Está en la página 1de 17

Un nuevo mundo ms all de las contraseas | 1

www.deloittereview.com | Deloitte Review

Un nuevo mundo ms all de las contraseas | 58


Un nuevo mundo ms all de las contraseas | 58

www.deloittereview.com | Deloitte Review


www.deloittereview.com | Deloitte Review

Un nuevo mundo ms all de las contraseas | 59

Un

mundo

ms all de las

contraseas

Mejorando la seguridad, la
eficiencia y la experiencia del
usuario en la transformacin digital
Por Mike Wyatt, Irfan Saif, David Mapgaonkar
Ilustracin por Lucy Rose

a prxima vez que usted est en

contrasea, el sitio le pregunte dnde

su

de

almorz ayer; y al mismo tiempo, su reloj

acceder a informacin financiera

inteligente valide la firma de su frecuencia

sensible

computador
acerca

de,

punto

dgase,

una

cardaca

nica.

El

proceso

no

solo

adquisicin, imagine si usted no tendra

proporciona una mejor experiencia de

que empezar por recordar la contrasea

usuario

que usted gener hace algunas semanas

informacin nica acerca de usted, este

para este sitio particular: maysculas,

enfoque es ms capaz y robusto que el

minsculas,

caracteres

sistema de contraseas que discierne qu

especiales, y similares. En lugar de exigir

tan probable es que usted sea quien est

que

reclamando que es.

usted

numerales,
teclee

el

usuario

la

es

ms

seguro.

Usando

Documento original: A world beyond passwords: Improving security, efficiency, and user experience in digital transformation, Deloitte Review Issue 19, July
25, 2016. Written by Irfan Saif, Mike Wyatt, & David Mapgaonkar. Illustration by Lucy Rose. http://dupress.com/articles/moving-beyond-passwordscybersecurity/?id=us:2sm:3tw:4dup3362:5eng:6DUPress:20160810:cyberrisk:du_press&linkId=27439431
Traduccin realizada por Samuel A. Mantilla, asesor de investigacin contable de Deloitte &Touche Ltda., Colombia, con la revisin tcnica de Csar Cheng,
Socio Director General de Deloitte & Touche Ltda., Colombia.

www.deloittereview.com | Deloitte Review

Un nuevo mundo ms all de las contraseas | 60


La transformacin digital es la piedra angular de la

para ofrecer a los usuarios toda la experiencia digital

mayora de las estrategias empresariales hoy, estando

que esperan. De manera especfica, carecen de la

la experiencia de usuario en el corazn del diseo de

escalabilidad

la filosofa que orienta esa transformacin. Pero la

aplicaciones en lnea que estn siendo usadas hoy, y

mayora de las experiencias de usuario para

no ofrecen la fluidez de la experiencia que los

clientes, socios de negocio, empleados de primera

usuarios de manera creciente han llegado a esperar y

lnea, y ejecutivos comienza con una transaccin

demandar. Inevitablemente, los usuarios asediados

que es tanto molesta y, en trminos de seguridad, uno

ignoran las recomendaciones 3 y usan la misma

de los eslabones ms dbiles. De hecho, las

contrasea

contraseas dbiles o robadas son la causa raz de

vulnerabilidad de cada sistema al cual ingresan.

ms de tres cuartos de los ataques cibernticos

Quizs an ms importante, las contraseas carecen

como

cualquier

una

respaldar

otra

la

vez,

mirada

agravando

de

la

lector

de la escalabilidad para proporcionar una respuesta

probablemente sabe, las violaciones cibernticas

de autenticacin que est ajustada al valor de la

corporativas a menudo cuestan muchos millones de

transaccin; en otras palabras, los sistemas fuertes de

dlares en gastos de tecnologa, legal, y relaciones

contraseas que requieren polticas complicadas

pblicas y mucho ms luego de los golpes menos

sobre uso de caracteres y extensin de la contrasea

tangibles pero ms dainos a reputacin o

hacen que los administradores del sistema sean

calificaciones de crdito, prdida de contratos, y

incapaces de tener acceso a la fortaleza de cualquier

otros costos. Apuntalar la vulnerabilidad de la

contrasea dada. Sin tal conocimiento, las empresas

contrasea probablemente significara menor riesgo

se esfuerzan por tomar decisiones informadas

ciberntico corporativo para no mencionar el

basadas-en-el-riesgo sobre cmo tener capas de

aumento de la productividad del usuario, y la

contraseas junto con otros factores de autenticacin.

corporativos,

para

plusvala de clientes agradecidos, y la reduccin de


gastos de administracin del sistema de administrar

EL

de manera rutinaria las contraseas olvidadas y

LMITES HUMANOS

SIGLO

21

CUMPLE

CON

LOS

biometra, analticas del usuario, aplicaciones del

Internet de las cosas, y ms les ofrecen a las

crean una nueva cuenta cada pocos das, eso parece,

bloqueadas de los empleados.


