El reto en la gestión de Identidad Digital
¿Cuántos podemos definir el número exacto de identidades que tenemos en internet?
¿Cuántos reutilizamos contraseñas, o usamos datos fácilmente deducibles para construirlas?
¿Cuántos de nosotros creemos estar a salvo por tener un método para construir y poder recordar nuestras contraseñas?
Dan Kamisnky, el mundialmente conocido investigador en Seguridad informática, responsable de encontrar una falla fundamental en el protocolo del sistema de nombres de dominio (DNS), tenía un método, y el 28 de julio de 2009, Kaminsky, junto a varios otros consultores de seguridad de alto perfil, experimentó la publicación de sus correos electrónicos personales por parte de piratas informáticos asociados a la revista en línea «Zero for 0wned”, él, tenía un método para construir sus contraseñas, agregaba la palabra «Fuck.» antes de cada servicio Fuck.Gmail, Fuck.Facebook, y simplemente alguien lo descubrió y se trajo abajo la seguridad de todos sus servicios, sin mencionar el daño hecho a su reputación.
Lo cierto es que constantemente hay fallos de seguridad, brechas dentro de los servicios, que ponen en peligro nuestras identidades en línea, sin mencionar la ingeniería social que actúa directamente sobre él individuo.
«La vida es corta. Ten una aventura» el caso Ashley Madison
«La vida es corta. Ten una aventura» es el lema de la web de citas Ashley Madison y a mediados de año, 10 GB de datos robados, que incluyen correos electrónicos, altura y peso de los usuarios, direcciones postales e información relativa a las transacciones efectuadas con tarjetas de crédito, fueron sustraídas de la web y publicadas en un archivo BitTorrent de dominio público.
El impacto que la exposición de estos datos puede tener, no solo es perjudicial para la seguridad de los usuarios al develarse detalles personales, sino que también puede tener graves consecuencias financieras, Los usuarios que están confiando información privada en un sitio web deben poder estar seguros de que su información está a salvo y todas las empresas que manejan datos privados tienen el deber de garantizarlo, sin embargo, las brechas siguen ahí esperando a ser halladas.
Sony y Playstation
George Hotz, un hacker estadounidense, famoso por haber descubierto la manera de desbloquear el iPhone y hacer Jailbrake a iOS, también halló la manera de vulnerar el Play Station 3 de Sony, lo que originó una demanda contra Hotz por parte de la marca.
A los colectivos hacker de internet como 4Chan o Anonimus no les gustó esta situación y decidieron hackear, todo lo posible dentro del entorno Sony, la web, la base de datos de partners, la playstation network, etc, robando usuarios, contraseñas, nombres apellidos, direcciónes, números de tarjeta de crédito, etc, estos datos fueron publicados en internet, dejando a Sony entre la espada y la pared, Sony no tuvo más remedio que retirar la denuncia y llegar a un acuerdo con Hotz, ¿en que consistía este acuerdo?, Hotz se comprometía a no vulnerar la seguridad de Sony nunca más, y es únicamente la buena fe de Sony sobre este acuerdo lo que garantiza el cumplimiento de este compromiso.
Hoy en día George Hotz tiene una web (www.geohot.com) perfectamente blanca donde se puede leer lo siguiente: «Compra productos Apple, LG, Microsoft, Samsung o Nintendo, no compres nada de Sony, demándame y tu nombre aparecerá también aquí». Frase que nos deja mucho en que pensar con respecto a quienes confiamos nuestra identidad digital.
Toda esta situación fue un mal momento que Sony tuvo que pasar, siendo una de las empresas más grandes y antiguas en el mundo de la tecnología, un mal momento que demuestra lo sensible que son nuestras identidades digitales.
Peligro real
«Para protegerte contra el posible robo de identidad o perdida financiera, nosotros te animamos a que permanezcas vigilante».
Aunque suene ingenuo es más o menos lo que se lee en el disclaimer de seguridad no solo de Sony, sino de la mayoría de servicios web que trabajan con datos personales, servicios de correo, redes sociales, etc.
