Las contraseñas, verificadores de hecho, representan una debilidad grave de seguridad por diferentes razones, la principal es que las personas simplemente tienden a crear malas contraseñas para recordarlas con mayor facilidad. Ahí radica el problema: las buenas contraseñas son difíciles de adivinar, pero difíciles de recordar y las malas contraseñas son fáciles de recordar y fáciles de adivinar también. Durante años, sustituir la contraseña sencilla por algo más seguro ha sido una prioridad en la industria de la seguridad, como los estrafalarios indicadores biométricos y otras ideas inspiradas en la ciencia ficción, pero la verdad es que casi todo el mundo utiliza contraseñas para iniciar sesión en sus diversos dispositivos y para registrarse online.
Resulta que el corazón que late en nuestros pechos contiene en su aurícula derecha un conjunto de células nerviosas y de sinapsis conocidas como “el marcapasos cardíaco”. Éste emite impulsos eléctricos que hacen que el corazón humano emita latidos. Estos impulsos eléctricos y el ritmo del corazón pueden ser medidos por un electrocardiógrafo, que se puede leer a través de un electrocardiograma (ECG). Éstos -si son medidos con la suficiente precisión – son un único medio de identificación. Así como hay una huella digital, no hay dos seres humanos con el mismo electrocardiograma, lo cual significa una realidad prometedora para los defensores de la autentificación biométrica.
Una compañía llamada Bionym está forjando por sustituir las contraseñas a medida que continúa el desarrollo de un nuevo dispositivo portátil que mide el ECG de sus usuarios. La compañía afirma que el dispositivo puede diferenciar con confianza un ECG de otro, incluso en los casos en que el corazón late más rápido o más lento de lo normal.
Su dispositivo se llama “Nymi”, y se lleva como un reloj de pulsera, pero contiene dos electrodos: uno toma contacto con la muñeca de un usuario, y el otro con el lado opuesto. Cuando un usuario se toca la punta del dedo en el segundo electrodo (el que no tocar la muñeca), se establece un circuito y el ritmo cardíaco del usuario se controla, produciendo un ECG. Éste se analiza con un software desarrollado por Bionym y empaquetado con Nymi como aplicación.
“Llevamos a cabo el procesamiento de señales para extraer características únicas que se expresen en la forma general de la ola,” dijo un portavoz de Bionym a nuestros amigos de Threatpost en una entrevista por correo electrónico. “Lo emparejamos con esas características, no con la señal sin procesar.”
La aplicación luego autenticará al usuario de cualquier dispositivo donde el Nymi esté programado para trabajar. Bionym planea lanzar el dispositivo en algún momento del 2014. Actualmente se encuentran en el proceso de colaborar con los desarrolladores de manera que cuando el dispositivo se lance sea compatible con otros dispositivos.
Karl Martin y Foteini Agrafioti, los investigadores y expertos biométricos de la Universidad de Toronto, fundaron Bionym. Son los primeros en producir un dispositivo portátil capaz de monitorear un indicador biométrico para la autentificación, pero no son los primeros a quienes se les ocurrió la idea en teoría.
Bruce Tognazzini, un ingeniero de usabilidad y experto en la interacción humano-computadora, escribió un extenso artículo en su blog personal a principios de este año argumentando que – con el fin de tener éxito – el mítico iWatch de Apple debe ser un mecanismo de autentificación, además de ser capaz de cualquier otra cosa. Ha sugerido medidas biométricas como el mejor autentificador hasta ahora.
Más allá de eso, parece que no pasa un mes sin que oigamos hablar de una nueva forma de sustituir las contraseñas. El más notable es, por supuesto, el sensor táctil del iPhone 5S de Apple. Una semana después de anunciar que sus iPhone 5S tendrían un escáner de huellas digitales integrado, los aficionados y profesionales de seguridad aunaron recursos, ofreciendo una recompensa a aquellos hackers que podrían eludir el mecanismo. A partir de ahora, unos cuatro días después de que el concurso se inició formalmente, el famoso Chaos Computer Club de Alemania parece haber ganado. Les paguen o no, esto no viene al caso, sino que el trabajo de la CCC aquí impone una pregunta más profunda: ¿es realmente la biometría la cura para la sustitución de contraseñas?
Obviamente, es demasiado pronto para abandonar la idea de la biometría por completo, pero la CCC ha querido mostrar – y cree que ha demostrado – que los escáneres de huellas digitales, vulnerables durante años, no son la respuesta.
“Esperamos que este último ponga a un lado las ilusiones que la gente tiene sobre la biometría de huellas digitales. Es estúpido usar algo que no se puede cambiar y que deja todas partes todos los días como un token de seguridad “, dijo Frank Rieger, un portavoz de la CCC. “El público no debe ser engañado por la industria de la biometría con demandas de seguridad falsas. La biometría es fundamentalmente una tecnología diseñada para la opresión y el control, no para asegurar el acceso al dispositivo que usamos todos los días “.
La CCC sabe que la biometría no es buena. Sólo el tiempo dirá si están en lo cierto acerca de la biometría en general, desde luego, el verdadero gran punto de la CCC es el siguiente: el escáner de huellas digitales es una mala idea porque nuestras huellas digitales son en gran parte inmutables y son dejadas en cada sitio que vamos y en todo lo que tocamos. E cambio, el latido biométrico es un poco mejor porque no vas a todas partes, pero – como todos los datos biométricos – es sospechoso porque es estático. Una de las pocas ventajas de las contraseñas, después de todo, es que se pueden cambiar siempre que sea necesario.