Identidad de Confianza – El próximo paso en materia de seguridad

0

Actualmente, es una práctica habitual iniciar sesión en páginas web y aplicaciones, utilizando nombre de usuario y una contraseña estática. ¿Pero os habéis preguntado alguna vez por qué? Probablemente encontraréis obvia la respuesta: queremos proteger nuestras credenciales y datos personales, para que no caigan en manos ajenas. Es algo que la humanidad lleva haciendo miles de años, proteger su propiedad. Si en la Edad Media eran se labraban grandes campos de espadañas para proteger documentos sensibles, hoy los aseguramos mediante una contraseña.

La evolución desde los citados campos hasta las llaves físicas y después los PIN electrónicos es algo natural. Y no dejará de cambiar en las décadas que están por llegar. Las contraseñas estáticas están en uso en todo el mundo pero, de hecho, ya están pasadas de moda. No ofrecen ya suficiente protección para combatir las amenazas actuales. Las contraseñas dinámicas y que evolucionan constantemente ofrecen un nivel de protección superior, pues no pueden ser interceptadas y reutilizadas por los defraudadores.

Nuevas técnicas

Tenemos nuevos mecanismos de protección que asoman en el horizonte, esperando a ser aceptados. Se trata de combinaciones de contraseñas que se mezclarán con mecanismos de medición de situación, contexto y riesgo. Estos mecanismos asignarán puntuaciones en diversas facetas, mediante motores diseñados a tal efecto. Son los que decidirán si se acepta o no el proceso de inicio de sesión, pero todo se realiza en Back-End, por lo que el usuario normalmente no tendrá conocimiento de estos mecanismos.

Claves para obtener una "Trusted Identity" o Identidad Protegida en el futuro

Un ejemplo: imaginemos que estamos iniciando sesión en una app móvil que contiene información valiosa. Para ello, dicha aplicación estará protegida mediante una contraseña. Introducimos dicha contraseña y se nos concede el acceso si esta es correcta. Esa es la parte que podemos ver.

En el back-end (servidor), sin embargo, la aplicación estaría determinando que, de hecho, nos estamos logueando en una franja horaria y lugar de origen considerados “seguros”. Si iniciamos sesión, normalmente, desde casa o la oficina y de repente se intenta iniciar sesión desde Japón, el sistema alzaría una bandera roja de aviso. Es lo que denominan “prueba de presencia” y es solo una parte del sistema de medición. Google, por ejemplo, aplica este sistema de comprobación en sus cuentas de Gmail.

Las aplicaciones de alto riesgo (conteniendo información sensible o grandes cantidades de transacciones) usará tecnologías de seguridad combinadas que se apoyan sobre medios de seguridad más restrictivas como las firmas electrónicas, contraseñas de un solo uso o la tecnología PKI (Infraestructura de clave pública)

Por tanto, lo que denominamos “identidad de confianza” se torna algo básico, y no únicamente para securizar aplicaciones web y móviles. Su ámbito de aplicación es inmenso.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR