La semana pasada la cadena hotelera Marriott anunciaba que alguien había podido robar los 500 millones de cuentas de sus usuarios (EN). Una base de datos que incluye nombres, direcciones, DNIs, pasaportes, fecha de nacimiento, tarjetas de crédito… Todo cifrado (en teoría) con AES128, pero sin la posibilidad de saber si los criminales también accedieron a las claves de cifrado. Ergo, podemos considerar que toda esta información está disponible ya por internet.

Apenas unos días más tarde, Quora anunciaba un hackeo de 100 millones de cuentas (EN), con nombres, direcciones de correo, otras cuentas en redes sociales, contraseñas cifradas y datos de uso.

Prácticamente cada semana tenemos noticias por el estilo, y el corolario con el que creo prudente que nos quedemos es que:

  • Hay que suponer que, por defecto, toda nuestra información personal está ya expuesta. Que si en algún momento hemos compartido algo, aunque fuera de forma privada, con una compañía, es cuestión de tiempo que esto acabe siendo de carácter público.
  • Que cuando lo sea, no nos enteraremos. Lo más habitual es que acabemos siendo conscientes de este compromiso (si es que lo somos, ojo) a meses/años vista. Y sí, hay regulación que obliga a estas compañías a hacerlo público. El problema es que primero tienen que ser conscientes ellos de ello, y después tener la presión suficiente como para que enfrentarse a la crisis reputacional esperable sea potencialmente menos dañino que el daño que le han hecho los cibercriminales y que la posible multa que le puedan meter las autoridades por no haber informado al respecto.

Esto, en última instancia, supone plantearse cómo debería ser la seguridad de la información. Una serie de sistemas de identificación en los que el papel del conocimiento por parte del usuario sea mínimo.

Y eso se traduce en:

  • Las contraseñas: Y en definitiva, cualquier sistema de identificación basado en el conocimiento (patrones y pin incluido) tiene que ir, paulatinamente migrando hacia sistemas basados en la identificación y en la inherencia.
  • Precisamente sobre éstos habría que estudiar al detalle qué seguridad podemos esperar de ellos. Porque como ya he explicado en alguna otra ocasión, una huella dactilar requiere de un patrón de huella para testarlo, y de un sistema cuyo margen de error debe ser relativamente alto para que la usabilidad del mismo no se vea comprometida. Dos limitadores naturales que en esencia comprometen la seguridad de dichos sistemas.
  • El dichoso doble factor de autenticación: a este paso voy a tatuármelo en la frente. Todas nuestras cuentas requieren de un doble factor de autenticación. Es, como ya he dicho hasta en la saciedad, el único sistema que podemos considerar seguro.

Lo que de facto me lleva a pensar en la necesidad de migrar sí o sí a sistemas de generación de contraseñas. A que la contraseña pase a ser puramente un sistema de identificación basado en la posesión (en nuestro dispositivo tengo una herramienta que «se acuerda» de la contraseña).

Es la única opción que nos queda, de hecho.

 
Cada semana publico una pieza en abierto por estos lares como ejemplo del tipo de contenido al que tienen acceso los mecenas de esta Comunidad. Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.