Autenticación de doble factor … donde menos te la esperas

Hola,

Hoy he charlado con un amiguete que trabaja como administrador de sistemas. Me estuvo preguntando qué opino sobre la doble autenticación, a lo que respondí como suelo responder a este tipo de preguntas. En primer lugar los tiempos han cambiado, y en vez de hablar de doble autenticación quizás debiéramos hablar de autenticación basada o proporcional al riesgo. Sí, en esencia es abstraer la pregunta a una capa superior, pero yo al menos prefiero hablar de riesgo y luego detenerme a hablar de factores. No obstante me guardé esto para después, para no aturullar a mi amigo con conceptos teóricos.

Le comenté que la doble autenticación, tal y como el la entendía, ha ido progresando. De la combinación lineal de factores (dos claves, una de autenticación y otra de confirmación) se ha ido pasando progresivamente al empleo de dos factores en distintos canales, como por ejemplo, los números de confirmación enviados a móviles, ya que al aumentar el número de canales normalmente debería incrementarse la fortaleza del sistema, reduciéndose en proporción el impacto del fraude. No obstante le dejé claro que la doble autenticación no es la panacea, que ha sido burlada en algunos escenarios y que de lo único que estoy seguro es que hoy en día tener un doble factor de autenticación en canales distintos es mucho mejor que tener dos factores lineales. Creo que le ha quedado claro que llegará el día que los factores independientes hoy considerados más fuertes estarán completamente rotos, pero probablemente cuando eso ocurra, los que lideran la tecnología de seguridad ya se habrán pasado a otros métodos que no se puedan comprometer de inmediato. Y así, sucesivamente.

Repasé con él el concepto de autenticar transacciones, no a personas. Reconozco ser un pesado con este tema, pero el problema primario del fraude es poder validar transacciones, no autenticar a individuos, especialmente en operativa de transaccionalidad (banca en línea, comercios, etc). Aproveché aquí para explicarle que al final se trata de ser consecuente con lo que quiere proteger, y que por tanto lo que importa no es el número de factores, sino que las medidas de protección sean acordes a lo que se quiere salvaguardar. Entendió bien que una banca en línea expuesta a Internet no requiere la misma fortaleza que proteger un servidor Web con datos estadísticos de menor importancia en una red local corporativa.

Por último le puse un ejemplo. Además bien reciente. Google empieza a dotar a Gmail y a sus aplicaciones de dobles factores de autenticación robustos. Se sorprendió bastante, ya que estos métodos de autenticación son novedosos incluso en grandes infraestructuras en línea transaccionales, con lo que la pregunta es obvia. ¿Por qué un proveedor como Google ofrece autenticación equiparable a la de muchas entidades financieras? Este es el momento en el que aprovecho para enlazar con lo que comentamos al principio. Al final, se trata de ser consecuentes con lo que se hace, y adecuar las medidas de protección al riesgo. ¿Te preocupa la problemática del robo de identidad y el fraude? En ese caso, el movimiento se demuestra andando, y andar aquí es implementar medidas revolucionarias para un segmento que tradicionalmente se ha amparado en métodos simples de autenticación.

Los tiempos han cambiado y los troyanos más elementales te levantan las credenciales de tu correo, tu banco en línea o tu proveedor de tarjetas de crédito con extrema facilidad. ¿Qué hacer para proteger a los usuarios? Fácil. Mejorar lo que se tiene, como por ejemplo, implementando un segundo factor en un canal distinto, en este caso, un número de transacción enviado a un móvil. Ni más ni menos. Le costó poco comprender que esta medida y el porqué de dicha medida. Resultó fácil explicarle que además de proteger a los usuarios, estos movimientos sirven para que los amigos de lo ajeno pongan los ojos en otros objetivos más jugosos y menos protegidos. Ni hizo falta recurrir al clásico ejemplo de la calle llena de coches, y porqué un ladrón se fija habitualmente en el vehículo que menos medidas de protección tiene.

Espero que mi amigo se haya marchado con las ideas más claras. Al final se trata de conceptos básicos y elementales, pero que no siempre están al alcance de cualquiera. Nada que no se pueda lograr siguiendo una explicación lógica y razonada.

Un saludo,

Android y los requisitos de seguridad en dispositivos móviles empresariales

Hola,

La puesta en escena de Froyo, la versión 2.2 de Android que vio la luz en el pasado Google I/O, está dando mucho que hablar. Casi todo el revuelo se está centrando en los aspectos como el soporte para Flash, AIR, el deseado tethering, la posibilidad de funcionar como hotspot inalámbrico, soporte 802.11n, la disponibilidad de mapas fuera de línea o el uso del compilador Java JIT (Just In Time) para acelerar la ejecución de aplicaciones, por poner algunos ejemplos. A fin de cuentas, los aspectos que de un modo u otro se traducen en una mejor usabilidad y experiencia, que suelen ser los que más interesan a los usuarios.

Mucho menor es la cantidad de noticias que se centran en evaluar hasta qué punto Android 2.2 está preparado para su uso empresarial. Los chicos de Information Week han publicado un artículo llamado Android 2.2: Ready For Enterprise? en el que se enumeran algunas razones de peso para que Android 2.2 esté mejor preparado para ser usado en entornos empresariales. Una de ellas es el soporte Exchange y todo lo que esto acarrea (políticas de contraseñas, borrado remoto, auto-discovery, Calendarios …), con lo que hay que aplaudir a Google por reconocer lo que es obvio y ofrecer soporte nativo al que hoy en día es el sistema predominante de gestión empresarial de correo electrónico.

Sin embargo, como bien destaca el artículo, a Android le sigue faltando algo indispensable para ser realmente una opción empresarial. Los motivos los expuse en este artículo. Aunque soporte contraseñas complejas y borrado remoto, un sistema que no soporte cifrado nativo del dispositivo y de los medios de almacenamiento externos no es un dispositivo preparado para el uso empresarial. Esto, como es lógico, además de a Android aplica a cualquier otra plataforma que estemos evaluando.

Android es un sistema muy interesante y con mucha proyección, pero si quiere tener opciones en el campo empresarial tiene que ir cumpliendo poco a poco con las expectativas de seguridad exigibles a un dispositivo en este segmento. El soporte nativo de cifrado, o tener una gestión decente de certificados para conexiones 802.1x EAP-TLS, EAP-TTLS o PEAP más allá de importar ficheros .p12 desde la tarjeta de memoria son dos ejemplos que sus competidores llevan mucho tiempo ofreciendo.

Un saludo,