Las buenas noticias, para los CIO as como tambin
para quienes se cansan de memorizar contraseas
cada vez ms largas, es que las nuevas tecnologas

compaas la oportunidad para disear un paradigma


fresco basada en confianza bilateral, experiencia del
usuario, y seguridad mejorada del sistema. La
ejecucin exitosa puede ayudar tanto a acelerar el
negocio como a diferenciarlo en el mercado.
De hecho, la capacidad para tener acceso a
informacin digital seguramente sin la necesidad de
usuario y contrasea representa una actualizacin
largamente esperada para el trabajo y la vida. Las
contraseas carecen de la escalabilidad requerida

ace veinte aos, el consumidor tpico


solo tena una contrasea, para el correo
electrnico, y probablemente era el
mismo nmero de cuatro dgitos del

PIN de su cuenta bancaria. Hoy, los usuarios en lnea


cada una requiriendo una contrasea compleja: para
tener acceso a informacin corporativa, compra de
calcetines, pago de facturas de servicios pblicos,
verificacin de inversiones, registro para operar un
10K, o simplemente iniciar sesin en el sistema de
correo electrnico del trabajo. Para el 2020, algunos
predicen, cada usuario tendr 200 cuentas en lnea,
cada una requiriendo una contrasea nica. 4 De

acuerdo con una encuesta reciente, el 46 por ciento


de

quienes

contraseas.

respondieron

tienen

10

ms

www.deloittereview.com | Deloitte Review

Un nuevo mundo ms all de las contraseas | 61


Y las demandas por seguridad de las contraseas
estn llegando a los lmites de las capacidades
humanas, tal y como se muestra en la figura 1. De
acuerdo con el siclogo George Miller, los humanos
son mejores recordando nmeros de siete dgitos,
En
una
era
ms
o
menos
dos. 6

donde una contrasea de ocho caracteres le llevara a


un atacante de alta potencia 77 das para agrietarla, la
poltica que requiere el cambio de contrasea cada 90
das significara que una contrasea de nueve
caracteres sera suficientemente segura. 7

Figura 1. Por qu las contraseas son problemticas

Costos de
oficina de apoyo
Costos de
adquisicin de
tecnologa
Costos de
administracin y
operaciones

Los costos estn


aumentando

Impacto de
la violacin

En el ao 2015, el
costo promedio de una
violacin corporativa
aument 7.6 por
ciento a $3.79 billones

Seguridad

Carencia de
usabilidad

El 41% de las
personas tienen
seis o ms
contraseas
El 42% anota las
contraseas

Los computadores
ms rpidos hacen
que sean ms fciles
los agrietamientos
Los medios de
comunicacin
sociales hacen que
sea ms fcil
adivinar las
contraseas

El 23% siempre
usa la misma
contrasea
Ms del 60% de los
adultos en lnea
usan al menos dos
dispositivos cada
da

Fuentes: RoboForm, Password security survey resultspart 1, http://www.roboform.com/blog/password-security-surveyresults, accessed April 21, 2016; Philip Inglesant and M. Angela Sasse, The true cost of unusable password policies: Password
use in the wild, Proceedings of the SIGCHI Conference on Human Factors in Computing Systems (2010): pp. 383392;
PortalGuard, Top 10 real costs associated with requiring multiple passwords, 2011; Tom Rizzo, The hidden costs of passwords,
ScorpionSoft, August 20, 2015, http://insights.scorpionsoft.com/the-hidden-costs-of-passwords; Victoria Woollaston, Think you
have a strong password? Hackers crack 16-character passwords in less than an HOUR, Daily Mail, May 28, 2013; Matt Smith,
The 5 most common tactics used to hack passwords, makeuseof, December 20, 2011, http://www.makeuseof.com/tag/5common-tactics-hack-passwords/; Ponemon Institute, 2015 cost of data breach study: Global analysis, May 2015; Olly Robinson,
Finding simplicity in a multi-device world, GfK Insights Blog, March 6, 2014, http://blog.gfk.com/2014/03/finding-simplicity-ina-multi-device-world/.
Grfica: Deloitte University Press | DUPress.com

www.deloittereview.com | Deloitte Review

Un nuevo mundo ms all de las contraseas | 62


Pero tal contrasea larga especialmente cuando es una
de muchas y cambia de manera regular comienza a
forzar la memoria de las personas. El resultado
inevitable: las personas vuelven a usar las mismas
contraseas dbiles para mltiples cuentas, colocan notas
adhesivas a los monitores de sus computadores,
comparten las contraseas, y frecuentemente se apoyan
en la funcin de contrasea olvidada que tienen los sitios
web. En una encuesta reciente realizada a usuarios de los
Estados Unidos y del Reino Unido, el 23 por ciento
admiti que siempre usa la misma contrasea, con el 42
por ciento anotando las contraseas. Si bien el 74 por
ciento inicia sesin en seis o ms sitios web o
aplicaciones durante un da, solo el 41 por ciento usa seis
o ms contraseas nicas. 8 De acuerdo con otra encuesta,
ms del 20 por ciento de los usuarios de manera rutinaria
comparten las contraseas, y el 56 por ciento vuelve a
usar contraseas a travs de las cuentas personales y
corporativas. 9 El software de administracin de
contraseas parcialmente alivia este problema particular,
pero en ltimas todava est atado a la construccin de la
contrasea. 10
Incluso si un empleado sigue todas las regulaciones y
tiene seis contraseas fuertes distintas que recuerde,
todava puede ser vulnerable. Los humanos todava estn
incentivados o son engaados para revelar sus
contraseas. Hay malware, o software malicioso
instalado en los computadores; hay phishing, en el cual
los ladrones cibernticos se apropian de los datos de
inicio de sesin, tarjetas de crdito, y otros datos bajo la
apariencia de sitios web o aplicaciones aparentemente
legtimos; e incluso hay ataques de da cero, en el cual
los hackers explotan las vulnerabilidades del software
sobrecargado. 11 Y por supuesto, persisten los ataques
humanos de vieja data, incluyendo la navegacin a travs
del hombro para observar a los usuarios escribiendo sus
contraseas, saltando para encontrar la informacin de la
contrasea, suplantando las figuras de autoridad para
extraer contraseas de los subordinados, discerniendo
informacin acerca de las personas proveniente de
medios de comunicacin social para cambiar su
contrasea, y empleados que venden contraseas
corporativas.

