26 March, 2015
category: Seguridad en Internet
Líderes de industria telefónica adicionan biometría y NFC, iniciando una nueva era en los móviles como credenciales
La práctica “Trae tu propio dispositivo” es el nuevo sheriff del pueblo, y el sheriff adjunto es “Trae tu propia identidad”. Pero para seguir con la analogía hay que decir que aún vivimos en el Lejano Oeste. Por suerte el futuro parece ser más prometedor, ya que los fabricantes están produciendo dispositivos con capacidades de mayor seguridad. Esto promete proteger los recursos corporativos y abrir las puertas al empleo de los móviles como token seguro de identidad.
Los teléfonos y tabletas se han convertido en los dispositivos que se emplean sobre la marcha por parte de los empleados, sustituyendo las computadoras de mesa y laptops. Cada vez más empleados poseen estos dispositivos y los usan tanto para fines personales como de trabajo. Así, el mismo dispositivo que posee el empleado permite el acceso a los recursos corporativos seguros y también a las aplicaciones, juegos y fotos familiares.
El empleo del dispositivo móvil como token de identidad es un sueño de las empresas, que puede convertirse pronto en realidad. Como más dispositivos están implementando la biometría, empleando comunicación de campo cercano y Bluetooth de bajo consumo, se logrará más protección y su empleo como tokens. Las organizaciones también trabajan en los estándares que harán que el omnipresente móvil pase a ser el token que todo el mundo posee.
Biometría en cada teléfono
Hace dos años la cantidad de teléfonos habilitados con biometría eran unos miles. Desde entonces Apple ha lanzado tres iteraciones del iPhone que tiene escáner de huellas digitales. Este año Samsung hizo lo mismo con su dispositivo insignia, y una serie de otros fabricantes están listos para seguir esa tendencia. Ahora existen decenas de millones de teléfonos en el mercado que pueden asegurarse con una huella digital. Es más, las capacidades biométricas incorporadas en estos dispositivos pueden ofrecer también acceso seguro a aplicaciones en el teléfono, eliminando la molestia de tener que escribir en teclados pequeños las largas contraseñas.
Apple no fue el primer fabricante de dispositivos que situó un escáner de huellas digitales en un dispositivo, pero puede que sea el primero en hacerlo bien. Aunque Touch ID inicialmente estuvo limitado a controlar el acceso al teléfono y a las compras en la tienda de iTunes, posteriormente se ha ido ampliando, permitiendo a los desarrolladores de aplicaciones que aprovecharan otras ventajas del escáner. El servicio Apple Pay anunciado recientemente también utiliza el escáner para autorizar compras realizadas a través del teléfono. El Galaxy S5 de Samsung tiene capacidades similares y puede autorizar pagos con PayPal. Los poseedores de un Galaxy S5 pueden hacer compras en los comercios físicos que acepten PayPal, y los usuarios también pueden autorizar pagos en línea. Los desarrolladores pueden utilizar también el escáner del Galaxy para acceder a aplicaciones, pero esto no se ha producido con mucha celeridad, explica Alan Goode, director de Goode Intelligence.
“Unos cuantos bancos menores lo han hecho para lograr publicidad”, señala. “Algunos bancos mayores pueden integrar una parte en su aplicación bancaria, pero aún no se sabe si será para autenticación primaria o autenticación secundaria mientras se está en la aplicación”.
Un tema es el detalle acerca del protocolo de autenticación. Los desarrolladores no conocen los pormenores respecto a la acreditación y la certificación del escáner de huellas digitales, de modo que hay problemas relativos a la confianza, dice Goode. Aunque actualmente puede no ser lo bastante seguro para algunos proveedores, un número mayor de ellos comenzarán a sacar ventaja del escáner de huellas digitales, plantea Goode. Las organizaciones pueden realizar alguna autenticación al dispositivo – por ejemplo, enviar una contraseña de un solo uso (OTP) – antes de habilitar el escáner, de modo que el dispositivo quede inscrito antes de registrar la huella digital.
