signal pin

Hubo un tiempo, y curiosamente no hace tanto, en el que nuestra identidad digital estaba asociada a nicks y PIN que podían ser más o menos identificativos según nosotros mismos hubiéramos querido.

Quizás el mejor ejemplo coetáneo lo tenemos en plataformas como Reddit o Twitter donde cada uno es libre de ponerse el nick que desee sin incumplir ninguna política de uso.

Pero claro, Internet fue evolucionando, y como ya explicamos en su día ese anonimato entró en conflicto con la propia seguridad de unos sistemas que ya no eran puramente informacionales, sino que también requerían gestionar información tan personal y crítica como datos fiscales, dirección postal y un largo etcétera.

Así es cómo, paulatinamente, la idea del nick ha ido perdiendo vigencia en favor a la obligatoriedad de utilizar nuestro nombre, o de loguearnos con otros elementos que son identificativos de la persona, como es el email y el número de teléfono.

Sobre este tema he escrito largo y tendido en estos últimos años, pero lo importante, por simplificarlo, es que en este cambio hemos sacrificado privacidad y seguridad en favor de la usabilidad:

Que es muy cómodo loguearse en un servicio utilizando nuestro número de teléfono o nuestro email, pero junto a esa centralización de sistemas de identificación han surgido además maneras más o menos creativas de hijackear dichas cuentas, de forma que lo que antes podía pasarnos con un nick, y por tanto comprometer ese servicio en particular, ahora nos afecta a todos los servicios presentes, pasados e incluso hipoteca las cuentas que tengamos a futuro.

Ataques como el del SIM Swapping en todas sus vertientes han demostrado que la plataforma que gestiona la identidad de un número de teléfono no es ni de lejos robusta, y puede comprometerse a poco que sepamos cómo hacerlo.

Para combatir esta debilidad, y como pasa habitualmente en la industria, hemos ido sacando parches, siendo el que actualmente mejores resultados da el segundo factor de autenticación:

Es decir, que en pos de la seguridad debemos demostrar por dos canales distintos, y con dos sistemas distintos de identificación, que somos quienes decimos ser, intentando nuevamente buscar ese Dorado que sería la herramienta de identificación segura, privada y lo más usable posible.

¿Es suficiente? Pues claramente no. Aunque cada vez tenemos más 2FA disponibles, no todos los servicios ofrecen esta posibilidad, y a todo esto únele los riesgos que supone que en un filtrado masivo salga un patrón biométrico tuyo, como puede ser el caso de la huella dactilar o los sistemas de reconocimiento facial que poco a poco ganan más adeptos en los dispositivos de consumo actuales.

Que, recalco, una contraseña, por anticuado que parezca, se puede cambiar las veces que quieras. Pero solo tienes diez dedos en las manos (luego habrá que ponerse imaginativo :P), y una misma cara para siempre.

Así es como llego a dos noticias recientes que sin querer revolucionar el mercado (nos falta aún mucho para esto) han presentado una propuesta que da un poco de luz de hacia donde podrían ir los tiros.

Vamos a verlas por separado.

Signal PIN

La primera viene de la mano de Signal, esa suerte de WhatsApp con los deberes bien hechos a nivel de seguridad y privacidad.

La semana pasada presentaban los signal PINs (EN), que no deja de ser un PIN de cuatro dígitos o más que podemos crear para que si cambiamos de dispositivo, podamos recuperar el contenido del mismo.

Hasta aquí ninguna novedad, por supuesto.

La cuestión, y es lo que me lleva a escribir de esto por aquí, es su implicación de cara al futuro, ya que este PIN no está asociado de ninguna manera al número de teléfono. Y esto abre la veda a que en efecto el día de mañana pueda servirnos para, por ejemplo, asociar nuestra agenda de contactos no a una cuenta de Signal asociada obligatoriamente a ese número de teléfono o email, sino a un código alfanumérico no identificativo.

Algo parecido, de hecho, a lo que en su día propuso el servicio de mensajería de Blackberry, que lamentablemente, y aunque a nivel de funcionalidad era increíble, no supo abrirse al mercado tanto como lo hizo WhatsApp o Messenger (tardaron varios años en permitir que un usuario que no tuviese una Blackberry pudiese tener cuenta en el servicio… mientras BlackBerry desaparecía frente al crecimiento exponencial de Android e iOS).

notopass compartir password

Compartir cuentas sin compartir contraseñas

Y de Signal paso a otro servicio mucho menos conocido: Notopass (EN/disponible para Android y Chrome por ahora), que nace precisamente de la idea de poder compartir cuentas como la de Netflix o cualquier otro servicio con amigos o familiares.

Algo que ya sabemos que ocurre. En casa, quizás porque somos gilipollas, pagamos íntegramente todos los servicios de streaming del momento, pero quien más quien menos comparte estas cuentas con terceros de confianza por eso de dividir gastos y que la suscripción salga considerablemente más económica.

La cuestión es que esto supone, de facto, compartir usuario y contraseña, y es probable que esto lo quieras hacer solo de forma temporal, teniendo luego que volver a cambiarla para evitar problemas futuros.

Pues este servicio te permite generar grupos de aplicaciones y/o usuarios, a los que dará una contraseña maestra unipersonal que tiene una validez de 24 horas.

Esas personas, con esa contraseña maestra, pueden acceder al servicio en cuestión sin conocer realmente la contraseña que utilizas en tu cuenta, y por parte del administrador en cualquier momento podemos revocar el acceso simplemente eliminando a esa persona del grupo.

Dos acercamientos relacionados con la figura del PIN aún muy minoritarios y humildes, pero que expanden la idea de sistemas identificativos que no estén basados en información identificativa de la persona.

Quizás lo que nos falta para que en efecto podamos decir que estamos ante un ecosistema informacional maduro en cuanto a esto de la gestión de perfiles.

________

¿Quieres conocer cuáles son mis dispositivos de trabajo y juego preferidos?

Revisa mi setup de trabajo, viaje y juego (ES).

Y si te gustaría ver más de estos análisis por aquí. Si el contenido que realizo te sirve en tu día a día, piénsate si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.