Hasta el día de hoy, sabemos que tecnologías como la autenticación multi-factor se consideran como muy fiables. Muchas aplicaciones y servicios se valen de estos métodos para que millones de usuarios tengan acceso cada día de manera segura a sus cuentas. Sin embargo, éstos no se salvan de contar con vulnerabilidades que pueden ser explotadas. He ahí el motivo por el cual comienza a hablarse de la Autenticación con Cero Factores.
Cualquier tipo de servicio que pueda involucrar dinero de personas y organizaciones, se convierte en un blanco atractivo para los cibercriminales. En cuestión de minutos, los distintos servicios financieros, bancarios o las nóminas pueden ser víctimas de ataques. Las consecuencias que generan son bastante graves y recuperarse de las mismas se tardaría muchos años. Una de las razones por las cuales estos sucesos ocurren consiste en métodos de autenticación débiles o vulnerables de los usuarios. A pesar de que los avances tecnológicos han dado pie a mejoras en los métodos de autenticación multi-factor como TOTP, éstos igualmente pueden derribarse por causas incluso externas a estas tecnologías.
Pongamos como ejemplo el caso de un reseteo de contraseña de una cuenta de banca digital. Para la creación e inicio de sesión de la cuenta, la entidad bancaria emplea métodos de autenticación multi-factor mediante la técnica citada más arriba: TOTP. Cada vez que quiera iniciar sesión, la persona recibe un código aleatorio que podrá ver por corto tiempo en la pantalla de su móvil y ese mismo, lo introduce en la web desde el ordenador. De esta forma, es posible corroborar que la persona que ingresa a la cuenta es la misma, es decir, la dueña de la cuenta de banca digital.
Pero, ¿qué pasaría si es que la misma se olvida de su PIN de acceso? En este caso, la persona se comunica con atención al cliente vía telefónica para solicitar ayuda con el reseteo de la contraseña. En este caso, el departamento de atención al cliente comienza a realizar preguntas de seguridad como el nombre completo, fecha de nacimiento y números identificatorios como el DNI e incluso los dígitos finales de su tarjeta de crédito. ¿Qué es lo peor que podría pasar? Un cibercriminal puede construir el perfil de la persona poco a poco, recolectando cada vez más datos personales. Si la entidad bancaria permite el reseteo de contraseñas por teléfono o por cualquier vía vulnerable, quiere decir que un potencial atacante logrará resetear las cuentas que quiera. Es decir, cualquier tipo de cuenta que identifique el atacante, podrá ser accedida por éste tan solo sabiendo los datos personales.
Por desgracia, este tipo de casos siguen dándose. Evidentemente, hasta la autenticación multi-factor puede no servir de mucho. Entonces, ¿a qué solución deberíamos recurrir?
Autenticación de Cero Factores: otra gran obra de la Inteligencia Artificial
Hasta el momento, esto parece ser una utopía o que simplemente, necesitaremos muchos años hasta que se desarrolle y la tecnología madure. Sin embargo, gracias a la Inteligencia Artificial sería posible contar con cero autenticaciones de parte del usuario que quiera acceder a alguna aplicación o servicio. De acuerdo a la opinión de una experta de The Paypers, éstas son las principales características de este tipo de autenticación:
- Recolección de datos robusta. Esto implica que los datos que se puedan obtener de los usuarios sean cada vez más refinados y específicos en función de la construcción del ADN digital de los usuarios. Todo lo que pueda identificar a la persona sería recolectado de la manera más eficaz si se hace desde la fuente de los mismos. Por supuesto, las medidas de seguridad y privacidad deben revisarse y mejorarse para que todas las partes puedan estar de acuerdo.
- Análisis de datos constante. El proceso de autenticación con cero factores consiste en periódicas re-autenticaciones que ocurren con total transparencia para el usuario. Esto, gracias a las acciones de análisis de datos que él mismo genera constantemente.
- Transparencia. A pesar de que cada vez nuestros datos personales son más requeridos para mejorar la experiencia de acceso a productos y servicios, la transparencia no debe estar ausente. Las personas tendrán cada vez más control e influencia en relación a la construcción de su ADN digital mediante herramientas de gestión de datos personales. Un ejemplo es Google, que cuenta con una plataforma que permite un alto nivel de gestión de permisos para compartir o no la actividad relacionada a nuestras cuentas.
Estamos seguros que no pasará mucho tiempo hasta que contemos con noticias de las primeras implementaciones exitosas de autenticación con cero factores. Los usuarios exigen cada vez mejores experiencias con todo tipo de servicios, aunque esto implique compartir datos personales. Sin embargo, no hay forma de que podamos evitar esta situación. Las políticas de seguridad y privacidad deben fortalecerse cada vez más para evitar potenciales ataques y exposiciones.