Autenticación: entre dos aguas
Hemos de entender, ante esta ‘arriesgada’ declaración (choca la prudente expresión ‘tecnología dominante’), que a Bill Gates ya no le ‘mola’ esa entrañablemente expuesta, socorrida, barata, útil y ferozmente prolífica amiga que es la contraseña estática, entendida como aquella «Información confidencial, a menudo compuesta de una cadena de caracteres, que puede ser usada en la autenticación de un usuario, entidad o recurso» (ISO 7498-2).
Pasa, sin embargo, que en el escenario del B2B, del B2C y de otras transacciones electrónicas con importantes repercusiones no necesariamente mercantiles o comerciales, se necesita imperiosamente saber de verdad, entre otras cosas, quién es quién, de manera robusta, fuerte. La contraseña tradicional -autenticación débil-, gran pesadilla para usuarios y administradores responsables en organizaciones con entornos heterogéneos complejos y distribuidos, no sirve aquí para gran cosa, mientras que la criptografía de clave pública gestionada mediante PKI, sí, en la medida en que se «enchufe» con aplicaciones.
Pero no nos engañemos: para sacarle partido en el contexto de despliegues extraempresariales (B2B, B2C…) e intraempresariales (proyectos internos) con requisitos de autenticación robusta, hay que echarle imaginación en varios frentes: para justificar la inversión (pasa con todo, y las herramientas criptográficas no son necesariamente baratas), y para encandilar a la superioridad con ideas realmente creativas, útiles y, claro está, satisfactorias desde el punto de vista informático.
¿Hay que decir, entonces, bye bye a las contraseñas? Pues parece que con lo que se nos viene encima, sí. Pero, ¿hay que hacerlo definitivamente? Depende, todo depende. El uso de los certificados electrónicos no está muy experimentado, plantea problemas con «lo que hay», y muchos profesionales de las TIC no se sienten cómodos con las actuales propuestas de PKI. Si embargo, y por ahora, ese es el camino.
En el pasado Congreso Securmática, clausurado el 27 de abril, un extraordinario profesional español de seguridad en TIC de una compañía muy significativa de nuestro país, hizo en su ponencia no anunciada un encendido y muy razonado elogio de la contraseña -compañera entrañable de los informáticos desde casi los inicios de la Informática- para a continuación, con respeto, cariño y muchas razones de peso, exponer un proyecto de autenticación para las decenas de miles de empleados de su entidad que no mata sino jubila el uso puro y duro de la password.
No obstante lo dicho, todavía puede afirmarse que habrá que usar mayoritariamente contraseñas durante un tiempo indeterminado, mientras se impone a marchas forzadas -la apuesta ya está hecha- la autenticación (y otros servicios de seguridad indispensables) mediante certificados electrónicos, estimulada por el imparable negocio electrónico a través de Internet y la apertura de las redes empresariales.
Estamos hoy entre dos aguas informáticas: las mareas de contraseñas que casi siempre, como usuarios, desbordan nuestra memoria, y como gestores responsables nos causan migrañas variadas, y el futuro uso generalizado de certificados electrónicos (a ser posible en tarjeta inteligente. ¿Lectores?), que como usuarios, en general, no vemos ni en pintura, y como profesionales de las TIC no acabamos de dominar. La criptografía es así. Por lo pronto, esperemos que los numerosos pilotos y proyectos de certificación electrónica en marcha en España lleguen a buen puerto.
Barómetro de Empresas
En el Barómetro de Empresas de EL PAIS que elabora Arthur Andersen, correspondiente al primer trimestre de 2000, publicado en el PAIS NEGOCIOS de 28 de mayo, hemos podido leer en el epígrafe dedicado a Internet y al Comercio Electrónico que un 68% de los directivos encuestados consideran Internet un entorno seguro para hacer negocios, un 18% no lo consideran seguro y un 14% no sabe/no contesta.
Nadie duda de la seriedad del prestigioso diario español, ni por supuesto del buen hacer del excelente equipo de profesionales de la firma auditora que ha realizado el Barómetro. Sí, sin embargo, cabe dudar del conocimiento y el grado de información en la materia de la mayoría de los directivos que han contestado sí a la pregunta en cuestión ¿Considera Internet un entorno seguro para hacer negocios? Es probable que muchos directivos de los del sí (con corbata y sin corbata) no hayan leido algunas ediciones pasadas de este magnífico periódico, en las que se ha tratado el problema de la inseguridad en las TIC de forma realista y ponderada. Así nos va en el Gremio (de seguridad).
