Las contraseñas no son el problema
La inseguridad informática está empezando a ponerse tan espesa que Apple, Google y Microsoft (que no se pueden ni ver) decidieron darles su apoyo a la Alianza FIDO y al Consorcio W3 en su esfuerzo por eliminar las contraseñas. La idea es que tu teléfono funcione como el autenticador. Esto es –aducen– porque las contraseñas que usamos no solo son malas (o sea, fáciles de adivinar) sino que además se reciclan. Esto es, usás la misma para todos los servicios. Añado que las compañías han demostrado una lamentable irresponsabilidad y se las roban cada dos por tres.
FIDO y el W3C han venido trabajando hace mucho en un estándar que vendría a liberarnos de este enojoso asunto de las contraseñas. ¿Cómo? Usaríamos una
passkey (una clave, se entiende que segura) alojada en nuestro teléfono, y usaríamos el dispositivo para autenticarnos, automáticamente. En teoría, no es una mala idea. Todavía estoy haciendo consultas sobre el alcance de esta movida, así que habrá más noticias al respecto. Pero ya hay dos asuntos que me preocupan.
Anónimo
El primero es la confusión entre contraseña y persona. Una contraseña es algo aparte de la persona. Si vamos a usar un teléfono, que básicamente es una extensión de nuestra persona, porque sabe dónde estamos y lo que hacemos a cada milisegundo, o, peor todavía, si vamos a tener que conceder (como ya lo estamos haciendo en parte) nuestros datos biométricos, entonces no estamos eliminando solo las contraseñas. Estamos eliminando también todo rastro de anonimato.
Y resulta que el anonimato es una de los cimientos del periodismo de investigación. Protegemos nuestras fuentes, y al protegerlas protegemos a la República, porque si se revela la identidad de la fuente que nos confía información sobre la corrupción en el Estado, entonces todas las demás fuentes se van a callar, por miedo.
El otro problema que este método pasa por alto es que no solo muchos usuarios todavía no están preparados para circular de forma segura por el espacio virtual, sino que pasa lo mismo con las empresas. Un ejemplo, para mostrar que para evitar los ataques hace falta mucho más que descartar las contraseñas.
Paypal, la compañía de pagos online, me viene instigando para que haga clic en un link donde se supone que me espera un premio de 5 dólares. No parece mucho, pero en la Argentina eso equivale a 1000 pesos; y, cuidado, porque la cifra podría ser simplemente un truco más de ingeniería social. Se sabe: si la limosna es grande hasta el santo desconfía.
El mail es legítimo (un amigo cobró los 5 dólares), pero en los foros de Paypal hay docenas de personas preguntando si es una trampa o qué. Pero lo realmente peligroso es que una compañía tan reconocida, seria y fundacional de internet esté fomentando la idea de que el mandar mails en los que hay que hacer clic para ganarse algo es válido. Ese es el recurso que usa el pirata. La oferta tuvo, además otras críticas, pero de mínima, la idea de mandar un link en el que te espera un premio es muy desviada.
Así que está todo mal con las contraseñas, cierto, pero la ingeniería social causa más bajas que las claves de mala calidad. Pregunto: ¿cómo van a hacer para evitar que una persona que no ha sido correctamente entrenada en el mundo digital no le entregue al pirata un PIN o su passkey? Hay formas, sí. Pero hecha la ley hecha la trampa.