Ah, las contraseñas, tan invivibles como insustituibles. O al menos parecían insustituibles hasta ahora, porque en Google acaban de presentar un sistema de desbloqueo automático multipatrón para Android que quiere reemplazar esas contraseñas con diversas características biométricas.
En Google ya llevaban tiempo trabajando en el llamado Project Abacus, pero ahora ha evolucionado al llamado Trust Score, un sistema de identificación que combina varios factores biométricos, pero también de comportamiento y de ubicación. Así funciona el que está llamado a ser un candidato interesante para hacer que podamos empezar a olvidarnos de las contraseñas en dispositivos Android.
Las contraseñas nos dominan
Vivimos en un mundo en el que las contraseñas son el mecanismo de seguridad más extendido para todo tipo de interacciones con servicios y dispositivos, pero su popularidad también se ha convertido en el peor enemigo del sistema: la gestión de las contraseñas se ha convertido en un problema para millones de usuarios, que acuden a variaciones "débiles" que consisten en usar contraseñas fácilmente adivinables o a repetir la misma contraseña para varios servicios.
Eso ha provocado una oleada de ataques por parte de expertos en seguridad -buenos y malos- que han demostrado que las contraseñas no son el método ideal en muchos casos: los robos de contraseñas de todo tipo de servicios -el escándalo de LinkedIn es el caso más reciente- son ya una constante, y no parece que haya solución a corto plazo.
Los gestores de contraseñas son una buena solución alternativa para poder contar con más garantías en este sentido, pero ni siquiera esos sistemas son invulnerables. Muchos confían en los sistemas de verificación en dos pasos para añadir una capa más de seguridad a ese proceso, y ciertamente es una de las opciones más relevantes para quedarnos (algo) más tranquilos.
Google es una de las defensoras de este último sistema -si no habéis activado la verificación en dos pasos de vuestros servicios por favor, hacedlo-, pero sus ingenieros hace tiempo que trabajan en alternativas que incluso hagan que este método quede, como las contraseñas, en el olvido.
De Project Abacus a Trust API
Cuando Project Abacus se lanzó lo hizo con la idea de recolectar datos de comportamiento de usuario: cómo tecleaba, qué aplicaciones usaba más, y cuáles eran sus señas de identidad biométricas (voz, reconocimiento facial).
Al recolectar esos datos era posible generar un perfil de usuario que permitiría identificarlo y bloquear o desbloquear el dispositivo o ciertas funciones a través de esa información. Identificar a un usuario ya no sería cuestión de un patrón o un PIN: se combinarían varios factores -tantos como los desarrolladores exijan- para tratar de certificar que el que está utilizando el teléfono es efectivamente quien dice ser.
Dan Kaufman, responsable de la unidad ATAP en Google (Advanced Technology and Projects), explicaba cómo nuestros teléfonos "tienen todos esos sensores en ellos. ¿Por qué no puede saber quién soy sin más, de forma que no tenga que utilizar una contraseña? Debería ser capaz de trabajar directamente [con ese dispositivo y gracias a esa información]".
Lo que el nuevo sistema Trust Score quiere lograr a través de esa Trust API hacia la que ha evolucionado Project Abacus es teóricamente simple: asignarte un "coeficiente de confianza" en base a diversos parámetros, y ese coeficiente es el que se utilizaría en el dispositivo y sus aplicaciones para validar cualquier acción que hagas.
Demuestra que eres quién dices ser siendo tú mismo
¿Cómo funcionaría Trust Score? Fácil: imagina que estás en tu casa con tu smartphone y quieres comenzar a usarlo. Tu Trust Score será muy elevado por que, para empezar, estás en una ubicación que el sistema reconoce como muy frecuente- pero además puede aprovechar otros factores biométricos como reconocimiento facial o de iris (a lo Windows Hello), tu huella dactilar (que ya no sería condición necesaria y suficiente para desbloquear) o una orden de voz.
La cosa cambiaría si estás de viaje de vacaciones: el coeficiente baja porque estás en una localización no reconocida, así que hay que compensar ese factor con más verificaciones biométricas o de otros elementos que ayuden a que toda esa información se sume y el dispositivo o servicio sepa que lo estás utilizando tú.
Esos coeficientes podrán ser distintos según el escenario en el que queramos utilizarlos. Abrir sesión en la aplicación Android del banco para hacer una transacción puede requerir un coeficiente de confianza más alto que abrir una sesión en Instagram, por ejemplo: es aquí donde los desarrolladores pueden establecer qué nivel de confianza tenemos que aportar, y cuántos factores intervienen para lograr que el dispositivo y la aplicación o servicio nos identifique y verifique que somos quienes decimos ser.
Google indicó que ya están evaluando el comportamiento del sistema en varias instituciones financieras -empiezan fuerte con las pruebas- y que si todo va como esperan a finales de año ofrecerán la Trust API a todos los desarrolladores. Será a partir de ese momento cuando veremos cómo la plataforma aprovecha un sistema que poco a poco quiere hacer de las contraseñas algo del pasado. ¿Lo logrará? El reto es difícil, desde luego.
En Xataka | Tú eres "irrepetible" y tu cuerpo te sirve como identificación
Ver 18 comentarios