No extraan los costos operacionales de mantener


contraseas, incluyendo gastos de oficinas de apoyo para
quienes hayan olvidado las contraseas, y prdidas de
productividad a causa de que estn aumentando
demasiados intentos de bloqueo y otros problemas.
Incluso ms inquietante, el cada vez ms creciente poder
de computacin est facilitando nuevos ataques de
fuerzas brutas para simplemente adivinar contraseas. El
futuro de la contrasea es tanto costoso como lleno de
tensin.

El 74 por ciento inicia sesin en seis o


ms sitios web o aplicaciones durante
un da. 12
El 20 por ciento de los usuarios de
manera rutinaria comparten las
contraseas. 13
El 56 por ciento vuelve a usar
contraseas a travs de las cuentas
personales y corporativas. 14

DE LA GEOLOCALIZACIN HACIA LA
BIOMTRICA

os lderes corporativos son bien conscientes

de que la estrategia de informacin y acceso


estn en el corazn de casi todos los negocios
hoy. Es el momento para reconocer tambin
que la contrasea el mecanismo histricamente usado
para
implementar
esta
estrategia

est
fundamentalmente
fracturada.
Dadas
sus
responsabilidades fiduciarias y de gobierno, las juntas de
directores y los ejecutivos directores tienen la deuda
frente a los stakeholders de proteger el tesoro corporativo
la informacin digital mediante proporcionar
protecciones ms robustas ante el acceso en lnea. A su
vez, inversionistas, clientes, empleados, socios,
proveedores, y otros se beneficiarn de la proteccin ms
fuerte de los datos corporativos unida a acceso ms fcil
para los usuarios legtimos, reforzando as la confianza
bilateral que est en el corazn de cualquier relacin de
negocios saludable.

www.deloittereview.com | Deloitte Review

Un nuevo mundo ms all de las contraseas | 63


DESDE LA GRECIA ANTIGUA HACIA LA ERA DIGITAL
Las contraseas han estado en uso desde tiempos antiguos para el mismo propsito que hoy:
establecer las credenciales de uno para el acceso a los activos protegidos. El establecimiento
de la autoridad de esta manera depende de presentar algo que usted conoce la contrasea
para que sea autenticado contra el valor registrado. Tal y como lo muestra la figura 2, las
contraseas han sido la piedra angular de nuestra historia, incluyendo servir como la clave
digital durante los ltimos 50 aos. Adems, las contraseas digitales usadas posean
ventajas: eran simples, fciles de usar, y relativamente convenientes. Podran ser cambiadas,
si llegaran a estar comprometidas. De manera conveniente, podran ser compartidas, si bien
esta prctica compromete la seguridad. Dado que las contraseas son el estndar que
prevalece, las polticas corporativas que las gobiernan estn bien establecidas, as como los
sistemas de administracin de la identidad y del acceso que las respaldan.
Figura 2. La contrasea a travs de la historia

Fuentes: Black, The language of espionage: Signs, countersigns, and recognition, Imminent Threat Solutions, August 11, 2015;
David Walden and Tom Van Vleck, eds., The Compatible Time Sharing System (19611973): Fiftieth anniversary commemorative
overview, IEEE Computer Society, 2011; Password security: Past, present, future, Openwall, 2012.
Grfica: Deloitte University Press | DUPress.com

www.deloittereview.com | Deloitte Review

Un nuevo mundo ms all de las contraseas | 64

De manera creciente, consumidores, empleados, y


socios, todos ellos esperan interacciones digitales
perfectamente integradas, conduciendo a un cambio
fundamental del paradigma de la manera como las
compaas ayudan a concebir, usar, y administrar las
identidades. Apoyando el cambio de imagen, las
nuevas credenciales de inicio se sesin pueden incluir
no solo lo que usted conoce o una contrasea
especfica sino tambin quin es usted y qu tiene
usted, junto con dnde est usted y qu est
haciendo usted. Pueden incluir deteccin de patrones
personales para tener acceso a cierta informacin
segn la hora del da y el da de la semana, otras
evaluaciones dinmicas y contextuales de las
caractersticas comportamentales de los usuarios,
geolocalizaciones de los individuos, biomtricas, y
smbolos. Los sistemas que confan en la autenticacin
estn evolucionando para volverse adaptativos y
pueden generar una alerta ante un intento de
autenticacin que sea demasiado riesgoso si no se
satisface el uso tpico de los patrones incluso aunque
las credenciales bsicas puedan parecer correctas y
el sistema puede entonces aumentar la autenticacin,
desafiando al usuario para que proporcione prueba
adicional para verificar su identidad. A causa de su
ubicuidad, el telfono mvil es el dispositivo ms
obvio en el cual ocurre la autenticacin, pero los
capitalistas de riesgo tambin estn financiando
compaas que creen otros dispositivos conectados,
tales como pulseras que identifiquen el latido del
corazn que es nico de uno y dijes de USB que
realizacin mquina-a-mquina sin requerir que un
humano escriba un cdigo de acceso. 15

Las fuerzas estn convergiendo para una revisin.


