"Autenticación de usuarios: asignatura pendiente"

Miguel López
Director de Canal Aladdin España

La autenticación de usuarios basada en login y password ha pasado a la historia. Las nuevas amenazas de Internet relacionadas con la usurpación de identidades están impulsando decididamente la implantación de mecanismos de autenticación basados en Tokens e, incluso, el DNI digital pero, ¿cuál es el mecanismo más adecuado para proteger la identidad en la red de empleados, ciudadanos, clientes,…?

A día de hoy, la mayor parte de los ataques de usurpación de identidad y, en general, ataques que usen técnicas de hacking se registran en Estados Unidos. Sin embargo, cada día más, este tipo de técnicas se "globalizan" y profesionalizan alcanzado también lugares como España, donde ya tenemos el dudoso "honor" de ser uno de los países europeos con mayor cantidad de fraudes. Algunos datos:

• Según el "Internet Security Intelligence Briefing", de VeriSign y otros estudios, existen 37 países principales desde donde se lanzan los ataques de phishing. España ocupa el 7º puesto en el ranking de países atacados y USA el primero con el 44% de los ataques.
• El Observatorio Español de Internet (OEI) calcula que, a lo largo del último año, más de 10.000 personas han sido víctimas en España de estafas relacionadas con la usurpación de su identidad. El responsable del Grupo de Delitos Telemáticos de la Guardia Civil, Juan Salom, ha explicado que la mayor parte de los delitos de robo de identidad en la red en España proviene de las mafias de Europa del Este.

El aumento de este tipo de delitos esta directamente relacionado con el incremento de la "profesionalización" de los hackers y el posible lucro económico directo que este tipo de "cibercrimen" origina pero también con el hecho de que es tremendamente sencillo burlar obsoletos mecanismos de seguridad que únicamente chequean la identidad del usuario mediante un login y password.

Parece claro que se hacen precisos mecanismos que permitan garantizar el acceso a los recursos informáticos y a la red con algo tecnologías más seguras que la introducción de un nombre de usuario y una contraseña. En este punto existen dos necesidades muy distintas:

- Por un lado estaría la empresa privada y la obligación de identificar fehacientemente la identidad de sus usuarios internos.

- Por otra parte estarían las necesidades de identificación del ciudadano particular en sus gestiones frente a las AAPP.

Autenticación en la empresa privada

En el caso de la empresa privada, existe una tendencia acusada de las empresas a dotar de mecanismos de autenticación fuerte basados en eTokens criptográficos en formato USB a sus empleados. Estos eTokens proporcionan autenticación de doble factor (algo que tengo, el eToken y algo que sé, el password del dispositivo) y permiten su integración con todo tipo de aplicaciones PKI, Single Sign On, Web Sign On, VPN, Logon de Windows,…

Estos dispositivos son además mucho más duraderos y fáciles de desplegar que una smartcard tradicional (no necesitan lector) y pueden integrar en un sólo eToken autenticación basada tanto en certificados digitales como en contraseñas de un sólo uso (OTP).

Todos estos motivos fundamentan que la previsión de crecimiento de IDC para este mercado sea de unos crecimientos medios hasta 2009 del 43%, muy por encima de los de cualquier otro sistema.

Conviene mencionar en este punto que el estudio se refiere específicamente a tokens criptográficos (con chip de smart card) y no a tokens USB con memoria flash, ya que en estos últimos es imposible garantizar que el contenido no pueda exportarse, duplicándose y enmascarándose la verdadera identidad del usuario. Una excepción a esta regla sería el caso de los tokens híbridos como el eToken NG-Flash, el cual incorpora un chip de smart card con capacidad criptográfica plena (PKI) y además, una memoria flash que puede usarse para transportar información, ya sea el claro o cifrada.

Autenticación para el ciudadano frente a la AAPP

Es en este caso donde el uso del DNI electrónico sitúa a España por delante de la mayor parte de los países de nuestro entorno. En el momento en que éste se encuentre totalmente desplegado (aún tardará varios años) será posible que un ciudadanos realice prácticamente cualquier tipo de trámite de forma online, ya que podrá firmar con su e-DNI si la Administración Pública (AAPP) correspondiente así lo permite. Aunque la generalización del uso del e-DNI supondrá un avance incuestionable hay que destacar que tampoco será posible generalizar su uso como sistema de autenticación fuerte para todos los entornos y muy especialmente en el ámbito de la empresa privada. En definitiva, parece claro que deberíamos dejar atrás los tiempos del "¿Quién va? Santo y Seña" y empezar a implementar medidas más seguras y actuales basadas en una autenticación de doble factor, tecnología totalmente madura y asequible para su implementación rápida y eficaz sea cual sea el entorno.

Miguel López
Director de Canal Aladdin España