Ciudad de México.- No queda mucho para decirle adiós al nombre de usuario y contraseña como sistema de protección en webs y aplicaciones. Al menos esa es la esperanza de la industria tecnológica, que desde hace años trata de buscar una alternativa a los actuales sistemas de identificación. Un anuncio conjunto de Google, Apple y Microsoft podría ser el último empujón que necesita la más sólida hasta el momento, FIDO.

El problema que trata de resolver FIDO (Fast IDentity Online, o Identidad Rápida en Línea) es de sobra conocido. De media, los usuarios de Internet tenemos que acordarnos de más de 100 contraseñas para los diferentes servicios y aplicaciones que usamos. Como es humanamente imposible, solemos elegir contraseñas fáciles de recordar o las repetimos entre los diferentes servicios. Es la receta perfecta para que puedan ser averiguadas por quienes buscan un acceso no autorizado.

Los gestores de contraseña, que generan y recuerdan códigos mucho más complejos y resistentes a los ataques por fuerza bruta, son una opción cada vez más común pero no una solución definitiva al problema, ni acaban del todo con los riesgos. Los métodos tradicionales de doble autenticación basados en SMS que envían un código adicional al teléfonos también han resultado ser también bastante poco seguros porque es posible para un atacante utilizar técnicas de ingeniería social para conseguir un duplicado de una tarjeta SIM y recibir los mensajes.

La propuesta en la que están trabajando Microsoft, Apple y Google, y que cuenta con el apoyo del consorcio W3 (que regula los estándares que se usan en la web) es lo que se conoce como credencial FIDO de dispositivo múltiple, o lo que es lo mismo, usar un dispositivo adicional como método de verificación.

En lugar de tener que preguntar por un usuario o contraseña, una web puede utilizar este sistema para reconocer al usuario a través de su smartphone y los sistemas de identificación biométrica (huella o reconocimiento facial) con los que cuenta.

La idea la usan ya varios servicios en Internet en combinación con apps dentro del propio teléfono. Es común, por ejemplo, en aplicaciones bancarias, donde hay que confirmar el acceso usando la app de la misma entidad en el dispositivo.

Lo que hace el nuevo sistema más interesante es que no tiene por qué depender de una app específica en el teléfono y no necesita una conexión a Internet. La propuesta de Microsoft, Apple y Google permite que la clave cifrada que confirma la identidad viaje a través de Bluetooth hasta el PC -por ejemplo- donde estamos intentando usar un determinado servicio o acceder a una web. Tal vez más importante, se trata de un acuerdo de interoperabilidad que cubre la mayoría de dispositivos y sistemas operativos existentes.

Para un usuario, la experiencia de uso será relativamente sencilla y mucho más segura, aunque requerirá tener siempre cerca un dispositivo adicional. Al acceder a una web en el ordenador, por ejemplo, ésta enviará la solicitud de autenticación al teléfono móvil. Bastará desbloquearlo con la identificación de huella o de rostro para que en el ordenador e servicio nos reconozca.

“

Los usuarios iniciarán sesión a través de la misma acción que realicen varias veces al día para desbloquear sus dispositivos, como una simple verificación de su huella dactilar o cara, o un PIN del dispositivo. Este nuevo enfoque protege contra el phishing y el inicio de sesión será radicalmente más seguro en comparación con las contraseñas y las tecnologías multifactoriales heredadas, como los códigos de acceso únicos enviados a través de SMS”, explican desde la alianza FIDO, el grupo de trabajo encargado de diseñar e impulsar estos nuevos sistemas de autenticación.