Siempre que queramos saber si algo es seguro, para encontrar una respuesta significativa, debemos enmarcar la pregunta como “seguro para qué”.
Por ejemplo, ¿es segura la cerradura de su puerta principal? Una cerradura típica que usted compra en la ferretería evitará que personas y ganado al azar de la calle deambulen casualmente a su casa. Pero no impedirá que un ladrón profesional entre. Simplemente abrirán la cerradura o tal vez encuentren una manera más fácil de entrar por esa ventana que dejaste abierta. Y no impedirá que alguien conduzca un camión por la puerta de su casa (sí, eso se sabe que sucede).
Entonces, si pregunta: “¿Es la cerradura de mi puerta de entrada lo suficientemente segura contra los niños de jardín de infantes y las aves de corral?”, La respuesta sería SÍ. Y si las únicas amenazas en su vecindario son los niños de jardín de infantes y las aves de corral (por suerte), entonces está listo para comenzar. Pero si es posible que haya ladrones acechando en las sombras, puede considerar agregar un cerrojo (una segunda capa de seguridad) tanto a su puerta como a sus ventanas, y tal vez un servicio de alarma (una tercera capa) tampoco haría daño . Y si le preocupan los retoques en los camiones Mack que chocan contra su sala de estar mientras disfruta de un juego de Flappy Bird, entonces una barrera de concreto de grado industrial (cuarta capa) debería ayudarlo a descansar.
La seguridad nunca es en blanco y negro. Se trata del contexto.
Así que volvamos a la biometría y su pregunta. ¿La autenticación biométrica es lo suficientemente segura como para mantener a todos menos al jefe fuera de ese armario en el trabajo donde se guardan los lápices y bolígrafos? (Tu jefe es un skinflint de microgestión). Probablemente si. ¿Es lo suficientemente seguro como para proteger su cuenta bancaria en línea contra los piratas informáticos? Probablemente NO, a menos que no haya dinero en su cuenta (lamento escuchar eso).
Echemos un vistazo más de cerca a los pagos en línea y la banca, porque esa es un área donde, la mayoría de nosotros estaría de acuerdo, se necesita una seguridad fuerte. Dado que los ciberdelincuentes profesionales están muy interesados en ingresar a su billetera móvil o cuenta en línea, solo la autenticación biométrica, solo un escaneo de huellas digitales, no será suficiente. La tecnología tiene debilidades de seguridad conocidas, que pueden ser explotadas. Eso es cierto a pesar de los recientes avances en la seguridad básica de la biometría. Por ejemplo, sus huellas digitales aún pueden extraerse de los objetos cotidianos que usa, como una copa de vino o su iPhone, y usarse para falsificar su huella digital real para obtener acceso. Y, una vez que su biométrica se ve comprometida (descubierta por otra persona), deja de tener valor para cualquier uso futuro de autenticación.
Hay formas de compensar estas debilidades de seguridad. Apple, por ejemplo, utiliza la biometría de huellas digitales en Touch ID, el método de autenticación para Apple Pay, que fue pirateado con éxito en un par de semanas después de su lanzamiento. Pero para proteger sus números de tarjeta de crédito, Touch ID está respaldado por dos capas de seguridad adicionales: primero el cifrado y luego la tokenización de los números. Entonces, si alguien logra derrotar a Touch ID y acceder a los números de tarjeta almacenados en su iPhone, aún no podrá acceder a esos números.
Vale la pena señalar que las contraseñas, el método de autenticación en línea dominante en la actualidad que la industria biométrica está empeñada en reemplazar, tienen sus propios problemas de seguridad. Está bien documentado que las contraseñas se pueden adivinar o piratear (aunque la facilidad con la que se puede hacer tiene mucho que ver con la forma en que los usuarios como usted y yo formulamos y administramos nuestras contraseñas). Para alcanzar su potencial de seguridad total, las contraseñas deben ser complejas y deben cambiarse con frecuencia.
Ese problema se resuelve en parte mediante servicios de inicio de sesión único como OnePass, KeePass y Dashlane. Utilizan el concepto de una sola contraseña maestra para acceder a todas sus otras contraseñas, que están encriptadas y almacenadas de forma segura en una aplicación de billetera. Pero si esa contraseña maestra se ve comprometida, entonces es aún peor que antes, porque ahora el atacante tiene acceso a todas sus cuentas y aplicaciones.
También se puede agregar otra capa de seguridad a las contraseñas, en forma de un segundo factor de autenticación. Para la banca, generalmente es una contraseña de un solo uso, que se genera mediante un token (una de esas cosas clave) o se le envía por mensaje de texto. Ingrese eso junto con su contraseña cuando vaya a iniciar sesión. La autenticación de dos factores es estándar hoy en día para la banca en línea. De hecho, en muchos países es obligatorio que los bancos proporcionen esto, y también se ofrece cada vez más dos factores en minoristas, redes sociales y sitios web de uso general. Pero en 2015, los sistemas de autenticación de dos factores de la generación actual han sido pirateados con éxito, y muchos expertos en seguridad consideran que ya no son lo suficientemente seguros para la banca en línea.
El punto es que ni la biometría ni las contraseñas son perfectas. Creo que net-net, el nivel de seguridad que ambos ofrecen para algo como los servicios financieros en línea es bastante similar, aunque las fortalezas y debilidades específicas son diferentes. Esas fortalezas y debilidades pueden y deben compensarse con capas de seguridad adicionales, y solo puede evaluar la seguridad de un sistema cuando mira todas esas cosas juntas. Nuevamente, el contexto lo es todo en seguridad.
Sin embargo, ese no es el final de la historia. La seguridad es crítica para que funcionen los pagos en línea y la banca, pero igualmente importante es su UX (experiencia de usuario) como su cliente. Los dos tienen que estar bien equilibrados. Si su banco hace que su servicio en línea sea demasiado complicado con sus controles de seguridad, entonces, a menos que sea una de esas personas que disfruta del dolor, no lo va a usar o, alternativamente, solo va a gastar un montón de tiempo maldiciéndolo.
Cuando se trata de UX, la biometría elimina las contraseñas del parque, especialmente ahora que se han abordado los problemas de confiabilidad que existían con las generaciones anteriores de la tecnología. El hecho de que Apple, con su obsesión por la experiencia de usuario y la calidad del producto, corriera el riesgo de poner Touch ID en los iPhones como su principal mecanismo de desbloqueo, es prueba de ello. Y la experiencia de usuario con contraseñas es horrible. Si alguna vez ingresó incorrectamente su contraseña, fue bloqueado de su cuenta y enviado al centro de atención telefónica para restablecerlo, ya sabe de lo que estoy hablando.
Es por eso que creo que la autenticación biométrica es el futuro para el comercio electrónico, aunque las contraseñas también estarán disponibles por algún tiempo.