Desde la perspectiva de la tecnologa, tenemos
increbles modalidades nuevas de autenticacin
adems de las contraseas, y la capacidad de
computacin para hacer el anlisis para tomar
decisiones
informadas,
dice
Ian
Glazer,
vicepresidente del consejo de administracin de
Identity Ecosystem Steering Group, un grupo liderado
por el sector privado que trabaja con el gobierno
federal para promover la autenticacin digital ms
segura. Tambin nos estamos sobreponiendo a uno de
los mayores desafos: nosotros ponemos la plataforma
de autenticacin en las manos de cada uno en la forma
de un telfono inteligente. 16
Para las compaas, navegar el cambio desde lo
heredado hacia nuevos sistemas nunca es fcil. Pero
mediante seguir un enfoque basado-en-el-riesgo,
pueden crear una hoja de ruta bien considerar para
hacer el cambio mediante focalizar la inversin y la
implementacin en las operaciones de negocio de
prioridad ms alta. Comenzando con un piloto para
probar las opciones seleccionadas, las compaas
pueden entonces ampliar las soluciones exitosas donde
ms se necesiten. Por encima de todo, es crucial
establecer pronto la ruta del cambio. Despus de todo,
los negocios estn operando en un tiempo donde la
innovacin y el crecimiento continuados dependen
ms que nunca de la integridad de la informacin.

www.deloittereview.com | Deloitte Review

Un nuevo mundo ms all de las contraseas | 65

LOS NUEVOS PORTEROS


on los costos de proteccin de la
contrasea aumentando en tiempo,
riesgo, y dlares las empresas estn
mirando
implementar
enfoques
flexibles
basados-en-el-riesgo:
requerir la autenticacin del usuario
con una fortaleza que sea proporcional
con el valor de la transaccin que est siendo
solicitada. Afortunadamente, tal y como se muestra en
la figura 3, estn surgiendo varias tecnologas que
pueden ser combinadas de una manera que satisfaga al
mismo tiempo la tolerancia de la empresa ante el riesgo

y la flexibilidad del usuario. Tecnologas emergentes


tales como la cadena de bloques 17 estn posicionadas
para reemplazar con mltiples factores la
vulnerabilidad de la contrasea nica.
Tener mltiples porteros, en cascada, fortifica la
seguridad mediante requerir puntos de chequeo
adicionales. A ms diferentes pruebas de identidad
requeridas a travs de rutas separadas, ms difcil es
para el ladrn robar su identidad o suplantar la suya.
De igual manera, las plataformas del consumidor estn
pavimentando la manera para proporcionar
experiencia mejorada del usuario mediante empoderar
a los consumidores para que escojan cmo tener acceso
a la informacin digital.

Figura 3. Un nuevo mundo con muchos porteros

Grfica: Deloitte University Press | DUPress.com

www.deloittereview.com | Deloitte Review

Un nuevo mundo ms all de las contraseas | 66


La economa del enviar mensajes de texto, del

Para otro nivel de proteccin, adems de la entrega en

compartir, y de las aplicaciones mviles, ha hecho que

diferentes dispositivos, los factores requeridos para

as comunicaciones inmediatas, en lnea, y suaves,

autenticacin pueden variar segn el tipo. En un

sean ubicuas. En una reversa a una era anterior, los

proceso de autenticacin de dos factores, por ejemplo,

consumidores son ahora quienes adoptan primero,

el usuario podra escanear su retina va la cmara en

seguidos por las empresas. Por consiguiente, en la

su computador porttil o en su telfono inteligente,

medida en que el telfono inteligente se convierte en

usando informacin biomtrica como un primer paso

centro de actividad digital de los consumidores, en su

para obtener acceso a su cuenta bancaria en lnea. En

persona casi en todo momento, est bien posicionado

un segundo paso, el banco podra enviar al telfono

para desempear una funcin central. Ya, la mayora

mvil del usuario un desafo va mensaje de texto,

de quienes tienen entre 16 y 24 aos perciben la

requiriendo que el usuario replique el mensaje de

seguridad como un paso molesto extra antes de hacer

texto para finalizar la autenticacin.

un pago en lnea y consideran que la seguridad


biomtrica sera ms rpida y ms fcil que las

Uno de los factores nuevos ms populares para la

En funcin de esas tendencias,

autenticacin son las tecnologas biomtricas, las

compaas lderes de tecnologa fundaron en el ao

cuales no requieren memorizacin de combinaciones

2012 la Fast IDentity Online Alliance para avanzar

complejas de letras, nmeros, y smbolos, mucho

nuevos estndares tcnicos para nuevos sistemas de

menos con la combinacin que usted us como

autenticacin en lnea abiertos, inter-operables, y

recurso. 20 Simplemente es parte de usted de su

escalables, sin contraseas. 19

huella dactilar, voz, rostro, ritmo cardaco, e incluso

contraseas.

18

movimientos caractersticos. Las biomtricas que


Para mantener la seguridad y proporcionar mayor

puedan ser capturadas mediante las cmaras de los

conveniencia para el usuario, un precepto clave en los

telfonos

recientes sistemas de inicio de sesin que estn

probablemente se convertirn en las que prevalezcan

evolucionando es la autenticacin de mltiples

primero, incluyendo huellas dactilares, iris, voz, y

factores. Gmail y Twitter, entre otros, hoy despliegan

reconocimiento

esta solucin en una forma sencilla: les proporcionan

biomtricos contra un dispositivo de confianza que

a los usuarios el envo a sus telfonos mviles de un

solo usted posee en oposicin a un depsito central

cdigo por una vez, adems de la tradicional

est surgiendo como el enfoque preferido. Por

contrasea que se ingresa en la pantalla del

ejemplo, usted podra usar sus huellas dactilares para

computador porttil del usuario. La seguridad

tener acceso a un recurso particular en su propio

mejorada que viene de la autenticacin ocurre en dos

telfono inteligente, el cual a su vez enva su propia

dispositivos de propiedad del usuario. Un ladrn

firma nica de dispositivo a un mecanismo de

ciberntico tendra que tener acceso al telfono del

autenticacin que le otorga a usted acceso. 21 Esta es

usuario, adems de su contrasea en lnea, para tener

la base para la escalabilidad de la autenticacin a

acceso a la cuenta protegida.

travs de mltiples servicios en lnea, y es el modelo

inteligentes

de

voz.

grabadoras

Chequear

de

sus

voz

datos

que adopt la Fast IDentity Online Alliance.

www.deloittereview.com | Deloitte Review

Un nuevo mundo ms all de las contraseas | 67


AUTORIZACIN BASADA-EN-EL-RIESGO, EN ACCIN
En un ejemplo hipottico (figura 4), un usuario corporativo usualmente inicia sesin alrededor
de las 8:30 am. PTS, inicia sesin a las 6 p.m., e inicia sesin de nuevo alrededor de las 9:30
p.m. Tpicamente, inicia sesin en las oficinas corporativas en Palo Alto o Sunnyvale, teniendo
acceso a los sistemas de su compaa durante el da va un computador porttil o un
computador de escritorio de la compaa.
El lunes, el usuario intenta iniciar sesin desde su oficina de Sunnyvale a las 11 a.m., usando
un computador de trabajo para tener acceso al sistema financiero corporativo. El usuario est
iniciando sesin en un computador de la compaa desde su oficina durante sus horas
regulares por informacin a la cual tpicamente accede. El sistema le otorga acceso.
Al da siguiente, el usuario intenta iniciar sesin desde el Aeropuerto Internacional de Los
ngeles a las 7 p.m., usando un computador porttil de la compaa para tener acceso a la
lista de festivos de la compaa en el sistema de beneficios internos. Si bien esta localizacin
y hora son inusuales, los otros factores son tpicos para l, y la informacin no es sensible. El
sistema le otorga acceso.
El da siguiente, un hacker intenta iniciar sesin desde Belaurus a las 3 a.m., con el usuario y
la contrasea para tener acceso a los diseos de un producto todava no lanzado, en un
servidor interno de desarrollo. El usuario, la contrasea, y la direccin de IP son legtimos,
pero los otros factores tales como localizacin, hora, y la informacin solicitada son
altamente atpicos para este usuario. El sistema implementa controles que inician tcnicas de
autenticacin para verificar la identidad del usuario por ejemplo, enviando al telfono del
usuario un cdigo de autenticacin por una vez. Dado que el hacker en este escenario no tiene
el telfono del usuario, es incapaz de ingresar el cdigo de autenticacin, y el sistema niega
el acceso.
Figura 4. Autenticacin del usuario basada-en-el-riesgo

Grfica: Deloitte University Press | DUPress.com

www.deloittereview.com | Deloitte Review

Un nuevo mundo ms all de las contraseas | 68


El conjunto separado de factores de autenticacin llega
bajo la rbrica de qu tiene usted no solo telfonos
inteligentes sino quizs smbolos de seguridad
transportados por individuos, smbolos facilitados por
software, o incluso una adaptacin de las bases de datos
de las cadenas de bloques usadas por bitcoin. Las claves
del hardware de USB les permiten a los trabajadores
iniciar sesin mediante ingresar su usuario y
contrasea, seguidos por un cdigo de acceso generado
por el llavero en intervalos de tiempo establecidos. Los
smbolos del software operan de manera similar, con
una aplicacin del telfono inteligente, por ejemplo,
generando los cdigos. Ms lejos, el uso potencial de la
tecnologa distribuida de las cadenas de bloques podra
ayudar a proporcionar un sistema ms seguro y
descentralizado para la autenticacin.
Una de las posibilidades ms intrigantes en los nuevos
controles de acceso est en la autorizacin basada-enel-riesgo, un sistema dinmico que otorga acceso
dependiendo de la confiabilidad de la solicitud de
admisin del usuario y de la sensibilidad de la
informacin protegida. Con el Project Abacus, el
Advanced Technology and Projects de Google est
desarrollando aprendizaje de mquina para autenticar a
los usuarios con base en mltiples valoraciones de su
comportamiento. 22 Usando sensores tales como la
cmara, el acelermetro, y las funciones de GPS, los
telfonos inteligentes pueden obtener un rango amplio
de informacin acerca de los usuarios, incluyendo
expresiones faciales tpicas, sus geolocalizaciones
habituales, y cmo escriben, caminan y hablan. Juntos,
esos factores son 10 veces ms seguros que las huellas
dactilares y 100 veces ms seguros que los PIN de
cuatro dgitos. 23 Con tales capacidades, el telfono del
usuario, u otro dispositivo, puede constantemente
calcular un puntaje de verdad el nivel de confianza
de que el usuario es quien reclama ser. Si el sistema
tiene duda, solicitara ms credenciales mediante el
aumento de la autenticacin para verificar la identidad
del usuario o para negar el acceso.
Tal puntaje de verdad es til para disear protecciones
para la informacin, dependiendo de su sensibilidad.
Las aplicaciones de la banca, por ejemplo, requeriran

