La atención de clientes de manera personalizada se reserva, ya casi de forma exclusiva, como el primer paso del proceso de filiación, en que se validará su identidad y se le darán privilegios de acceso y uso de los servicios asociados en una determiada categoría.
La explotación de recursos y servicios en las redes de datos, se hará bajo control y autenticación del usuario por medios digitales automatizados, pues resulta imposible la intervención humana en este proceso dinámico y tan masivo, ya sin posibilidad de volver atrás; se puede tomar como ejemplo el hecho que algunas organizaciones sobre la red son capaces de atender a miles de clientes con sistemas y portales de autoatención, donde se demanda mayor seguridad conforme estos servicios se masifican.
En este contexto, existe la demanda de dispositivos que permitan -de manera eficiente, efectiva y segura- la autorización, autenticación y posterior auditoría de los usuarios de los sistemas. Existen ya varios dispositivos capaces de cumplir esta labor, entre los que se cuentan tarjetas de banda magnética, que almacenan información del usuario en sus pistas, lo que puede ser complementado con el uso de contraseñas. Estas han abarcado gran parte del mercado, sobre todo el bancario, pero han debido lidiar con la inseguridad de los datos guardados en ellas, susceptibles de ser clonados con gran facilidad inclusive por parte de usuarios inexpertos. Por lo general, su otra debilidad es la ingeniería social que recae sobre el usuario que revela sus contraseñas o éstas se hacen muy vulnerables. Otras debilidades son compartidas por la fuente generadora del dispositivo o tarjeta.
En el último tiempo, la tarjeta de doble factor ha tomado la delantera, por la comodidad que ofrece ya que es similar en tamaño a una tarjeta de crédito y opera ubicando coordenadas en base a filas y columnas. Su debilidad radica en que puede ser copiada tanto a mano o fotocopiada por algún intruso, sin contar con que la entidad que la genera, emite o administra pueda ser atacada y revelados los secretos de los usuarios.
Sin duda en la actualidad, uno de los medios más seguros es el token digital, de contraseña variable, que se sustenta en base a un sincronismo entre el sistema del cliente y del servidor de la empresa o banco que lo provee y una serie de complejas ecuaciones criptográficas que calculan y validan los valores para autorizar o denegar los accesos.
Dupla ‘usuario y contraseña’
Sin embargo, en Internet y otros sistemas distribuidos en que no existe alternativa de entrega y uso de un dispositivo de autenticación, prima la utilización de la dupla ‘usuario y contraseña’, que circula claramente por las redes locales y amplias, y que puede ser capturada en las empresas, el hogar o en cibercafés, usando programas ‘sniffers’, que obtienen todos los datos que transitan en algún dominio de la red. A este riesgo se suma la común práctica de ‘compartir’ o ‘prestar’ las contraseñas, o hacerlas muy débiles y cortas, con lo que un usuario con entrenamiento básico puede ‘atacar’ por fuerza bruta a la contraseña, hasta encontrar la combinación y acceder al sistema.
Por lo demás, se ha estimado que las redes inalámbricas cuentan con bajos niveles de seguridad, y protocolos que han sucumbido en pruebas con programas que, de manera automatizada, rompen sus claves, calculándose que sobre el 95% de las redes wireless puede ser penetrada, por lo débil del sistema de seguridad. Lo complejo de esta situación es que el atacante al acceder dentro de la red se posiciona a nivel de capa 2 y puede ‘sniffear’ ésta y capturar la data y las preciadas contraseñas de los usuarios de la red local.
No se debe desconocer esta debilidad, ya que en el último tiempo han salido al mercado nuevas credenciales de identificación inalámbricas (RFID o ID de radiofrecuencia), utilizadas para medios de pago y validación, las que poseen las mismas vulnerabilidades de las redes wireless, pero aquí se compromete la identidad e identificación de una persona, cuyos datos pueden ser capturados, copiados y clonados en los dispositivos.
Se puede concluir que la gran debilidad de Internet y las redes de datos, es sin duda la autenticación de las personas y entidades usuarias de los recursos, por lo que se recomienda tener en consideración complementar los dispositivos de identificación, con lo básico del “yo sé” (lo que se memoriza), “yo tengo” (medio o dispositivo que identifica al usuario) y “yo soy” (como el complemento biométrico o las características de la persona, como la huella digital, iris y morfología de la mano, entre otras, que debe existir en el dispositivo previa filiación del usuario). Lo anterior con una fuerte base criptográfica de ocultación de secretos y poderosa autenticación a la red inalámbrica, disminuirían ampliamente los riesgos.
Sin embargo y pese a que se tomen las mejores medidas de seguridad, los riesgos persistirán, ya que los atacantes podrán, en función de tiempo, dominar la tecnología y descubrir las vulnerabilidades asociadas a ésta y explotarlas.
