Parece que la mayor parte de la sociedad tiene ya tiene por fin muy claro que el futuro de nuestro mundo pertenece mayormente a la tecnología. Pero lo que sólo unas pocas personas se plantean es qué hace falta para que ese futuro sea un buen sitio en el que cyber-habitar.
No se puede negar que es un tema por el que quienes verdaderamente se deben preocupar son los expertos del sector de la Seguridad Informática. O bueno, más bien son los que se deben preocupar por darle a usted opciones, y al menos algunas de ellas deben ser buenas alternativas. Pero como siempre les decimos desde estas líneas: el futuro no es la sociedad tecnológica (eso ya lo somos); el futuro es la sociedad técnica, y ahí usted como tecno-ciudadano tiene mucho que decir (y que hacer).
El usuario no debe eludir su responsabilidad en Seguridad Informática
Efectivamente, las tecnológicas ponen en su mano muchas y variadas opciones para protegerle a usted y a los suyos en el cyber-espacio. Pero es su responsabilidad como usuario seleccionar las opciones que sean buenas, o mejor dicho, las que mejor se adaptan a sus necesidades y a su perfil de uso. No toda opción es igual de apropiada para todos los usuarios. Y ahí es donde entra usted en acción, porque nadie va a elegir por usted, al menos no con la misma responsabilidad y particularización para el uso personal que hace usted de la tecnología.
Y no olvide que, independientemente de las herramientas y métodos que utilice, la mejor Seguridad Informática empieza siempre por uno mismo. No hace falta que les recordemos que no deben dar sus credenciales tras pinchar en un link que les ha llegado por correo electrónico, ni abrir un documento de procedencia sospechosa, ni descargar aplicaciones o programas de dudoso origen... Todo esto nos lo sabemos todos muy bien, pero los cyber-criminales siempre utilizan algún "gancho" ("vector de ataque" en la jerga de la Seguridad Informática), que siempre le resulta tentador a una proporción suficientemente atractiva del público objetivo. Recuerden que, como decía Mateo Alemán, "El deseo vence al miedo".
La seguridad más elemental de su hogar depende de las llaves: en internet también
Pero no vamos a abordar hoy un post extenso sobre Seguridad Informática en general: ni es nuestro cometido en estas páginas salmón, ni tiene mayor interés para los puntos de vista que les solemos traer, y que tratan de aportar algo más allá de lo más evidente. El tema que realmente nos ocupa hoy empieza por resaltar la importancia de la que es la llave de cualquier usuario de internet. Igual que la seguridad más elemental de su hogar depende de la custodia que usted y su familia (o compañeros) hagan de las llaves, en internet la seguridad más elemental depende igualmente de ese mismo factor.
El problema es que el rango de atacantes que se puede hacer con un objeto físico como sus llaves de casa es infinitamente más reducido que el que se puede hacer con sus llaves de internet. Efectivamente, con Internet estamos todos conectados en una auténtica aldea global, para lo bueno y para lo malo. Y desde la otra punta del planeta puede haber alguien en una oscura habitación de cyber-delincuentes industrializados tratando de hacerse con sus contraseñas. Y no duden de que pueden conseguir sus credenciales de acceso con mucha más facilidad de lo que usted piensa. Mucha más.
Pero una cosa es que, si se lo proponen por algún oscuro motivo especial, puedan hacerse con las claves de cualquiera, y otra cosa muy distinta es que se lo pongamos innecesariamente fácil. Salvo objetivos especialmente seleccionados, normalmente, estas factorías de industriales de cyber-delincuentes también tratan de optimizar su beneficio y el esfuerzo que dedican a conseguirlo. Es por ello por lo que, si usted no está en el centro de alguna diana, lo más probable es que si les pone los obstáculos adecuados, decidan irse a por un objetivo más fácil: es igual que tener una alarma en casa, no hace de su vivienda un fortín inexpugnable, pero probablemente se vayan a por otro que no la tenga.
Del concepto de contraseña a la triple AAA, y su importancia para la socioeconomía
A modo de cultura general, tan sólo les voy a explicar algún concepto básico sobre Seguridad Informática heredado de la época más de redes de Internet. Uno de los más elementales es la denominada triple AAA. No, no es un modelo de "pila" para algún juguete electrónico, sino el acrónimo que se esconde tras las palabras de Autenticación, Autorización y Accounting (Contabilización traducido al español).