La información es muy sensible y una vez perdidas no hay manera de recuperarla, nombres, direcciones, números de tarjeta de crédito o documentos de identidad, están unidas al individuo de manera intrínseca, por eso es tan importante proteger las identidades de los usuarios, es una responsabilidad compartida entre el usuario y las empresas.
Existen webs que colectan las brechas de seguridad halladas en la web, como por ejemplo haveibeenpwned.com, donde se encuentran bases de datos de usuarios o correos electrónicos que han sido vulnerados, es posible hacer la búsqueda para saber si el correo o usuario figura en alguna de estas bases.
Es importante recalcar que el peligro no solamente gira en torno a virus y hackers, nada es perfecto y tampoco la red, el año pasado ingenieros de Google y de la empresa de ciberseguridad Codenomicon, hallaron una vulnerabilidad de la versión OpenSSL 1.0.1 lanzada el 14 de marzo de 2012 que alcanzó también a la versión 1.0.1f y afecta a dos tercios de todo el internet.
Este fallo o «Bug» recibió el nombre de HeartBleed (sangrado de corazón o corazón sangrante en español), por la dinámica de funcionamiento del sistema SSL parecido al latido de un corazón, y es un error de software que permitía capturar información sensible y desencriptarla.
Los responsables del OpenSSL dieron a conocer el problema al tiempo que publicaron una actualización que lo solucionó, pero tuvieron que pasar 2 años para que alguien se diera cuenta o por lo menos para que se hiciera público.
Por otro lado, la penetración de los dispositivos móviles en nuestras vidas también expone de cierta manera nuestra identidad en la red, troyanos y malware, pueden llegar a infectar nuestro dispositivo, convirtiéndolo en una maquina recolectora de nuestros datos, fotografías, mensajes y conversaciones.
Las alternativas que ofrece el mercado
Las soluciones más populares son las “One time pass”, o soluciones de “Acceso de una sola vez” que funcionan con una parte fija, el validador estático que sería la contraseña y una parte dinámica, lo que comúnmente conocemos como “token”, en ese sentido existe el SMS token que envía la parte dinámica del acceso mediante SMS, también está el token de coordenadas que funciona con una matriz de coordenadas que posee físicamente el usuario, Google también tiene su propio producto token, el Google Autenticator y por ultimo también están los conocidos token RSA de llavero, todos bajo el mismo concepto de dos semillas sincronizadas.
Mirando todas estas soluciones, todas tienen algo en común, en el token hardware, además del costo, existe el problema de tener que llevar el llavero físico por cada identidad digital que el usuario quiera gestionar, además de los costos de mantenimiento o renovación.
El Google Autenticator, es un proceso asociado en el dispositivo o el SMS, es decir está utilizando el terminal móvil como el generador de token de autentificación, es necesario siempre tener un dispositivo validado, gran problema si el dispositivo es extraviado y se requiere acceso inmediato al servicio en uso.
En el caso del SMS, existe el costo por mensaje que a gran escala significa un gran movimiento que deben asumir las operadoras o los usuarios, además no es un proceso completamente anónimo porque se está poniendo un número telefónico que puede ser vulnerado por software o ingeniería social.
El enfoque del usuario y el reto para las empresas
Entonces, estas alternativas para validar nuestras identidades digitales, si bien son efectivas, demandan compromisos tanto de hardware como validaciones extra, que muchas veces el usuario común encuentra engorrosas o simplemente demasiado complicadas para poner en práctica.
Nadie quiere sus datos vulnerados, a nadie se le ocurriría dejar la puerta abierta para que un extraño irrumpa, sin embargo, más allá de la responsabilidad de las empresas proveedoras de servicios, tenemos también al usuario como parte importante del enfoque de seguridad en identidad digital.
Hay prácticas de seguridad que gran cantidad de usuarios no están realizando, lo que significa un riesgo, que no solo afecta al mismo usuario, sino también a su entorno.
Hay entonces una demanda de soluciones de seguridad para el usuario común, ese usuario que no entiende y no tiene por qué entender de protocolos, actualizaciones, validaciones o encriptaciones.
Una solución barata, anónima y sobre todo “simple” ayudaría en gran parte a aquellos usuarios con deficiencias en prácticas de seguridad, una solución con esas 3 características, es el reto para las compañías de seguridad en línea con respecto a identidad digital.