Nok Nok Labs ya autorizó el escáner de Samsung y está planeando liberar un cliente que aproveche las ventajas de Touch ID, explica Brendon Wilson, director de gestión de productos en Nok Nok Labs. El cliente FIDO hará posible que las organizaciones realicen otras tareas con el escáner de huellas digitales y no solamente desbloquear el dispositivo. Nok Nok Labs habilitará la autenticación remota sin tener que basarse en el keychain iOS de Apple para guardar las contraseñas, creando en su lugar un puente seguro que emplee claves criptográficas y no contraseñas, añade. Con Apple, Samsung y otros fabricantes implementando el reconocimiento de huellas digitales y potencialmente otras modalidades biométricas, es importante tener la capacidad de emplear esas tecnologías para una amplia gama de finalidades de una forma segura, dice Wilson. Si Apple ha de modificar o no el panorama de la identidad en línea, Wilson no podría afirmarlo, pero sí es real que la compañía está teniendo un impacto. “Crea una nueva expectativa en cuanto a la experiencia del usuario”, señala.
NFC y BLE hacen posible que los teléfonos le hablen a los dispositivos y no solo a las personas
La adición de NFC en los iPhones 6 y 6 Plus también está causando un revuelo. Aunque la compañía bloqueó las capacidades NFC en los nuevos iPhones de modo que solo puedan utilizarse para Apple Pay, los conocedores del tema predicen la API será abierta posteriormente, como ocurrió con el escáner biométrico Touch ID. Hasta que se abra, no podrán utilizarse otras billeteras NFC en los iPhones, por lo que los consumidores no podrán usar SoftCard – anteriormente ISIS – o Google Wallet. Pero esto también impide otras aplicaciones posibles con NFC, lo que realmente limita mucho el uso del dispositivo. El protocolo de comunicaciones NFC puede utilizarse para leer etiquetas inteligentes, conectarlo con otros dispositivos y reemplazar las tarjetas inteligentes para aplicaciones de identidad y acceso físico.
Aunque muchos en el espacio de identidad pueden haberse deslumbrado con la oportunidad de proveer credenciales para los nuevos iPhones, tendrán que esperar para tener la opción. Uno de los mayores problemas que en general mantienen retrasada la NFC ha sido el proceso de situar credenciales en los teléfonos. Normalmente una empresa tiene que contactar a los operadores de red móvil para obtener acceso al elemento seguro y situar la credencial en el dispositivo. Esa es una proposición complicada porque se necesitan contratos con múltiples operadores de red, ya que los empleados utilizan diferentes portadores. “Técnicamente todo es posible, pero es una pesadilla desde la perspectiva de un modelo de negocios”, dice John Fenske, vicepresidente de marketing de productos en HID Global.
Pero la emulación de tarjeta host es un enfoque más novedoso para NFC que resuelve ese problema. En lugar de situar la credencial en el elemento seguro del teléfono, el protocolo lo sitúa en software seguro con acceso a la antena NFC. Esto elimina la necesidad de que se involucre un portador. Aunque estas opciones están cerradas por ahora para los iPhones habilitados con NFC, las compañías no esperan. Muchas tienen aplicaciones de identidad y acceso que utilizan Bluetooth de bajo consumo en lugar de NFC. Cada teléfono producido en los últimos años sale estandarizado con la tecnología de comunicaciones, pero requiere que se le adicione Bluetooth a los lectores de control de acceso. HID almacena credenciales Bluetooth en un software seguro en los teléfonos, permitiendo así que los administradores de las empresas manejen la emisión a través de un portal web, explica Fenske. El empleado recibe un correo electrónico o mensaje de texto para descargar una aplicación y la credencial. Una vez que la credencial ha sido activada, el lector Bluetooth de control de acceso puede leerla a 10 – 15 pies de distancia, dice Fenske. Para reducir el potencial de lecturas accidentales, el empleado le da un giro a su teléfono cerca del lector para activar el acelerómetro del dispositivo e iniciar el acceso.
Habilitando las diversas modalidades de autenticación en los móviles
IdentityX, una compañía Daon, está tratando de sacarle ventaja a los escáneres biométricos y otras funciones de los dispositivos Apple y Android para que puedan utilizarse como tokens de identidad, dice Conor White, presidente de IdentityX. “Nuestro criterio es que ninguna de las tecnologías es perfecta o mejor que la otra. Cada una trabaja en diferentes situaciones, pero la mejor ruta es casarlas todas en una plataforma y darle a escoger al consumidor”, señala. La plataforma IdentityX habilita la autenticación del teléfono, el rostro de un usuario, un PIN y la voz, explica White. Un sitio que acepte las credenciales IdentityX puede hacer pingback al teléfono del consumidor, autenticar el dispositivo y después pedirle que lea un PIN aleatorio de cuatro dígitos mientras mira a una cámara para el reconocimiento facial. “Valida el teléfono el PIN, el rostro y la voz”, explica.
