#MundoHacker: Seguridad basada en patrones de comportamiento

identidad digital inteligente

Sigo indagando en las implicaciones de un universo personal digitalizado acotado a la gestión de identidades digitales.

El cambio de paradigma no es baladí. Ya explicamos no hace mucho el valor que tiene para una compañía ser el garante de la identidad de sus usuarios en sus servicios,… y también en los de terceros.

De un escenario generalmente pobre en cuanto a información del cliente (en una tienda física no le van a pedir su documento de identidad), pasamos a otro (el digital) qué sí requiere una identificación.

Al principio, sin mayor interés más que el de poder asociar unas acciones digitales a un usuario, como ocurrió en su día con los foros y esas primeras redes sociales. Y poco a poco, con una evolución de la identidad digital hacia elementos más identificativos.

De servicios anonimizados, pasamos a tiendas de comercio electrónico, servicios digitales y redes sociales donde de una u otra manera, se nos insta a utilizar datos reales y no seudónimos.

En algunos casos, por pura necesidad (si debo enviarle algo a su domicilio, debo saber su dirección). En otros, con el fin de erradicar conductas que terminan por generar problemas sociales (como el fenómeno troll que aún sufren muchos foros y medios), y en el resto, un afán de aprendizaje basado en el nexo de unión entre identidades físicas y digitales (como ocurre en la mayoría de compañías detrás de una red social).

Pero había un límite, y es que la identidad de un servicio podía no ser la misma que usábamos en otro. Existía una descentralización que, con la evolución del tercer entorno hacia un escenario más centralizado (tanto a nivel de tecnologías, como de servicios), lo que antes eran acciones ajenas en una u otra página pasan, cada día más, a volverse acciones identificativas dentro de una misma plataforma.

El social login es el siguiente paso evolutivo, al permitir a una empresa como Facebook, como Twitter o como Google, llegar allí donde su ecosistema de servicios no llega. Un Caballo de Troya que es entregado a los desarrolladores como la panacea de la gestión de identidades (habilitas su API, y fin de los problemas), y que ofrece al usuario la comodidad de no tener que crearse una cuenta distinta para cada servicio.

Por detrás, una estrategia de agregación de información que tiene, como todo en esta vida, sus puntos fuertes y sus débiles.

En este nuevo capítulo de la serie #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital, me quería centrar en lo primero, habida cuenta de lo que supone como empresa tener acceso al historial conductual del usuario, asociado ya, por norma general, a varios nexos de identificación. Y en especial, a lo que supone para el usuario en materia de seguridad.

Gestión de identidades y acceso inteligente

La información que una organización de este tipo es capaz de obtener del uso que le damos a sus servicios es inmensa. Y por supuesto, va a ser aprovechada para mejorar la rentabilidad que obtiene de nuestro desempeño.

Pero además, podría ser una gran herramienta para el acceso inteligente del usuario. Una gestión de identidad basada en el contexto y la conducta del mismo dentro y fuera de la plataforma, erradicando por tanto la necesidad de que sea el usuario, proactivamente, el que debe gestionar ese conocimiento (habitualmente recordando una contraseña, o teniendo a mano el dispositivo para incluir un array de caracteres que acaban de ser enviados al mismo).

La idea es precisamente la misma que definíamos en aquel artículo a tenor de una de las iniciativas en materia de seguridad que ofrecía Intel al mercado corporativo: La identidad del usuario depende de lo que es, y no de lo sabe.

Aplicarlo al ámbito generalista está en la mano de unas cuantas compañías a las que, sea consciente o inconscientemente, hemos delegado ya la gestión de esta información.

Y se volverá cada vez más necesario teniendo en cuenta:

  • Que el usuario valora muy por encima la experiencia: Entre la terna seguridad-privacidad-usabilidad, ya sabemos cuál gana. Si queremos mejorar las dos primeras, hay que hacerlo desde la óptica de la tercera, y no a expensas de ella. De ahí que la seguridad se deba volver invisible al usuario, y la privacidad tenga que estar asegurada mediante capas intermedias. Esperar que un usuario tipo (recuerde que usted, como un servidor, no podemos considerarnos usuarios tipo, por muy pocos conocimientos que creamos tener) implemente un segundo o tercer factor de autenticación es pedir mucho. Esperar que este usuario entienda y configure acertadamente la privacidad de una cuenta de Facebook ya es algo utópico…
  • Que la información que alojamos en internet es cada vez más valiosa: Haber apostado por la nube es lo que tiene. Acciones tan a día de hoy habituales como colocar nuestros documentos en varios ordenadores conectados 24/7 en internet de los que ni siquiera tenemos dirección física hubiera parecido ciencia ficción hace tan solo una década. Ahora ya todos usamos Dropbox, Google Drive, iCloud,… sea de forma consciente o inconsciente (si tiene un smartphone, si tiene alguna cuenta social, está también usando la nube, por ejemplo).
  • Que la interacción con la nueva oleada de dispositivos conectados debe ser inmediata: La mayoría de dispositivos del internet de las cosas no tienen una manera intuitiva de comunicarse con el humano. De ahí que entren en juego factores que ya están presentes per sé, y que no requieran acciones específicas ni de la máquina, ni del usuario, para que el dispositivo opere como debiera operar, sin volverse un problema de cara a la seguridad y/o privacidad de los datos del usuario.

¿Qué nos depara un entorno rico en información personal para el ámbito de la identificación de usuarios?

Mucho, a decir verdad.

Empezando por la eficiencia inteligente de esas identidades: Según la conducta del usuario (extrapolable mediante sensores de nuestros smartphones, mediante el historial de consultas y usos, mediante nuestras acciones y el aprendizaje que la máquina sea capaz de realizar de todo ello) podríamos:

  • Identificarnos en un servicio simplemente “porque somos nosotros” (algo que quedó patente hace unos meses con el captcha de Google que únicamente pide al usuario que haga click en un checkbox para demostrar que no es un robot).
  • Aplicar mayores medidas de seguridad en entornos hostiles (por ejemplo, si el usuario intenta enviar un email desde una WIFI o dispositivo desconocido).
  • Restringir de forma activa el acceso a un servicio en esos intervalos de tiempo que sabe que no vamos a utilizarlo (por ejemplo, cuando estamos durmiendo) o en según qué dispositivos.
  • Aglutinar aquellas acciones (y/o servicios de la misma plataforma) que habitualmente realizamos bajo una misma capa de seguridad, dejando el resto en sandbox inaccesibles de forma inmediata (una de las estrategias más efectivas a la hora de combatir esa primera fase de un ataque dirigido).
  • Y como no, optimizar el buen desempeño de todo el ecosistema, personalizando la experiencia a los hábitos del usuario, y sin necesidad, por tanto, de derrochar recursos en elementos que no van a ser aprovechados (es decir, aplicar inteligencia basada en los datos del usuario de cara a escalar las cuentas de cada uno).

Las posibilidades son inmensas. Una seguridad dirigida por datos, en la que el usuario no tiene necesidad de entender, y mucho menos, de parametrizar. Un sistema rico en información que la aprovecha para segurizar el acceso a la misma, para optimizar las acciones en función de los patrones de uso de cada usuario.

No todo tenía que ser malo, ¿verdad? 🙂

 

________

Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias