Para utilizar la última actualización de seguridad de Google hay que hacer sitio en el llavero para un dispositivo conocido como llave de seguridad.
La pequeña llave USB proporciona protección adicional para las cuentas de Google. Una vez que la llave se asocia con tu cuenta, se te pedirá que insertes el dispositivo en el ordenador cada vez que introduzcas una contraseña para iniciar sesión o, si lo prefieres, una vez al mes en los ordenadores que utilices con frecuencia.
Al tocar un botón en la llave de seguridad se activa un intercambio criptográfico con los sistemas de inicio de sesión de Google que verifica la identidad de la llave. Las llaves de seguridad se pueden comprar en varias compañías de hardware de seguridad asociadas con Google, por un poco menos de 20 dólares (16 euros).
El nuevo enfoque está dirigido principalmente a aquellos más preocupados por la seguridad. Sin embargo la tecnología utilizada sienta las bases para dispositivos físicos que desplacen a las contraseñas por completo, según declara el ingeniero de seguridad de Google, Mayank Upadhyay. La compañía ha estado trabajando en formas de reemplazar las contraseñas desde hace algún tiempo, puesto que a menudo se roban o adivinan las claves para hacerse con el control de las cuentas.
«Es un gran primer paso para resolver un problema actual, pero también para ayudar a mover el ecosistema hacia este tipo de Santo Grial», señala Upadhyay, que ha dirigido varios trabajos en Google para comprobar si otros dispositivos físicos, como los teléfonos inteligentes o incluso una pieza de joyería, podrían reemplazar las contraseñas. Este verano Google anunció que haría posible que los Chromebooks se desbloquearan de forma automática y se conectaran a una cuenta de Google al colocar cerca un teléfono Android.
Una llave de seguridad supone una versión más segura de la autenticación de dos factores, un enfoque que ya ofrecen algunas compañías web y muchos bancos y que consiste en iniciar sesión con una contraseña y un código temporal vinculado a algo físicamente en tu poder. Normalmente el código de dos factores proviene de una aplicación de teléfono, un mensaje de texto o un llavero.
Este enfoque está diseñado para evitar que un atacante acceda a tu cuenta de forma remota. Si por ejemplo Apple hubiera ofrecido una autenticación de dos factores para su servicio de copia de seguridad iCloud, los usuarios habrían estado protegidos contra los métodos utilizados por los hackers para robar las fotos de famosos que se publicaron este verano. (Desde entonces Apple ya ha desplegado la tecnología).
Sin embargo, los atacantes más sofisticados son capaces de superar la autenticación de dos factores. Pueden robar o falsear códigos interceptando mensajes de texto, hackeando el teléfono inteligente de una persona o infiltrándose en la base de datos centralizada utilizada para generar los códigos. Hay pruebas de que un ataque como este en el sistema de autenticación RSA SecurID en 2011 permitió varias brechas de seguridad en el contratista de defensa Lockheed Martin. Google se ha dirigido claramente a aquellos usuarios que podrían no estar seguros utilizando los sistemas de autenticación de dos factores existentes, según Upadhyay. «Hemos visto todo tipo de ataques», afirma.
Una llave de seguridad, como la de Google, es resistente a los ataques a distancia ya que la información necesaria para copiar una llave sólo puede obtenerse atacando físicamente el chip de seguridad dentro de la llave. La autenticación de dos factores es un método que ya se usa ampliamente en las redes corporativas. A partir de principios del próximo año, las empresas que paguen a Google por usar su correo electrónico y software de oficina podrán hacer que sus empleados utilicen llaves de seguridad para acceder a dichos servicios.
La directora del Laboratorio CyLab sobre Seguridad y Privacidad Utilizable en la Universidad Carnegie Mellon (EEUU), Lorrie Cranor, señala que es poco probable que las llaves de seguridad incrementen el atractivo de la autenticación de dos factores más allá de los que ya la utilizan. Pero la tecnología podría tener un uso más amplio si se promueve y se presenta de forma adecuada, señala. «Tal vez tenga sentido para aquellas personas que no sepan mucho sobre seguridad informática, pero que les parezca bien la idea de usar una llave física para bloquear su cuenta», afirma.
Si otras empresas decidieran adoptar la tecnología, las llaves de seguridad que se venden actualmente se podrían utilizar con servicios que no sean de Google. El dispositivo se basa en un estándar abierto llamado U2F desarrollado por la Alianza FIDO, un consorcio creado para reducir la dependencia de las contraseñas.
La directora general de Yubico, Stina Ehrensvärd, una start-up que vende llaves de seguridad, afirma que la tecnología del consorcio crea los incentivos adecuados para la adopción generalizada. «Es muy bueno para Google demostrar que funciona, y espero que muchos sigan sus pasos porque es fácil y FIDO permite la competencia», señala.
Las versiones futuras de la llave de seguridad también funcionarán con los dispositivos móviles, según Ehrensvärd, porque el estándar U2F final especificará que una llave pueda incluir un chip de comunicaciones de campo cercano sin contacto que la mayoría de teléfonos móviles más nuevos puedan leer de forma inalámbrica.
Fuente: MIT Technolgy