Se está trabajando para integrar Touch ID de Apple y el escáner de huellas digitales de Samsung en la plataforma. Los servicios permitirían que el consumidor escoja qué modalidad de autenticación desea y también tener un análisis basado en riesgo en el backend, dice White. Así, si un individuo está tratando de acceder a un servicio desde una dirección IP que es inusual, puede pedir más factores de autenticación que si el individuo se conecta desde su equipo habitual. La aplicación IdentityX está almacenada en un software seguro en el teléfono y puede trabajar en iOS o Android. Después que se ha descargado la aplicación, los usuarios escanean un código QR del monitor de su computadora y registran los datos biométricos. Ya los bancos están empleando esta solución para permitir el acceso de los empleados a redes seguras, y la Asociación de Ejecutivos Aeroportuarios de EEUU, así como ciertos miembros de la AARP, la utilizan también como parte de un programa piloto para la Estrategia Nacional de identidades de Confianza en el Ciberespacio, explica White.
Cuando se discute sobre IdentityX con instituciones financieras, White señala que estas hablan de permitir que los consumidores escojan cómo quieren autenticar, en lugar de imponer un método. “Los bancos quieren un nivel más elevado de seguridad, pero una forma natural de autenticar”, explica. “No quieren decirle a los consumidores que lo hagan de cierta manera, por temor a que cambien de banco”.
Verizon Enterprise Solutions también ha implementado una solución móvil de autenticación que emplea el teléfono como un token, dice Tracy Hulver, jefe de estrategia de identidad en la compañía. Él hace énfasis en que la identificación móvil debe estar orientada hacia el cliente. El uso de un segundo factor de autenticación – sea un token físico o una aplicación en un teléfono inteligente – le añade cierto nivel de complejidad al proceso de inicio de sesión. La autenticación de doble factor puede detener las intrusiones de nombres de usuario y contraseñas, pero la adopción voluntaria está en un solo dígito porque los usuarios no quieren hacer nada adicional para obtener el acceso a sus datos, plantea Hulver. “Tiene que ser más fácil que el nombre de usuario y contraseña, ciertamente no más difícil”, afirma. Verizon usa códigos QR para hacer que el acceso sea fácil. El usuario descarga la aplicación en su dispositivo inteligente y cuando visita un servicio en una laptop o computadora, aparece un código QR junto con los cuadros usuales de nombre de usuario y contraseña. En lugar de escribir, el usuario abre la aplicación en el teléfono, escanea el código y queda conectado al sitio. Dependiendo de las diferentes variables – cookies, dirección IP, tipo de transacción– el sistema puede pedir autenticación adicional. “Las partes confiantes pueden determinar el nivel de seguridad que desean”, dice Hulver. Verizon tiene planes de añadir niveles de protección tras las identidades mediante la verificación de identidades de usuario, señala. Eventualmente el plan es inscribir en el Sistema Universal de Identidad a todo el que compra un teléfono Verizon cuando está en la tienda. Entonces los consumidores podrán utilizar esa identidad verificada con una protección más fuerte en los sitios que han implementado sistemas universales de identidad.
Para los que no tienen Verizon, las partes confiantes que escogen usar el sistema pueden utilizar autenticación basada en conocimiento para lograr algún nivel de seguridad sobre los usuarios. Después de ser verificada por una parte confiante, esa identidad podría utilizarse en otros sitios que empleen el sistema de Verizon, explica Hulver. Clientes empresariales selectos ya están utilizando el sistema, y Verizon espera implementarlo en los primeros meses de 2015 en el mercado empresa-consumidor.
Asegurando el futuro de los móviles
Los fabricantes de teléfonos y los proveedores de soluciones están haciendo todo lo posible para lograr que rijan la ley y el orden en el “lejano oeste” de las prácticas BYOD y BYOID. La cantidad de opciones para utilizar los móviles como credencial de identidad se está incrementando con la biometría, NFC y Bluetooth, y esto es solo la punta del iceberg. A medida que esas tecnologías se imponen en todas partes, la autenticación resultará invisible para el usuario final, permitiendo un acceso rápido, fácil y seguro.
Puede obtener información más detallada respecto a ApplePay y BYOID en el artículo original en inglés.