Autenticación de doble factor … donde menos te la esperas

Hola,

Hoy he charlado con un amiguete que trabaja como administrador de sistemas. Me estuvo preguntando qué opino sobre la doble autenticación, a lo que respondí como suelo responder a este tipo de preguntas. En primer lugar los tiempos han cambiado, y en vez de hablar de doble autenticación quizás debiéramos hablar de autenticación basada o proporcional al riesgo. Sí, en esencia es abstraer la pregunta a una capa superior, pero yo al menos prefiero hablar de riesgo y luego detenerme a hablar de factores. No obstante me guardé esto para después, para no aturullar a mi amigo con conceptos teóricos.

Le comenté que la doble autenticación, tal y como el la entendía, ha ido progresando. De la combinación lineal de factores (dos claves, una de autenticación y otra de confirmación) se ha ido pasando progresivamente al empleo de dos factores en distintos canales, como por ejemplo, los números de confirmación enviados a móviles, ya que al aumentar el número de canales normalmente debería incrementarse la fortaleza del sistema, reduciéndose en proporción el impacto del fraude. No obstante le dejé claro que la doble autenticación no es la panacea, que ha sido burlada en algunos escenarios y que de lo único que estoy seguro es que hoy en día tener un doble factor de autenticación en canales distintos es mucho mejor que tener dos factores lineales. Creo que le ha quedado claro que llegará el día que los factores independientes hoy considerados más fuertes estarán completamente rotos, pero probablemente cuando eso ocurra, los que lideran la tecnología de seguridad ya se habrán pasado a otros métodos que no se puedan comprometer de inmediato. Y así, sucesivamente.

Repasé con él el concepto de autenticar transacciones, no a personas. Reconozco ser un pesado con este tema, pero el problema primario del fraude es poder validar transacciones, no autenticar a individuos, especialmente en operativa de transaccionalidad (banca en línea, comercios, etc). Aproveché aquí para explicarle que al final se trata de ser consecuente con lo que quiere proteger, y que por tanto lo que importa no es el número de factores, sino que las medidas de protección sean acordes a lo que se quiere salvaguardar. Entendió bien que una banca en línea expuesta a Internet no requiere la misma fortaleza que proteger un servidor Web con datos estadísticos de menor importancia en una red local corporativa.

Por último le puse un ejemplo. Además bien reciente. Google empieza a dotar a Gmail y a sus aplicaciones de dobles factores de autenticación robustos. Se sorprendió bastante, ya que estos métodos de autenticación son novedosos incluso en grandes infraestructuras en línea transaccionales, con lo que la pregunta es obvia. ¿Por qué un proveedor como Google ofrece autenticación equiparable a la de muchas entidades financieras? Este es el momento en el que aprovecho para enlazar con lo que comentamos al principio. Al final, se trata de ser consecuentes con lo que se hace, y adecuar las medidas de protección al riesgo. ¿Te preocupa la problemática del robo de identidad y el fraude? En ese caso, el movimiento se demuestra andando, y andar aquí es implementar medidas revolucionarias para un segmento que tradicionalmente se ha amparado en métodos simples de autenticación.

Los tiempos han cambiado y los troyanos más elementales te levantan las credenciales de tu correo, tu banco en línea o tu proveedor de tarjetas de crédito con extrema facilidad. ¿Qué hacer para proteger a los usuarios? Fácil. Mejorar lo que se tiene, como por ejemplo, implementando un segundo factor en un canal distinto, en este caso, un número de transacción enviado a un móvil. Ni más ni menos. Le costó poco comprender que esta medida y el porqué de dicha medida. Resultó fácil explicarle que además de proteger a los usuarios, estos movimientos sirven para que los amigos de lo ajeno pongan los ojos en otros objetivos más jugosos y menos protegidos. Ni hizo falta recurrir al clásico ejemplo de la calle llena de coches, y porqué un ladrón se fija habitualmente en el vehículo que menos medidas de protección tiene.

Espero que mi amigo se haya marchado con las ideas más claras. Al final se trata de conceptos básicos y elementales, pero que no siempre están al alcance de cualquiera. Nada que no se pueda lograr siguiendo una explicación lógica y razonada.

Un saludo,

3-D Secure (Verified by Visa, MasterCard SecureCode). El principio del fin

Hola,

Hace algunos años se introdujo por parte de las marcas lo que hoy se conoce como 3-D Secure. La idea no era mala: ponerle coto al fraude con tarjeta no presente (card not present fraud), que es aquel que se consuma disponiendo de los datos de la tarjeta y no de la tarjeta en sí. Para reducir los eventos de fraude, 3-D Secure introdujo una contraseña que serviría para confirmar que somos los legítimos propietarios de la tarjeta que pretendemos emplear. En este escenario que muchos conoceréis, al introducir los datos de tarjeta se nos transporta a una pantalla en la que introducimos, como parte del proceso de compraventa, la contraseña que hayamos especificado en nuestro programa Verified by Visa o MasterCard SecureCode para la tarjeta que estemos usando. Sin introducir esta contraseña no es posible completar la operación, independientemente del hecho de conocer el PAN, la fecha de caducidad, el titular y el código de verificación.

Este protocolo se ideó con buenas intenciones, pero tiene un error de diseño mortal de necesidad consistente en la creencia de que las contraseñas serían eternamente suficientes para poder impedir el fraude. Durante años nadie ha hecho nada para mejorar lo que a todas luces era mejorable, algo que ha quedado patente con la banca a distancia y el fracaso de las estrategias de autenticación de personas basadas en contraseñas.

Tal y como ha evolucionado el crimen tecnológico, salir a la red a realizar operaciones financieras protegiendo nuestros activos sólo con contraseñas es una receta para el desastre. Los responsables son los de siempre, los amigos de lo ajeno, que en vez de dormirse en los laureles de la lucha contra el fraude innovan todos los días y no dejan títere con cabeza aprovechando cualquier resquicio de debilidad, evidenciando, tal y como hemos explicado, que los métodos tradicionales de autenticación están absolutamente muertos a todos los niveles. Ya lo descubrimos tiempo atrás con la banca a distancia y hoy confirmamos que con el comercio electrónico, como no podía ser de otro modo, pasa igual. Los ejemplares de Zeus atacando al protocolo 3-D Secure son una clara evidencia de ello.

El comercio electrónico del siglo XXI merece una seguridad acorde a los tiempos que corren. El camino es autenticar transacciones, no a las personas. Espero que la más que previsible proliferación de este tipo de ataques sirva para poder acercar a los titulares de las tarjetas medios verdaderamente seguros para operar en Internet, aunque mucho me temo que a tenor de lo ocurrido en la banca a distancia, pasará mucho tiempo antes de que veamos medios realmente seguros disponibles para todos. Espero equivocarme.