Este es una de las newsletters antiguas que se enviaron de forma exclusiva a los miembros del Club Negocios Seguros.

Si quieres recibir las actuales cada martes y jueves en tu bandeja de correo, hazte miembro ahora.

*******

Negocios Seguros

webauthn registration

Hace ya un añito hablaba por estos lares de la devaluación de los sistemas de identificación tradicionales.

La pieza era, de hecho, una actualización de otra que escribiera en 2015 sobre la devaluación de un elemento tan histórico (y actualmente absurdo) como es la firma que nos piden realizar para prácticamente todos los documentos “oficiales”.

Y digo que es absurdo porque hablamos de un sistema de identificación que cambia con el tiempo, que no tiene estandarización ninguna, y que para colmo, con las nuevas tecnologías es fácilmente replicable.

Y si no piensa cómo hacías tu firma hace 10 o 20 años y cómo la haces ahora.

En mi caso, por ejemplo, he pasado de una firma que contenía mi nombre, a otra que contenía mi nombre y apellidos, a otra en la que la rúbrica jugaba con la forma de escribir los apellidos, y a la actual, en la que prácticamente hago un garabato.
Es más, ni me acuerdo cómo la hice en su momento en el DNI, por lo que si alguien me pide que demuestre que yo soy quien dice ser enseñando mi DNI, lo más probable es que la firma no sea ni la misma.

WebAuthn

Y algo por el estilo ocurre en el mundo digital, en el que hemos pasado de un sistema que ha demostrado ser profundamente inseguro como todos esos basados en el conocimiento(contraseñas, patrones de desbloqueo, PIN…), a otros basados en la inherencia (reconocimiento facial, sensor de huella dactilar…).

Que como ya expliqué en su día, ganamos seguridad… a cambio de hipotecar el futuro. Porque una contraseña hackeada la podemos cambiar y listo. Nuestro dedo, nuestra cara o nuestro ojo, no.

Y es que encima también cambia con el tiempo. El patrón de desbloqueo facial puede fallar simplemente porque pasemos de tener barba a no tenerla. Una huella dactilar, que a priori podríamos pensar que es identificativa siempre de la persona, puede sufrir cambios (quemaduras, cortes…) que dificulten su identificación al compararla con el patrón almacenado.

Ahí es donde entra WebAuthn (EN). El protocolo, creado por la W3C y la FIDO Alliance (por resumir, dos organizaciones que velan por los intereses de Internet) han sacado ya el estándar oficial, lo que significa que desde la semana pasada ya podemos implementar WebAuthn en cualquier proyecto.

¿Y qué es lo que hace WebAuth? Pues básicamente, y como ya expliqué en profundidad, hablamos de una API que se encarga de identificar usuarios en cualquier sistema utilizando para ello cualquier mecanismo de identificación presente en el dispositivo. Desde contraseñas, pasando por dobles factores de autenticación y por supuesto por sistemas de inherencia y lectura biométrica.

Chrome, Firefox, Edge, Safari, y por ende, Windows 10, Android, iOS, MacOS, y prácticamente cualquier distribución de Linux, ya soportan WebAuth, cuyo principal reclamo es que se basa en el paradigma de conocimiento cero.

Es decir, que por fin existe un estándar para identificarse en páginas y servicios en el que la identificación NO depende del servicio, sino del propio sistema de identificación.

Que la empresa que haya detrás de esa página o servicio no tiene acceso a nuestra información, sino a aquella parte que requiere para identificarnos en su sistema.

De esta manera, y al menos a priori, se minimiza el impacto de futuras brechas de seguridad. Si una compañía es hackeada, expondrá solo la parte de información de usuario que depende de su servicio, no toda su identidad. A diferencia de lo que ocurre a día de hoy, en un entorno prácticamente dominado por los sistemas de identificación de Google, Facebook, Twitter y compañía.

Se facilita y estandariza de esta manera la identificación digital de los usuarios, delegando responsabilidades en el propio sistema de identificación, que sin duda es mucho más robusto que la mayoría de sistemas creados ex profeso en cada servicio.

Y además se encapsula la identidad del usuario, de forma que no exponemos toda, sino solo la parte necesaria para utilizar el servicio.

Ahora bien, la duda que me queda es ver si de verdad WebAuthn acabará por volverse el estándar de facto de la industria, a sabiendas que llega casi una década tarde. Que para utilizarlo, primero hay que migrar los sistemas actuales a su arquitectura de API.

Y no tengo claro que el ecosistema esté por la labor. Pese a que ya sabemos cómo se las gasta Google y, sobre todo, Facebook, con esto del tráfico de datos externo a su plataforma.

________

Si quieres recibir contenido exclusivo como éste el día uno y directamente en tu bandeja de correo cada martes y jueves, hazte miembro del Club «NEGOCIOS SEGUROS».

Banner negocios seguros