puntajes de verdad muy altos; el acceso a sitios


generales de noticias podra requerir menos. Para la
adopcin generalizada de este enfoque, las compaas
tienen que tener en cuenta los problemas de la
privacidad del consumidor.
LA MEJOR DEFENSA

ara ilustrar cmo una compaa puede adoptar

el nuevo sistema, asuma el escenario hipottico


de una cadena minorista que descubre el robo de
informacin de la tarjeta de crdito del cliente. Para
fortificarse contra ataques futuros, la cadena realiza una
valoracin a nivel de toda la compaa respecto de sus
potenciales vulnerabilidades y descubre tres
debilidades que habran podido llevar al ataque:
Primero, el equipo de administracin del servidor
conserva los nombres del usuario y las contraseas en
un archivo de texto no encriptado en un directorio
compartido. Para conveniencia, los administradores del
almacn comparten sus contraseas de los sistemas de
registro de efectivo en el punto de venta [point-of-sale
(POS)], dndoles a los asociados del almacn mayores
privilegios para emitir devoluciones, hacer cambios, y
similares. Por ltimo, para simplificar la integracin,
las contraseas de proveedores terceros se establece
que nunca expiren.
El minorista considera varias opciones nuevas de
autenticacin para fortalecer la seguridad en los puntos
de venta, que el anlisis sugiere eran probablemente los
ms culpables para la violacin. A causa del
inconveniente los administradores estn en contra de
requerir de nuevo que los empleados ingresen una
contrasea por una vez entregada por telfono
inteligente cada vez que desean tener acceso al sistema.
En lugar de ello, optan por probar en una divisin de
los almacenes una combinacin de huellas dactilares
y reconocimiento facial para autenticar en los sistemas
POS los inicios de sesin de los asociados del almacn.
No solo es ms conveniente para los usuarios, esta
opcin aprovecha la infraestructura existente. Usando
cmaras ya en funcionamiento para monitorear la
actividad del POS, combinada con una aplicacin de
escaneo de huellas adicionada al inicio de sesin del
hardware de tacto de la pantalla de POS, la compaa
www.deloittereview.com | Deloitte Review

Un nuevo mundo ms all de las contraseas | 69


lanz el piloto sin hardware adicional, gastando
principalmente en los costos de desarrollo del software
de un tercero. Los resultados: los asociados del almacn
aprecian los inicios de sesin ms fciles y ms rpidos;
la compaa hace forzosos los derechos apropiados
para un usuario dado; y el recuerdo constante de la
cmara del POS ayuda a reducir el robo entre los
asociados.
Con el xito del piloto, el minorista implementa la
solucin a travs de todos los 1,500 almacenes,
actualizando las polticas para adicionalmente asegurar
la seguridad para el nuevo sistema, incluyendo la
aplicacin de las huellas dactilares y la autenticacin
facial para operaciones de seguridad ms alta con
mayor impacto y mecanismos seguros de recuperacin
para los factores de autenticacin comprometidas.
La compaa tambin se compromete en actividades
educativas para los asociados del almacn. Los
entrenadores del almacn local enfatizan la facilidad de
uso del nuevo sistema, su efectividad contra las
vulnerabilidades detrs del robo ciberntico original, y
la disposicin de la compaa para invertir en las
ltimas tecnologas para beneficio de empleados y
clientes.
Adems, los entrenadores comparten documentos que
explican cmo funciona la solucin, con
aseguramientos fuertes de que la informacin
biomtrica capturada no ser usada para propsitos
diferentes a la autenticacin del POS.

NO SOLO SEGURIDAD
TRANSFORMACIN DIGITAL

overse ms all de las contraseas no

es solo una ola del futuro hoy tiene


sentido econmico. Una encuesta
reciente realizada a compaas de los
Estados Unidos encontr que cada empleado pierde, en
promedio, $420 anualmente lidiando con contraseas. 24
Con el 37 por ciento de los encuestados reseteando sus
contraseas ms de 50 veces por ao, las solas prdidas
en productividad pueden ser asombrosas. 25 Cuando se
tiene en cuenta el costo del personal de apoyo y de las

oficinas de ayuda requeridos, los ahorros provenientes


de solo eliminar las contraseas dejando aparte las
ventajas de seguridad pueden comenzar a justificar
rpidamente la transicin. Adems, facilitar las tareas
diarias de los empleados puede mejorar la felicidad y la
productividad del empleado: la investigacin realizada
en los departamentos de reclamos en el Reino Unido
encontr una correlacin entre el mejoramiento del
proceso y la actitud y retencin del empleado, e incluso
variables tan lejanas como el desempeo financiero de
la organizacin. 26
Es verdad, abandonar el sistema heredado de
contraseas familiar, aunque sin embargo irritante
y adoptar nuevos mtodos de inicio de sesin puede
parecer de enormes proporciones para administradores,
usuarios, y clientes. Cualquiera de esas migraciones
requiere una inversin y un plan de implementacin, de
visin clara, animado a sobreponerse a desafos muy
reales. Primero, desde la perspectiva tcnica, ningn
sistema es hermtico. Si los telfonos inteligentes o los
smbolos son el eje, los dispositivos perdidos o robados
podran introducir riesgo: tal y como es el caso de la
prdida de la tarjeta de crdito, el usuario tendra que
contactar al emisor del dispositivo o a la autoridad de
autenticacin para reportar la prdida y conseguir el
reemplazo. Los delincuentes algunas veces usan la
cuenta de recuperacin de los factores de autenticacin
de prdida para secuestrar cuentas. 27 Y los telfonos
mviles pueden ser un vnculo dbiles, dado que las
comunicaciones inalmbricas a menudo no estn
encriptadas y pueden ser robadas estando en trnsito. 28
Incluso las tecnologas biomtricas no son seguras ante
la falla muchas son difciles de engaar pero no son a
prueba de engao. Las huellas dactilares, por ejemplo,
pueden ser falsificadas utilizando plastilina. 29 Los
diseadores del sistema pueden abordar esas
vulnerabilidades potenciales mediante implementar la
deteccin de la vitalidad [liveliness detection] en los
sensores y almacenar la informacin biomtrica de una
manera especfica para la aplicacin, pero estas
tcnicas no estn listas para ser implementadas
plenamente. Tampoco lo son la mayora de sistemas
basados-en-analticas, los cuales no entregaran la lista
completa de beneficios sin cambios a los procesos de
www.deloittereview.com | Deloitte Review

Un nuevo mundo ms all de las contraseas | 70


negocio. Por ejemplo, considere el sistema de
seguridad basado-en-la-reputacin que se discute en el
recuadro Autenticacin del usuario basada-en-elriesgo. All, las defensas examinan no solo el intento
del ID del usuario para tener acceso al sistema sino
tambin su localizacin, hora, patrones de
comportamiento, y los datos a los cuales desea tener
acceso; en los casos en que esos marcadores fueran
inusuales, el sistema niega el acceso a datos sensibles
del negocio. Este es un excelente enfoque de seguridad
pero es predicado en una organizacin que conoce y
controla todos sus datos: usted puede ser consciente si
alguien est intentando tener acceso a datos sensibles
solo si usted ha clasificado esa informacin como
sensible y ha determinado sus protocolos para el
acceso.

el entorno especfico de trabajo. Las soluciones del


software de autenticacin basada-en-estndares
ayudan a evitar los costos de infraestructura nueva
y tambin sientan las bases para la integracin de
las soluciones de la siguiente generacin.

Pruebe. Luego de seleccionar una(s) solucin(es)


prometedora(s), realice el piloto en una o en unas
pocas operaciones de negocio de prioridad alta. En
esos ensayos, recaude los datos y la
retroalimentacin a partir de la experiencia de los
usuarios. Los usuarios son capaces de adoptar la
solucin fcil e intuitivamente? El ms fcil
acceso en lnea hace que su trabajo sea ms
eficiente? El acceso en lnea est siendo usado
correctamente ms a menudo de una manera que
proporciona mayor seguridad? Los usuarios
plantean preocupaciones de seguridad u otras
acerca de cualesquiera soluciones dinmicas,
biomtricas o adaptivas, con base en sus normas
comportamentales? Desde la perspectiva del
administrador en lnea, cul es la experiencia en
los costos de mantenimiento del nuevo sistema,
comparado con el viejo sistema de contraseas?

Ample. Aprovechando las lecciones derivadas del


piloto, aplique la solucin a un conjunto ms
amplio de operaciones clave, hacindolo por fases
con base en la priorizacin.

Modernice y eduque. Actualice las polticas de


acceso. Reemplace las polticas sobre la seguridad
de la contrasea con polticas basadas-en-el-riesgo
para la autenticacin basada en la sensibilidad de
la informacin solicitada. Ensee a los usuarios
cmo funciona el nuevo sistema, centrndose en
sus ventajas sobre la tecnologa vieja.

Concedido, moverse ms all de las contraseas puede


sonar abrumador, requiriendo
actualizaciones
importantes de tecnologa as como tambin cambios a
la administracin interna del conocimiento y a otros
procesos de negocio. Pero las organizaciones pueden
dar pasos incrementales (figura 5) en el camino hacia
una transicin suave. Lo que sigue ofrece una hoja de
ruta:

Priorice. Valore las prioridades estratgicas del


negocio contra el panorama de las amenazas e
identifique las debilidades en los sistemas de
autenticacin para las operaciones clave de
negocios clasificadas segn su importancia.
Investigue. Examine las posibles soluciones para
autenticacin ms fuerte, evaluando las ventajas y
desventajas en la proteccin contra las principales
amenazas y la capacidad para proporcionar una
respuesta prctica, costo-efectiva, y escalable para

www.deloittereview.com | Deloitte Review

Un nuevo mundo ms all de las contraseas | 71


Figura 5. Cinco cosas que los ejecutivos pueden hacer ahora

Grfica: Deloitte University Press | DUPress.com

Los avances tecnolgicos les estn dando a las


organizaciones la oportunidad para comenzar a
moverse ms all de las contraseas y deben
considerar seriamente darse esa oportunidad,
especialmente en la meda en que las amenazas
cibernticas se amplan. Dados la pobre experiencia
que el usuario tiene con los mecanismos de
contraseas, los costos en aumento, y las debilidades
de la seguridad, las compaas deben considerar
migrar hacia los nuevos sistemas de autenticacin
digital que cumplen con los dos objetivos de fortalecer
la proteccin y mejorar la experiencia del usuario.

