El control de la identidad online

A medida que avanzan las tecnologías, se va haciendo cada vez más difícil establecer quién es quién, sobre todo en comunicaciones online y con el uso de métodos de identificación no tradicionales.

Con Spyware se pueden capturar nombres de usuario y contraseñas. Los clonadores de tarjetas de crédito capturan el contenido (supuestamente seguro) de las tarjetas para después hacerse pasar por ciudadanos honrados en Internet.

Por ello, a medida que avanzamos hacia un futuro de identidades inciertas, se están formando equipos de investigadores que luchan por ir un paso por delante de los piratas electrónicos y mantenerlos alejados de la información, tanto en el mundo real como en las redes electrónicas.

Dan Bogdanov dirige un proyecto de investigación para Cybernetica, una compañía informática de Estonia que participa en el proyecto Virtual Life del Séptimo Programa Marco (7PM) de la Comisión Europea, diseñado para crear una plataforma segura en un entorno virtual. Cybernetica ha diseñado también el sistema de voto electrónico de Estonia y toda una gama de soluciones de e-gobierno para este país.

Algunos de los cambios principales a los que se enfrentó Bogdanov en los avances en identificación electrónica que ha realizado Cybernetica son: la posibilidad de establecer de dónde viene la información; saber si alguien del “mundo real” la ha verificado; y si la identidad de la persona que dice estar realizando la comunicación es en efecto la del emisor de dicha comunicación.

En la búsqueda de verificación de una identidad segura, Bogdanov ve una solución fiable en el uso de comunicaciones P2P. “Cuando dos usuarios quieren comunicarse entre sí, establecen una conexión directa de red, acuerdan un canal seguro y se dan pruebas de sus identidades con cifrados estándar de clave pública”, explica Bogdanov. “Es una de las mejores soluciones que existen.”

Los retos inherentes a la identificación online también se aplican al mundo real. HID Global (cuya sede está en Irvine, California) confía en haber desarrollado una plataforma tecnológica capaz de hacer frente al problema de establecer y controlar identidades, aun cuando los espacios físicos están cada vez menos definidos y más dispersos.

TIP (Trusted Identity Platform) es un marco diseñado por HID Global para transferir credenciales y establecer identificaciones para redes carentes de seguridad, manteniendo al mismo tiempo un nivel de control similar al del sistema habitual de un edificio de toda la vida.

Esta cuestión está adquiriendo cada vez más importancia a medida que los sistemas van evolucionando.

Hasta ahora, los sistemas de acceso se gestionaban y protegían a través de la seguridad física de los edificios, según nos explica Daniel Bailin, director del programa de innovación estratégica de HID Global.

“En cambio, ahora puede que queramos tener la credencial en un teléfono y que queramos instalar el lector en un ordenador portátil, con lo cual el método antiguo ya no puede adaptarse al nuevo mundo”, afirma. La tecnología TIP hace posible este tipo de credenciales, que vienen ya listas para usar.

TIP se basa en tres conceptos básicos: un “contenedor de seguridad”, una “política de gestión” y un protocolo tecnológico para operar en redes públicas.

“Estos sistemas nos dan la posibilidad de dotar de seguridad a una tarjeta o un lector fuera de las cuatro paredes de un edificio seguro, y podemos utilizar todos los medios capaces para aportar una seguridad inherente”, afirma Bailin.

Gracias a la tecnología TIP, las compañías podrían llegar a establecer una conexión segura, por ejemplo, con un teléfono inalámbrico compatible con NFC, instalar una credencial en ese teléfono, y eliminar la necesidad del usuario de llevar consigo una tarjeta inteligente para establecer una identificación positiva y segura.

“Esa es la gran ventaja competitiva que nos da TIP”, apunta Bailin. “No se basa solo en el hardware que produce HID, que ha sido el modelo hasta ahora, sino que también puede utilizar hardware creado por cualquier otra compañía. Permite que funcionen de forma segura productos finales de código abierto no diseñados por nosotros.”

Pero incluso con un sistema de código abierto, el establecimiento de una identificación segura podría depender de lectores muy costosos, lo cual lo hace inviable para grandes organismos con miles de usuarios, como pueden ser las universidades.

Por esta razón, muchas universidades están estudiando otras alternativas para establecer identidades de manera segura en el espacio virtual. Esto es cada vez más importante: ciertas actividades, como los exámenes online, exigen una verificación perfecta de la identidad del usuario.
Los legisladores estadounidenses ya han tomado cartas en el asunto con la última versión de la Higher Education Opportunity Act (Ley de Oportunidades de Educación Superior). Según dicha ley, las universidades deben desarrollar métodos seguros de identificación y verificación de aquellos estudiantes que sigan cursos online y hagan sus exámenes a distancia, por medio del ordenador.

 
La clave de esta “supervisión a distancia” de exámenes, según los encargados de seguridad de las universidades, es encontrar una solución que ofrezca un nivel de seguridad mayor que la de una simple combinación de nombre de usuario y contraseña, manteniendo un coste muy bajo para el usuario final.

Una solución emergente es el método de utilizar solo software, como en el caso de la biometría de pulsaciones de teclado. Con esta biometría y con una tecnología relacionada que se basa en los clics del ratón del ordenador, el software puede analizar patrones a partir de la cantidad de tiempo que se emplea en presionar cada tecla del ordenador, el tiempo que tarda el dedo en caer sobre una combinación determinada de teclas, ciertos patrones únicos de uso del ratón u otras idiosincrasias que desarrolla cada usuario del ordenador tras años de uso, identificando así a la persona cuyas manos están usando el teclado.

En la Universidad de Maryland se utilizó este tipo de sistema durante un curso piloto de un mes en el que participaron 27 estudiantes y tres miembros de las facultades. Los estudiantes que se prestaron a este curso utilizaron biometría de tipo conductista para establecer su identidad antes de someterse a un examen online. La mayoría de los participantes dijo al equipo de investigadores que el curso les había parecido eficaz, no intrusivo y cómodo.

Otras universidades están explorando también toda una gama de opciones para ajustarse a las exigencias de identificación. Algunas de las opciones empleadas son el uso de cámaras web – que vienen incorporadas prácticamente en todos los modelos nuevos de ordenadores – para obtener fotografías de los usuarios, o incluso establecer una identificación a través de un software de reconocimiento facial. Otros se han llegado a plantear pedir a los estudiantes que compren lectores de huellas digitales USB de bajo precio para poder comprobar de manera regular la identidad del usuario dentro del procedimiento del examen.

Pero uno de los principales problemas de la biometría es su incidencia relativamente alta de “falsas negativas”, en los que el verdadero usuario es rechazado por el sistema – una situación especialmente frustrante para alguien que está haciendo un examen -. Por ejemplo, varios sistemas que emplean una tecnología similar a la del curso piloto de Maryland han arrojado un índice de falsas negativas del 4%, lo cual supera con creces el índice de error de las credenciales más fiables de la tecnología TIP.