Fran Rosch, vicepresidente de servicios de autenticación de VeriSign.
Santiago, Chile. 26 noviembre, 2009. A menudo se escuchan noticias referidas a personas que a pesar de contar con protección de contraseña son víctimas de hackers profesionales, ya que éstas son vulnerables. Sin embargo, y a diferencia de las violaciones irrelevantes a las cuentas de personajes famosos como Britney Spears, Ashton Kutcher o Sarah Palin, las consecuencias experimentadas por algunas de las cuentas comprometidas generan graves amenazas para la seguridad de los servicios en la “nube” o Internet.
La solidez de su seguridad personal y profesional sólo equivale a la de su contraseña más vulnerable. Para los gerentes de TI (Tecnologías de la información), la seguridad de los recursos basados en la “nube” de una organización es tan fuerte como la contraseña más vulnerable de su empleado más descuidado.
La información personal puede recabarse de diversas maneras y la seguridad de los nombres de usuario y las contraseñas tradicionales son vulneradas por los procesos de “olvidó su contraseña” que emplean actualmente gran cantidad de sitios Web. Muchos hackers tienen éxito debido a la información que recopilan, utilizándola para vulnerar ese tipo de medidas de “reinicio” y luego apoderarse de la información de inicio de sesión de las cuentas profesionales.
El sector tiene que avanzar hacia tecnologías de autenticación más fuertes. En definitiva, la fortaleza de una contraseña carece de sentido si alguien puede reiniciar su contraseña. El principal mecanismo de acceso seguro a servicios web es vergonzosamente inapropiado. De hecho, la migración de la TI a la “nube” puede señalar la muerte del nombre de usuario y contraseña tradicionales y conducir a la adopción de medidas más sólidas de seguridad en Internet.
Se encuentra disponible una autenticación más fuerte bajo la forma de autenticación con dos factores, tales como las soluciones de contraseña de uso único. Estas soluciones pueden (literalmente) establecer una seguridad más fuerte al alcance de todas las personas: tokens plásticos, memorias USB, dispositivos habilitados para SMS o software que funcione en dispositivos móviles.
Soluciones como las mencionadas han estado disponibles por años para aplicaciones corporativas, pero los costos inherentes a su distribución entre un gran número de usuarios han sido prohibitivos.
No obstante, al entregar una autenticación con dos factores a través de un servicio gestionado, la costosa inversión en infraestructura propia de estos modelos no representa una barrera tan intimidante. Un servicio de ese tipo puede reducir drásticamente los costos de propiedad, tanto fijos como operativos. Además, un dispositivo móvil puede simplificar en gran medida la implementación.
Irónicamente, o tal vez no tanto, la autenticación Authentication-as-a-Service (AaaS) -autenticación fuerte que se entrega a través de la “nube”- puede ser una gran solución para el desafío más obvio en materia de seguridad que enfrenta el paradigma de la “nube”.
Se puede influir sobre las conductas temerarias de los seres humanos, pero no controlarlas definitivamente. Por otra parte, la vida digital de la gente se desarrolla a través de cuentas en línea personales y privadas. Y la autenticación con dos factores puede implementarse en cuentas profesionales y personales (desde una cuenta de correo electrónico libre hasta una cuenta de planeamiento de los recursos empresariales (ERP) basada en la “nube”) para garantizar que las vulnerabilidades de las contraseñas sean una cosa del pasado y que los servicios basados en Internet sean seguros en el futuro.
Por Fran Rosch, Vicepresidente de Servicios de Autenticación de VeriSign.
