Es noticia
El fin de las contraseñas: UnifyID te identifica por tu forma de andar
  1. Tecnología
unifyid pretende que te despidas del '1234'

El fin de las contraseñas: UnifyID te identifica por tu forma de andar

Quedaron en segunda posición en el pasado TechCrunch Disrupt con una apuesta, a priori, rompedora: acabar con el sistema de autenticación tradicional

Foto: John Waley, miembro de UnifyID, durante una presentación de su tecnología en San Francisco. (Reuters)
John Waley, miembro de UnifyID, durante una presentación de su tecnología en San Francisco. (Reuters)

1234, 0000, admin o alguna sucesión inteligible (o no) de números, mayúsculas y minúsculas. Las contraseñas se han convertido en una pieza más de nuestro día a día. Una pieza muy valiosa. La proliferación de cuentas (de correo, de redes sociales, bancarias) asociadas a una sola persona ha convertido esa información en un bien muy preciado. Tanto, que la creación de varias contraseñas robustas así como el uso de un gestor de contraseñas son algunos de los consejos que, día a día, se escuchan desde empresas especializadas en seguridad informática.

Foto:

UnifyID quiere acabar con ese concepto. Y quiere hacerlo con una idea rompedora (aunque Google ya ha trabajado en ella) que le ha valido un reconocimiento en el TechCrunch Disrupt, la cita que la popular web de tecnología organiza para medir a las 'startups' más interesantes del momento.

La propuesta de UnifyID pasa por eliminar por completo el concepto del usuario y la contraseña. Si nuestros dispositivos son capaces de conocernos por nuestra forma de actuar (cómo tecleamos, por dónde nos movemos, cómo nos comportamos), ¿por qué no hacer que nuestras acciones sean las que nos identifiquen cuando los utilicemos? "¿Qué es lo que te define? Seguro que no es una sucesión de letras y números", explicaba John Waley, fundador de la firma, en la presentación del producto en San Francisco.

UnifyID está en fase de beta cerrada y funciona como extensión de Chrome y como aplicación en iOS (con una para Android en camino). Con esas dos herramientas, y con la información que recoge sobre el usuario, es capaz de interactuar con cualquier página en la que tengamos una cuenta de usuario para garantizar la entrada de manera segura. Basta con que otra persona coja nuestro teléfono e intente entrar a una web cualquiera con nuestra contraseña para que, según UnifyID, el sistema le deniegue el acceso. ¿Cómo? El estudio de los pasos de una persona le vale a la 'app' para establecer si es un extraño que desea acceder a nuestros datos.

Pero no descorchemos muy rápido el champán. Para Amador Pérez, CEO de New Vision SoftLan, empresa dedicada a la seguridad informática, la idea que UnifyID propone no es tan ventajosa y ofrece demasiadas áreas grises como para abrazarla sin arquear una ceja. "Automatizar el análisis de comportamiento me da cierto pavor. Si esa información circula sin control por la nube y registra hasta el número de pasos que damos día a día, estamos vendiendo nuestra privacidad de una manera brutal", lamenta.

Vulnerabilidades en Chrome

El hecho de que UnifyID trabaje como una extensión en Chrome tampoco tranquiliza de manera especial a Pérez. "Las extensiones en navegador son vulnerables. Last Pass ha sufrido dos 'hackeos' en los últimos meses. Dejamos la seguridad en manos de terceros porque no queremos complicarnos la vida. El problema de las contraseñas no es darle una complejidad brutal de veinticinco caracteres, mayúsculas, minúsculas… Eso es absurdo y tenía sentido hace cinco o diez años. Hacer un 'hackero' por la fuerza bruta es una pérdida de tiempo. Ahora se busca el 'phishing', hacer un ataque 'man in the middle' para engañarte y que me des las contraseñas".

El ataque a LastPass se hizo público el pasado mes de julio. En cuestión de días, salieron a la luz dos vulnerabilidades de una plataforma pensada para salvaguardar todas las identidades digitales de sus usuarios, que las almacenan en una caja fuerte virtual cuya información está escondida en los servidores de dicho servicio.

Los responsables de UnifyID aseguran que basta con tener cuatro mediciones independientes (que pueden venir desde un 'wearable', los latidos del corazón, un teléfono o la predictibilidad de los movimientos del día a día) para lograr una precisión del 99,999%. "Es imposible decir que no tenemos fallos de autenticación", explicaban en la cita de San Francisco.

Pero Pérez sigue siendo algo escéptico al respecto, a pesar de que hasta Google trabaja en un proyecto similar para llevar este tipo de autenticación a dispositivos Android: "Hacemos hincapié en el uso de dobles factores de seguridad. Yo no voy por ahí dando las llaves de mi casa a todo el mundo [el equivalente a almacenar contraseñas en 1Password, LastPass o UnifyID] sino que pongo una segunda cerradura".

Hacemos hincapié en el uso de dobles factores de seguridad. Yo no voy por ahí dando las llaves de mi casa sino que pongo una segunda cerradura

Y para reforzar su tesis, Pérez recuerda que todavía hoy se implementa esa segunda medida de seguridad en formatos físicos, como las tarjetas con claves de seguridad que algunos bancos envían a sus clientes.

Frente a la promesa de un futuro sin usuarios ni contraseñas se alzan diferentes preguntas. ¿Quién vigila a esas empresas que guardan nuestros datos? ¿Y a qué precio estamos dispuestos a vender esa intermediación? La solución, según Pérez, no pasa por delegar ese problema en terceros sino en ser más cuidadoso con nuestro comportamiento en la red.

1234, 0000, admin o alguna sucesión inteligible (o no) de números, mayúsculas y minúsculas. Las contraseñas se han convertido en una pieza más de nuestro día a día. Una pieza muy valiosa. La proliferación de cuentas (de correo, de redes sociales, bancarias) asociadas a una sola persona ha convertido esa información en un bien muy preciado. Tanto, que la creación de varias contraseñas robustas así como el uso de un gestor de contraseñas son algunos de los consejos que, día a día, se escuchan desde empresas especializadas en seguridad informática.

Seguridad Hackers
El redactor recomienda