CGP/DICYT El Instituto Nacional de Tecnologías de la Comunicación (Inteco) ha publicado una nueva guía sobre riesgos y buenas prácticas en autenticación online. El objetivo de la publicación es informar sobre las ventajas de la comprobación y verificación de la identidad de los usuarios y empresas en sus trámites a través internet (certificados, DNIe, firma electrónica, etc), identificar los posibles riesgos para la seguridad y la privacidad, y ofrecer una serie de pautas y recomendaciones que sirvan para prevenirlos y mitigarlos.
Desde sus inicios, internet se sustenta en buena medida en la comprobación de la identidad de sus usuarios. Desde el momento en que se abre una cuenta de correo electrónico o un perfil en una red social, se está creando un espacio restringido al que únicamente el usuario titular del mismo debería acceder. Por ello, es necesario que cada vez que se intenta acceder a los servicios en internet se compruebe que quien desea hacerlo sea realmente quien dice ser y disponga de los permisos necesarios para ello.
Actualmente, ciudadanos y empresas utilizan diferentes métodos de autenticación online, tanto para acceder a espacios y servicios online como para utilizar la firma electrónica ya sea para firmar o para comprobar la firma de algún documento e incluso programas. Esta firma electrónica ya es utilizada por el 40’1 por ciento de las empresas, según los últimos datos recogidos por Inteco.
Aunque estos métodos podrían ser muy variados, actualmente hay dos que destacan especialmente, el uso de contraseñas y, en España, el uso del DNI electrónico. Este último ya lo poseen más de 30 millones de ciudadanos, y según los últimos datos es utilizado por un 20’7 por ciento de los internautas. A pesar de ello, uno de los campos en desarrollo que más podrían afectar a los métodos de autenticación es la biometría, que permitiría la autenticación a través de las huellas dactilares, el iris o la voz por ejemplo.
Riesgos en la autenticación
Los principales problemas que pueden ocurrir en un proceso de autenticación son los falsos positivos y los falsos negativos, es decir, que se haga una comprobación de identidad errónea permitiendo el acceso a quien no se debería permitir o bloqueando a quien se debería autorizar, como apunta la información de Inteco recogida por DiCYT.
Uno de los principales riesgos asociados a un mal funcionamiento de los sistemas de autenticación es la suplantación de identidad. El mero hecho de que alguien trate de acceder a un servicio o espacio restringido haciéndose pasar por un usuario legítimo podría considerarse una suplantación, pero esta situación puede ir más allá si además actúa simulando ser otra persona.
Estos y otros problemas pueden derivarse de que el sistema no sea suficientemente seguro, por ejemplo que cuente con un método de autenticación principal bien definido pero que, en caso de situaciones como el olvido de las contraseñas, permita utilizar métodos secundarios poco robustos como contestar preguntas de seguridad de las que cualquier persona cercana conozca las respuestas (nombre de la madre, primer colegio, etc). Esta alternativa en el método secundario inutiliza todas las medidas de seguridad del método principal. Pero estos problemas también pueden deberse a errores e imprudencias de los propios usuarios, ya se produzcan por desconocimiento o por exceso de confianza.
Por ello, la Guía incluye una serie de recomendaciones dirigidas a los usuarios y a los administradores y desarrolladores de sistemas de autenticación. Entre ellas destaca la exigencia de complejidad en las contraseñas (ocho caracteres como mínimo incluyendo mayúsculas, minúsculas, números y símbolos) y su sustitución con cierta regularidad. Además, se recomienda configurar correctamente las opciones de seguridad que cada servicio ponga a disposición de los usuarios.