrá ver por corto tiempo en la pantalla de su móvil y ese mismo, lo introduce en la web desde el ordenador. De esta forma, es posible corroborar que la persona que ingresa a la cuenta es la misma, es decir, la dueña de la cuenta de banca digital.
Pero, ¿qué pasaría si es que la misma se olvida de su PIN de acceso? En este caso, la persona se comunica con atención al cliente vía telefónica para solicitar ayuda con el reseteo de la contraseña. En este caso, el departamento de atención al cliente comienza a realizar preguntas de seguridad como el nombre completo, fecha de nacimiento y números identificatorios como el DNI e incluso los dígitos finales de su tarjeta de crédito. ¿Qué es lo peor que podría pasar? Un cibercriminal puede construir el perfil de la persona poco a poco, recolectando cada vez más datos personales. Si la entidad bancaria permite el reseteo de contraseñas por teléfono o por cualquier vía vulnerable, quiere decir que un potencial atacante logrará resetear las cuentas que quiera. Es decir, cualquier tipo de cuenta que identifique el atacante, podrá ser accedida por éste tan solo sabiendo los datos personales.
Por desgracia, este tipo de casos siguen dándose. Evidentemente, hasta la autenticación multi-factor puede no servir de mucho. Entonces, ¿a qué solución deberíamos recurrir?
Autenticación de Cero Factores: otra gran obra de la Inteligencia Artificial
Hasta el momento, esto parece ser una utopía o que simplemente, necesitaremos muchos años hasta que se desarrolle y la tecnología madure. Sin embargo, gracias a la Inteligencia Artificial sería posible contar con cero autenticaciones de parte del usuario que quiera acceder a alguna aplicación o servicio. De acuerdo a la opinión de una experta de The Paypers, éstas son las principales características de este tipo de autenticación:
- Recolección de datos robusta. Esto implica que los datos que se puedan obtener de los usuarios sean cada vez más refinados y específicos en función de la construcción del ADN digital de los usuarios. Todo lo que pueda identificar a la persona sería recolectado de la manera más eficaz si se hace desde la fuente de los mismos. Por supuesto, las medidas de seguridad y privacidad deben revisarse y mejorarse para que todas las partes puedan estar de acuerdo.
- Análisis de datos constante. El proceso de autenticación con cero factores consiste en periódicas re-autenticaciones que ocurren con total transparencia para el usuario. Esto, gracias a las acciones de análisis de datos que él mismo genera constantemente.
- Transparencia. A pesar de que cada vez nuestros datos personales son más requeridos para mejorar la experiencia de acceso a productos y servicios, la transparencia no debe estar ausente. Las personas tendrán cada vez más control e influencia en relación a la construcción de su ADN digital mediante herramientas de gestión de datos personales. Un ejemplo es Google, que cuenta con una plataforma que permite un alto nivel de gestión de permisos para compartir o no la actividad relacionada a nuestras cuentas.
Enfoques de Autenticación de Cero Factores
Como puedes ver la idea es ofrecer un alto nivel de fluidez en la experiencia a los usuarios. Minimizando así las interrupciones, mientras se mantiene un nivel alto de seguridad. Es por ello que todo esto de la Autenticación de Cero Factores, la podemos basar en algunos apartados muy importantes. Estos son:
- Autenticación Basada en Dispositivos: Se trata de un método por el cual se da uso de algún dispositivo, como un móvil, por ejemplo. Estos cuando detectan que el usuario está utilizando el dispositivo en confianza, permite el acceso sin requerir ningún tipo de información adicional.
- Ubicación Geográfica: Los sistemas actuales pueden localizarse a sí mismos para determinar dónde se encuentran. Es por ello que se pueden definir ubicaciones confiables, y en esos lugares no requerir los pasos de autenticación habituales. Por lo cual no tenemos que pasar por ellos si estamos en casa, o en nuestra oficina.
- Autenticación Pasiva: Muchos sistemas pueden recopilar información y analizar patrones en cuanto al comportamiento. Pueden ser patrones de teclado, patrones de movimiento del ratón o incluso hábitos de navegación. Por lo cual es posible crear un perfil basado en el comportamiento del usuario. Este comportamiento se puede asignar a ciertos momentos del día, por lo cual no se requiere autenticación cuando están ocurriendo.
- Redes de confianza: Los lugares donde conectamos nuestros dispositivos y sus redes, es lo que marca este apartado. Es posible establecer redes de confianza, las cuales hagan que sea posible esta autenticación durante el tiempo que estamos conectados. Y a la vez, podemos obtener acceso a ciertos recursos.
- Tokens: Los tokens a pesar de estar relacionados con la autenticación de factores, pueden mantenerse activos por un tiempo. Por lo cual nos pueden proporcionar esta experiencia de Cero Factores después de la autenticación inicial.
Estamos seguros que no pasará mucho tiempo hasta que contemos con noticias de las primeras implementaciones exitosas de autenticación con cero factores. Los usuarios exigen cada vez mejores experiencias con todo tipo de servicios, aunque esto implique compartir datos personales. Sin embargo, no hay forma de que podamos evitar esta situación. Las políticas de seguridad y privacidad deben fortalecerse cada vez más para evitar potenciales ataques y exposiciones.