En palabras sencillas, la autenticación es saber que usted es quien dice ser (para por ejemplo acceder a su cuenta de Dropbox), la autorización es darle sólo los permisos de acceso que usted debe tener (para que usted sólo pueda accedera su propia carpeta de Dropbox y a las carpetas a las que sus amigos le han invitado), y el accounting sería en este ejemplo lo equiparable a poder llevar la contabilidad de sus acciones y consumos, para luego poder cobrarle por ello o simplemente imputando consumos (por ejemplo ir controlando qué ficheros sube su usuario a su carpeta de Dropbox para luego cobrarle si procede)
De las dos primeras, la autenticación y la autorización, depende la práctica totalidad de la seguridad de las vidas virtuales de usted y los suyos. Y los cyber-delincuentes es ahí precisamente donde van a dirigir la mayoría de sus vectores de ataque, para robarle a usted su dinero, su identidad, sus cuentas en las redes sociales, o aquello con lo que quieran chantajearle, o incluso por lo que les han pagado para arrebatarle a usted.
Para centrarnos ya en el contexto desde el que estamos abordando el tema de hoy, como les decía al principio de este análisis, si la cyber-tecnología es el futuro socioeconómico, y el acceso a la cyber-tecnología se hace mediante la autenticación y la autorización, entonces debemos tener muy claro que nuestro futuro socioeconómico depende de estas dos primordiales AA. No lo duden, si la economía ya depende casi de forma vital de internet y de la tecnología, si ambas no resultan ser confiables, tampoco lo será nuestro mundo: por supuesto no lo será el virtual, pero tampoco el físico, puesto que ambos cada vez más son una misma cosa, y acabarán siendo apenas indistinguibles. Y claro, no es cuestión de volverse unos Amish 2.0, motivo por el que les escribimos hoy estas líneas teñidas de color salmón.
Blockchain trae seguridad por su característica de distribuir la información, pero no es suficiente
Algunos seguro que recuerdan que ya les he escrito en alguna ocasión que Blockchain es la aproximación más inteligente que un servidor ha visto desde los albores de internet. Efectivamente, la brillante y genial idea de Satoshi Nakamoto con la que creó Bitcoin era acompañar a la crypto-moneda de un protocolo que se denomina de "contabilidad distribuída".
La idea es tan simple como efectiva: ya que es imposible blindar totalmente un ordenador de los ataques de los cyber-delincuentes, cambiemos totalmente el foco, y hagamos que la información no resida en un único ordenador, sino en cientos a la vez, cuyo ataque simultáneo resulta tecnológicamente imposible a día de hoy incluso para las factorías del lado oscuro. Y como la mayoría de nodos de la red Blockchain siempre va a tener registrada la información correcta, el consenso que alcanzarán sobre si una información es veraz, será siempre el acertado.
No obstante, para nuestra desgracia, el aspecto de la seguridad informática que ha abordado Blockchain no soluciona más que la veracidad de la información (incluida su identidad), pero no la autenticación: es decir, puede ayudar a asegurar que la información sobre usted es cierta, pero no puede ayudar a que un servidor sepa que usted sea quien dice ser. Aquí realmente la seguridad informática está aún en un terreno muy pantanoso, en el cual el enfoque actual más fiable (según pueden leer en este artículo de Xataka) se centra en requerir de usted tres cosas para autenticarle: algo que tienes (un móvil con los mensaje SMS con un código), algo que sabes (una contraseña), y algo que eres (una huella digital en el lector de tu smartphone).
Llévense por delante que esta regla, a pesar de ser de latón (que no de oro), para mayor gravedad no suele implementarse con estos necesarios tres factores, sino simplemente con unos limitados dos factores en el mejor de los casos, lo cual nos deja a los usuarios en una situación bastante vulnerable. Para los que no tengan el tiempo de leerse el artículo anterior al completo, ya les resumo que conformarse con acceder a sus webs por internet tan sólo con una contraseña es un suicidio, conformarse con hacerlo con una contraseña y un SMS es un deporte de riesgo, aventurarse a usar códigos de aplicaciones como Google Authenticator es ya preocuparse por salvar la vida, y añadir a lo anterior un biométrico es ya además cuidarse y llevar una vida lo más sana posible.
Pero claro, la teoría es muy fácil, y la realidad es que, podemos tener muy claro qué seguridad queremos, pero en la práctica dependemos de la seguridad que técnicamente nos ofrecen los servicios y aplicaciones que utilizamos. Y ahí pinchan muchas compañías tecnológicas (y compañias tradicionales con servicios por internet), pero pinchan mucho mucho. Como les decía, la mayoría de ellas proveen dos factores, y sólo los alumnos más aventajados incluyen entre esos dos factores a aplicaciones como Google Authenticator: la mayoría sólo da una autenticacion de dos factores con simples códigos por SMS, lo cual es bastante más vulnerable y susceptible de ser hackeado por los amigos de los bits ajenos.
