Algunas de las compañías tecnológicas más grandes promocionan la adopción de un futuro sin contraseña, con Apple, Google y Microsoft comprometiéndose a apoyar el estándar FIDO el pasado mes de mayo. Junto con el proyecto de ley de identificación digital presentado nuevamente al Congreso en julio pasado, estamos a punto de dar un gran salto para alejarnos de la contraseña y adentrarnos en un futuro digital aparentemente más seguro. Pero a medida que nos acercamos a un mundo postcontraseña, todavía tenemos un largo camino por recorrer para garantizar la seguridad de nuestras vidas digitales.
Mientras las empresas siguen desarrollando soluciones para acercarnos a un mundo sin contraseña, muchos han dado prioridad a la comodidad sobre la seguridad. Los métodos de autenticación de dos factores (2FA) y autenticación de múltiples factores (MFA), como la verificación por SMS o correo electrónico, o incluso el uso de datos biométricos, han surgido como alternativas líderes al nombre de usuario/contraseña tradicionales. Pero aquí está el problema: la mayoría de estas empresas solo validan los dispositivos y no aprovechan adecuadamente esta tecnología, lo que deja la puerta abierta para los malos actores.
Los puntos ciegos de la biometría
Las empresas que emplean biometría afirman utilizar datos biométricos para asegurar y simplificar el acceso a la cuenta, pero hay una pregunta subyacente. ¿Están vinculando los datos biométricos del titular de la cuenta a la cuenta misma o al titular de la cuenta? En muchos casos, la respuesta es que manejan una combinación de datos biométricos y tecnología heredada. Esto expone a los titulares de cuentas a apropiaciones de cuentas y otras actividades fraudulentas.
Otro problema es que algunas empresas de verificación emplean un escaneo único de la identificación del titular de la cuenta u otros documentos emitidos por el gobierno. Luego vinculan esos datos a una cuenta existente que sigue utilizando un nombre de usuario/contraseña, que la empresa tiene en su poder. Los expertos en seguridad no recomiendan esto, ya que las credenciales estáticas crean una falsa sensación de confianza. Si se produce una infracción, la cuenta de un usuario sigue siendo susceptible de suplantación de identidad y fraude.
Además, la tecnología de reconocimiento facial no ha avanzado lo suficiente como para permitir el acceso sistemático a las cuentas. En los últimos años, los estudios han demostrado que la tecnología de reconocimiento facial que hay detrás de muchas soluciones de verificación no suele reconocer a las mujeres ni a las personas de color, lo que prolonga injustamente el tiempo que se tarda en procesar las solicitudes de inicio de sesión y puede bloquear el acceso de las personas a recursos críticos.
Verificar a las personas, no a los dispositivos
La seguridad actual se basa en la validación de dispositivos. La biometría y otras capas de seguridad, como 2FA/AMF – nunca tuvieron la intención de identificar a la persona real que hay detrás de la pantalla, lo cual es un déficit.
Sabemos que estos métodos de seguridad en línea solo son efectivos cuando sabes quién está usando el dispositivo. Supongamos que alguien dice ser usted y vincula su huella digital a su cuenta, por ejemplo. En ese caso, es conveniente para el malhechor, pero un desastre para todos los demás.
Sin embargo, está surgiendo una filosofía opuesta: debemos validar personas y no estrictamente dispositivos. El impulso de esta nueva filosofía de seguridad es la identidad multifactorial (IMF). La IMF hace realidad la visión de un futuro seguro y sin contraseña al conocer la identidad real de alguien en línea: el eslabón que faltaba para mantener las cuentas protegidas y reducir el fraude.
Si bien la biometría y 2FA/MFA son pasos importantes, el futuro de la seguridad de las cuentas no depende únicamente de ellos, sino de la tecnología que elimina estos problemas mediante la verificación de personas, no de dispositivos. El enfoque más efectivo será combinar medidas de autenticación en tiempo real con una identificación emitida por el gobierno para verificar a los usuarios.
Un Internet más humano y seguro
Aquí hay una visión más amplia con respecto a la seguridad en línea, que la IMF está ayudando a alcanzar. Es la idea de que podemos construir una Internet más humana y segura a través de la verificación de identidad y en última instancia, una experiencia digital global más fiable.
El mundo en línea de hoy carece de confianza. Volviendo a los primeros días de Internet y la informática, se trataba de un grupo más pequeño y una comunidad más confiada en la que se reunían ordenadores conectados en red, operadas por personas conocidas. Era más fácil saber quién era alguien y una contraseña podía proteger razonablemente una cuenta y al usuario. Pero a medida que Internet ha ido creciendo, esa confianza prácticamente ha desaparecido.
Y es difícil recuperar esa confianza, ya sea en línea o por teléfono, sin conocer la identidad de los demás. La confianza es el tema primordial hoy en día, especialmente si queremos cumplir la promesa de los espacios digitales emergentes, como NFT, el metaverso y más. Nuestro mundo digital es masivo y crece tan rápidamente que el metaverso podría llevarlo a un punto de ruptura sin formas más confiables de identificarse entre sí.
Estamos entusiasmados de ver una mayor adopción de tecnología que resuelve el problema de ayudar a las empresas a confiar en la identidad de sus usuarios y desbloquear un acceso a la cuenta más rápido y seguro. MFI puede ayudarnos a llegar allí, reconstruyendo la confianza que ayudó a iniciar Internet y ahora asegurando que sea sostenible.