Hoy jueves 4 de mayo se celebra el Día Mundial de la Contraseña, creado con el objetivo fomentar buenos hábitos de contraseña que ayuden a mantener segura nuestra vida en el entorno online. En la era digital actual, los métodos tradicionales de autenticación basados en contraseñas pueden no ser suficientes para proteger nuestra información sensible de los ciberdelincuentes. Ahí es donde entran en juego el aprendizaje automático (ML) y la inteligencia artificial (IA), que pueden ser herramientas poderosas en la lucha contra la ciberdelincuencia.
Con el objetivo de analizar cómo estas tecnologías pueden ayudar tanto a los profesionales como a los usuarios a reforzar sus contraseñas, nos ponemos al habla con Juan Manuel Pascual, experto en ciberseguridad y CEO de Innovery España y LATAM.
¿Existe la contraseña definitivamente segura?
J. M. P.: No existe una contraseña definitivamente segura. Las contraseñas son vulnerables a la coacción y pueden ser analizadas para averiguarlas. Para lograr una mayor seguridad en la autenticación, lo ideal es usar algo que tengas o algo que veas. Por ejemplo, un token o una biometría. Un one-time password (PIN de un solo uso) también es una opción. En las transacciones, se suele vincular un dispositivo, como un teléfono móvil o una dirección de correo electrónico, para enviar un PIN de corta duración, por ejemplo. La duración del PIN depende de la seguridad requerida, y puede ser de solo unos segundos o hasta 24 horas.
¿Estamos seguros con el doble factor de autenticación?
J. M. P.: El doble factor de autenticación (MFA) no garantiza seguridad total, ya que el canal que típicamente se utiliza para enviar el segundo factor, como el móvil o el correo electrónico, puede ser atacado. Es decir, el nivel de seguridad del segundo canal no siempre es tan alto como debería ser. Por eso, es importante asegurarse de que ese segundo canal utilizado para el MFA sea seguro en realidad y no solo aparente serlo.
Con simuladores de voz y de imágenes pueden crear fakes que suplanten a los usuarios ¿No es la IA un arma de doble filo en este sentido?
J. M. P.: La IA es un arma de doble filo, como cualquier otra herramienta. Los simuladores de voz e imágenes, conocidos como Deep Fakes, no solo dependen de la IA, sino también de la modelización. Aquí lo importante es cuestionarnos hasta qué punto podemos confiar en algo en lo que nos hemos apoyado hasta ahora, como lo que vemos y escuchamos. ¿Podría la IA ser utilizada para validar la autenticidad de lo que estamos viendo y escuchando? ¿Cómo podemos estar seguros de que lo que vemos y escuchamos es real y no generado por una IA? Esa es la pregunta clave.
Esto nos lleva también al tema de la IA adversarial, en el que una IA trata de vulnerar a otra. Los algoritmos utilizados para proteger también pueden ser atacados por modelos de ML que buscan patrones y vulnerabilidades. Incluso en el tema de las contraseñas, los generadores de contraseñas ya no se basan en “empiezo con 1, 2, 3”, sino que intentan atacar patrones conocidos mediante el uso de modelos de ML.
¿Qué pueden aportar realmente ML e IA en la seguridad de los accesos?
J. M. P.: El Machine Learning (ML) y la Inteligencia Artificial (IA) pueden aportar en la protección y generación de contraseñas, utilizando un enfoque que no solo valide una mayúscula o minúscula, sino que también evite patrones fácilmente detectables. Sin embargo, en cuanto a evitar el acceso no autorizado, el ML tiene un papel limitado. En su lugar, el ML puede ser útil en la detección de violaciones de contraseñas, mediante técnicas de detección en un SIEM o en logs, y en la detección de comportamientos anómalos, a través del User Behaviour Analytics. Además, los factores biométricos como el reconocimiento facial o de voz son susceptibles de aplicar el ML, aunque no se trate de una contraseña en sí misma.
Es importante destacar que la seguridad en la autenticación se refuerza mejor con otros autenticadores, como factores biométricos o un one time password.
El doble factor de autenticación (MFA) no garantiza seguridad total
¿Por qué es tan difícil que las personas no se conciencien con la relevancia de sus contraseñas?
J. M. P.: Es difícil que las personas tomen conciencia de la relevancia de sus contraseñas porque, en muchos casos, no han experimentado personalmente las consecuencias de una mala praxis en la gestión de sus contraseñas. El buscar passwords que sean cómodas o la falta de sensibilización también son factores que influyen.
Muchas personas no toman en serio los riesgos potenciales hasta que experimentan una violación de seguridad o un robo de información. Es importante que la sociedad en general interiorice estos riesgos y se tome en serio la gestión de sus contraseñas, para reducir los riesgos y proteger su información personal.
¿Qué opina de los gestores de contraseñas y del concepto passwordless?
J. M. P.: Considero que los gestores de contraseñas son una buena opción para el usuario medio. En cuanto al concepto de passwordless, creo que es una alternativa interesante que ofrece una forma de autenticación de usuarios sin necesidad de contraseñas. En este sentido, se utilizan otras formas de autenticación como el reconocimiento facial, la huella digital, el escaneo de retina o la autenticación de dispositivo.
En general, es recomendable no almacenar las contraseñas en el navegador, ya que puede ser un punto vulnerable para los ciberdelincuentes
Sin embargo, es importante destacar que la seguridad de estos sistemas depende de la confianza en el proveedor de servicios. Si utilizamos un gestor de contraseñas o un sistema operativo para almacenar nuestras contraseñas, estas estarán seguras en la medida en que no se pueda acceder a ellas. En general, es recomendable no almacenar las contraseñas en el navegador, ya que puede ser un punto vulnerable para los ciberdelincuentes.
¿Qué tecnologías aconseja en este ámbito?
J. M. P.: Existen diversas tecnologías que pueden utilizarse en el ámbito de la autenticación sin contraseña. Entre ellas se incluyen:
Autenticación de huella digital, Autenticación facial, Autenticación de voz, Autenticación de dispositivo, Autenticación de ubicación, Autenticación de SMS, Autenticación de reconocimiento de voz, Autenticación de doble factor, Autenticación de token, Autenticación de correo electrónico y Autenticación de código QR.
Cada una de estas tecnologías tiene sus propias fortalezas y debilidades, y es importante evaluar cuál es la mejor opción según las necesidades y requisitos específicos de cada organización o usuario. Es importante implementarlos de manera adecuada y asegurarse de que siempre se utilicen de manera segura y responsable.