El campo de la autenticación está en plena ebullición
Pero la autenticación es tediosa. Acciones que hacemos todos los días varias veces, se vuelven insoportablemente repetitivas para muchos perfiles de usuarios, y es por ello por lo que diversos fabricantes han puesto el ojo en la autenticación como argumento de venta de nuevos productos. Por ejemplo, como pueden leer en esta noticia de la publicación Quartz, ya se fabrican textiles que pueden almacenar información. Uno de los usos que se pretende dar a las prendas fabricadas con esta nueva generación de telas "inteligentes" es que puedan recordar sus claves por usted. No les voy a comentar nada sobre las dudas que me surgen al valorar la seguridad del uso de este tipo de prendas, tan sólo quería mostrarles cómo facilitar la autenticación es una tendencia de moda, y no hay nada malo en ello, siempre que no abra nuevos y peligrosos vectores de ataque para hackear sus contraseñas.
Aunque no sólo de simplificación va la cosa. También hay iniciativas que pretenden añadir complejidad a la autenticación, pero no para usted como usuario, sino para aquellos que pretenden romperla cyber-intrusivamente. Los biométricos son sin duda la clave para ese tercer factor y la complejidad que requiere, pero hay ya casos de populares biométricos como el Face ID de Apple que se han demostrado fácilmente violables, según pueden leer en esta noticia de Forbes. Si ese tercer factor de autenticación, que supone el "lo que somos" que les citaba antes, ha de ser lo más seguro posible, ¿Qué se les ocurre que puede haber en nuestro cuerpo que sea lo más complejo posible biométricamente hablando?
Efectivamente, el órgano más comlejo de cuantos conocemos es el cerebro humano. Por lo tanto, en su medición puede estar la clave de los biométricos más seguros que nos puedan permitir ser quien somos en internet y en la socioeconomía del futuro. Esto se lo han planteado ya los investigadores de la Universidad de Binghamton que, como pueden leer en esta noticia, pretenden usar nuestra huella neuronal y las reacciones de nuestro cerebro para autenticarnos en internet.
Ésta es sin duda una de las claves de éxito para la autenticación del futuro, y por lo tanto para nuestra seguridad una vez que, no es que nuestras socioeconomías se hayan volcado en internet, sino que dentro de poco vivirán mayormente en internet (todavía más que hoy y de formas que aún no podemos ni imaginar). Pero no crean que no habrá importantes retos a superar, además de nuevos riesgos.
Algunos de esos retos pueden residir en la gran capacidad de adaptación de nuestro cerebro, e incluso de cómo cambiamos como personas (y con nosotros nuestros cerebros) a lo largo de la vida. ¿No cree usted que, si su aseguradora del coche utiliza para autenticarle las emociones que siente al ver una foto de su vehículo, éstas cambiarían sensiblemente por ejemplo después de haber sufrido un accidente? Eso por no hablar de otro tipo de técnicas que sin duda se desarrollarán en paralelo a la autenticación cerebral, y sobre las que les escribimos desde otro punto de vista en el artículo "Bio-hacking para tomar el control de su cerebro o El ilusionismo perversamente llevado a la tecnología"
Por si no fueran pocos los riesgos que ya hay ahí fuera en internet para cualquier internauta, y una vez que espero ya sean conscientes de que de esta seguridad depende, no sólo su vida virtual, sino también el futuro (al menos el "futuro seguro") de nuestras socioeconomías en su conjunto, me despido hoy de ustedes con una sencilla pero esencial reflexión. El futuro de la autenticación parece sumido en una huída hacia adelante que apuesta ciegamente por los biométricos como panacea.
Pero el tema está en que, cuando le hackean su contraseña usted puede coger y cambiarla rápidamente por otra totalmente distinta. Pero, por el contrario, cuando un cyber-delincuente se haga con su huella digitalizada por su smartphone, o el resultado del escaneo de su iris, usted no podrá cambiarlo tan fácilmente, y le habrán "pillado" ese biométrico de por vida, o hasta que pase usted por el quirófano, ¡Menuda broma!
Imágenes | Pixabay geralt | Pixabay TheDigitalWay | Pixabay qimono | Pixabay freeGraphicToday | Pixabay TheDigitalArtist | Pixabay kboyd | Pixabay sasint