Lo que representa la orden ejecutiva de ciberseguridad para la autenticación
20 October, 2014
category: EMV, Seguridad lógica
Cómo puede funcionar esto para los ciudadanos
Por: Zack Martin
El presidente Barack Obama firmó una orden ejecutiva sobre ciberseguridad con el objetivo de proteger a los consumidores contra los robos de identidad. La misma dispone que las agencias federales emitan y acepten tarjetas de pagos EMV y adopten precauciones adicionales en línea cuando protegen la información personal de los ciudadanos.
El enfoque del anuncio estuvo en el cambio hacia EMV, y la tecnología más segura de chip y PIN. Pero es incluso más significativo que una sección breve de la orden ejecutiva está centrada en la adopción de una autenticación más segura por parte de las agencias de gobierno. Dicha sección enuncia lo siguiente:
“Sec. 3. Asegurando las transacciones federales en línea. Para ayudar a garantizar que los datos sensibles sean compartidos solamente con la persona o personas apropiadas, en el término de 90 días a partir de la fecha de esta orden, el personal del Consejo Nacional de Seguridad, la Oficina de Políticas de Ciencia y Tecnología, y la OMB, deben presentar al Presidente un plan consecuente con las directrices establecidas en la Estrategia Nacional para Identidades de Confianza en el Ciberespacio de 2011, con el fin de asegurar que todas las agencias que ponen al acceso de los ciudadanos datos personales mediante aplicaciones digitales, requieran el uso de múltiples factores de autenticación y un proceso efectivo de demostración de la identidad, según proceda. Dentro de un término de 18 meses a partir de la fecha de esta orden, las agencias pertinentes deben concluir cualquier paso requerido que ha sido dispuesto en el plan elaborado en conformidad con esta sección”.
La redacción es vaga y carece de ejemplos concretos en cuanto a cómo y por qué resulta necesario tal sistema de autenticación multifactor. Los funcionarios gubernamentales no fueron capaces de dar ejemplos porque estaban esperando los 90 días para que se dieran a conocer las directrices. Pero la oficina de Avisian decidió predecir los escenarios de cómo es probable que se implemente este sistema.
Los ciudadanos que utilizan Medicaid, Seguridad Social u otros sitios del gobierno para acceder a información personal, elegirán un nombre de usuario y una contraseña, se les pedirá entonces que se sometan a algún tipo de autenticación basada en conocimiento. Esto incluiría una serie de preguntas privadas: seleccione una calle donde vivió, elija el valor que más se aproxime al monto de su hipoteca, etc. — con el fin de comprobar de forma remota que las personas son quienes dicen ser. También deberán proporcionar un número de móvil u otro medio de comunicación para recibir un código de seguridad de un solo uso para cuando accedan posteriormente a esos sitios.
Al acceder en fecha posterior a ese sitio u otros sitios federales, el ciudadano ingresará el nombre de usuario y la contraseña, pero se le pedirá que ingrese un código de seguridad de un solo uso. Ese código numérico será enviado al número de teléfono móvil registrado – o a un teléfono fijo o correo electrónico preestablecido – a través de mensaje de texto u otro medio.
Sigamos observando la bola de cristal, es posible que todas estas funciones se incluyan en el Intercambio Federal de Credenciales en Nube (FCCX). Este sistema le permitirá a los ciudadanos utilizar credenciales que ya poseen – que pueden ser desde logins de medios sociales hasta tarjetas PIV emitidas por un nivel federal – para acceder a sitios federales.
Mi pronóstico es que FCCX va a incluir una autenticación escalonada para los ciudadanos que acceden a información personal. Utilizarán cualquier credencial que ya tengan, por ejemplo Facebook, pasarán por una autenticación basada en conocimiento y recibirán después un código de acceso de un solo uso para emplearlo cuando accedan a sitios federales que proporcionan información personal.
Los fundamentos para estos sistemas ya están creados, se trata solo de hacerlos funcionar. Algunas personas pueden reprochar que esto solo se utiliza para sitios federales, ya que mucha gente no accede a ellos con frecuencia. Pero el problema es lograr que la gente se acostumbre a utilizar estos tipos de sistemas de autenticación.
Quienes están en sus 20 a 30 años de edad pueden sentirse cómodos con la idea de recibir un código en su teléfono para el acceso, pero otros no. Es probable que las empresas de consumo comiencen a implementar este tipo de sistemas para los consumidores con el fin de brindar mejor protección a los recursos, y el hecho de que el gobierno federal los utilice es un paso adelante hacia la educación del público.
EMV acapara los titulares de este anuncio, pero el impacto de esta Orden Ejecutiva en la autenticación y la identidad en línea podría cambiar de modo esencial la forma en que accedemos a la información.