Cada vez se almacena más información valiosa de forma remota, aunque es difícil mantenerla a salvo sin con ello comprometer la comodidad y la facilidad de acceso de los usuarios. La semana pasada, Uniloc, una compañía con sede en Irving, California, lanzó un producto llamado EdgeID que promete reforzar la autenticación remota mediante el uso de los dispositivos de los usuarios como llaves.

Las compañías dedicadas a los servicios en la nube, y los negocios que ofrecen acceso remoto a sus empleados, cada día están más preocupados por la seguridad de los accesos remotos.

“Todo puede subirse a la nube, aunque la identidad del usuario que se conecta al sistema tiene que estar al margen,” afirma Paul Miller, director general de marketing de Uniloc. En otras palabras, el usuario siempre tiene que acceder a los datos mediante algún tipo de instrumento físico. Miller cree que el hecho de hacer que los dispositivos sean una parte integral del proceso de autenticación ayudará a las compañías a definir límites más estrictos alrededor de sus redes.

EdgeID es parte de la reciente cosecha de productos de autenticación que dependen de la detección automática de información adicional acerca de los usuarios. A los usuarios parece gustarles la idea—una reciente encuesta llevada a cabo por el Instituto Ponemon, una compañía de investigación en en área de la seguridad y con sede en Michigan, descubrió que el 70 por ciento de los encuestados estarían dispuestos a permitir que las compañías de venta por internet utilizasen información relativa al hardware de sus ordenadores como parte del sistema de autenticación durante una compra online. Además, alrededor de un 75 por ciento señaló que preferirían un dispositivo de autenticación en vez de una palabra clave. Sin embarog, algunos expertos aún se cuestionan si este tipo de esquemas supondrían una mejora realmente en comparación con las palabras clave, y si puede que sean demasiado incómodos como para hacerse populares.

Para poder utilizar EdgeID, los usuarios deben primero registrar un dispositivo, tal y como un ordenador portátil o un smartphone, mediante la instalación de un pequeño programa de software. El programa recoge alrededor de 100 trozos de información acerca del dispositivo, desde datos básicos como el número de serie del disco duro hasta detalles que evolucionan a medida que el sistema se va utilizando, como por ejemplo la localización de los sectores defectuosos de un disco duro. Estos detalles se transfieren al servidor central, que también ejecuta el software de EdgeID.

Cuando el usuario comienza una sesión a través del dispositivo registrado, el servidor se comunica con el software de EdgeID instalado, preguntándole acerca de la información que ha sido recogida, como por ejemplo un dígito en particular del número de serie. El software mantiene una conversación, haciendo que el sistema tenga que responder a preguntas de forma continuada para poder seguir conectado. Sin embargo, puesto que hay información acerca del dispositivo que irá cambiando según se vaya utilizando, el servidor tolera una cierta cantidad de errores.

Uniloc permite que la compañía que ejecute EdgeID detemine cómo reaccionar ante los dispositivos no registrados. Un servicio web puede decidir bloquear estos dispositivos completamente, limitar las acciones que se pueden llevar a cabo con ellos, o simplemente observar el cambio. Miller señala que los usuarios serán capaces de registrar nuevas máquinas o informar acerca de máquinas que hayan sido perdidas o robadas.

Existen otros productos que llevan a cabo autenticaciones con dispositivos sin tener que instalar ningún tipo de software. Por ejemplo, Threatmetrix, con sede en Los Altos, California, ofrece a los clientes un código que se puede incrustar en las páginas web. Cuando un ordenador carga una página etiquetada, el sistema utiliza Flash y JavaScript para recoger la información acerca del navegador del usuario, el sistema operativo y las características de la red. Threatmetrix después comprueba si hay irregularidades, como por ejemplo si se sabe que la máquina ha participado en un botnet, si está accediendo al sistema a través de múltiples cuentas, o si se están tomando medidas para ocultar su localización dentro de la red.

No obstante, Rick Smith, asesor de seguridad de la información y experto en autenticación, afirma que no está claro el nivel de seguridad general que añaden estos esquemas de autenticación con dispositivos. El problema principal, afirma, es que la autenticación con dispositivos podría verse incapacitada por los intentos para acomodar las necesidades de los clientes que viajan, u otros clientes que utilicen de forma legítima dispositivos no registrados. “La solución existe,” señala Smith. “El problema es, en todo caso, que hay que añadir más mecanismos para hacer que funcione.”

Un problema específico con los sistemas desarrollados por terceros que intentan identificar los dispositivos, añade, es que el sistema operativo y el hardware de estos dispositivos ofrecen a los atacantes una forma de engañar al sistema. Smith señala que algunos sistemas de autenticación han estado diseñados con módulos de autenticación criptográfica en el sistema operativo, o en el hardware. Cree que este método ofrecería un tipo de seguridad mayor, aunque aún así podría provocar problemas a los usuarios que viajan.

Hay quienes consideran que la autenticación con dispositivos es un buen suplemento a las palabras clave. Larry Ponemon, presidente y fundador del Instituto Ponemon, afirma que espera que la autenticación con dispositivos vaya a través de un “proceso natural de adopción, prueba, modificación y refinamiento,” pero que “es algo muy prometedor a la hora de solucionar un problema que preocupa mucho a los consumidores.”