Las organizaciones pueden iniciar su camino


mediante comenzar a invertir en soluciones de
autenticacin no-basadas-en-contraseas, hacindolo
como parte de sus esfuerzos de transformacin digital,
tal como la adopcin rpida de plataformas de
software-como-un-servicio e iniciativas omnicanal
para el compromiso del cliente. Esas nuevas reas de
solucin pueden servir como el fundamento para
iniciativas de autenticacin ms amplias para la
empresa, lo cual puede llevar tiempo. Si bien durante
algn tiempo podemos tener que vivir con las
contraseas dadas las restricciones de las plataforma
heredada y dadas las limitaciones de tecnologa, no
hay razn para demorar la integracin de iniciativas
de autenticacin que no sean contraseas. DR.

En el original: omnichannel = omnicanal = mltiples canales transversales (N del t).

www.deloittereview.com | Deloitte Review

Un nuevo mundo ms all de las contraseas | 72

Mike Wyatt es el director administrativo de la prctica Cyber Risk Services de Deloitte & Touche LLP, donde lidera
los servicios de solucin digital e identidad de la empresa para la prctica Advisory de Deloitte.
Irfan Saif es director en la prctica Cyber Risk Services de Deloitte & Touche LLP. Sirve como el lder del sector de
US Advisory Technology y tambin es lder del programa CIO de Deloitte y de la prctica Cyber Risk.
David Mapgaonkar es director en la prctica Cyber Risk Services de Deloitte & Touche LLP, especializado en
administracin de identidad y acceso.
Los autores desean darles las gracias a Abhi Goel, Colin Soutar, y Ian Glazer por sus importantes contribuciones a
este artculo.
NOTAS FINALES
1
LaunchKey, The decentralized authentication and authorization platform for the post-password era, May 2015,
https://launchkey.com/white-paper.
2
Para ms sobre los costos ocultos de los ataques cibernticos, particularmente en relacin con propiedad intelectual, vea Emily
Mossburg, J. Donald Fancher, and John Gelinne, The hidden costs of an IP breach: Cyber theft and the loss of intellectual property,
Deloitte Review 19, July 2016, http://dupress.com/articles/loss-of-intellectual-property-ip-breach.
3
Brian X. Chen, Apps to manage passwords so they are harder to crack than password, New York Times, January 20, 2016,
www.nytimes.com/2016/01/21/technology/personaltech/apps-to-manage-passwords-so-they-are-harder-to-crack-thanpassword.html.
4
Guillaume Desnos, How will we manage 200 passwords in 2020?, ITProPortal, September 13, 2015,
www.itproportal.com/2015/09/13/how-will-we-manage-200-passwords-in-2020/; Steve Cook, Could biometric give us a world
without passwords?, LinkedIn Pulse, September 17, 2015, www.linkedin.com/pulse/could-biometrics-give-us-world-withoutpasswords-steve-cook.
5
Ian Barker, 84 percent of people support eliminating passwords, BetaNews, October 2015, http://betanews.com/2015/08/27/84percent-of-people-support-eliminating-passwords/.
6
Hossein Bidgolli, editor, Handbook of Information Security (Hoboken, NJ: John Wiley & Sons, 2006), p. 434.
7
Ibid, p. 433.
8
RoboForm, Password security survey results, www.roboform.com/blog/password-security-survey-results, accessed April 5, 2016.
9
Rob Waugh, What are the alternatives to passwords?, WeLiveSecurity, February 5, 2015,
www.welivesecurity.com/2015/02/05/alternatives-passwords/.
10
Chris Hoffman, Why you should use a password manager and how to get started, How-To Geek, September 9, 2015,
www.howtogeek.com/141500/why-you-should-use-a-password-manager-and-how-to-get-started/.
11
Kim Zetter, Hacking teams leak helped researchers hunt down a zero-day, Wired, January 13, 2016,
www.wired.com/2016/01/hacking-team-leak-helps-kaspersky-researchers-find-zero-day-exploit/.
12
RoboForm, Password security survey resultspart 1, http://www.roboform.com/blog/password-security-survey-results,
accessed April 21, 2016.
13
Kevin Cunningham, Password management problems: Employees significantly increasing risk of security breaches, SailPoint,
January 29, 2015, http://www.sailpoint.com/blog/2015/01/survey-password-management/.
14
Ibid.
15
Jeremy Quittner, Why the Internet of Things nabbed $1 billion in VC in 2013, Inc., March 20, 2014, www.inc.com/jeremyquittner/venture-capital-flows-to-gadget-and-hardware.html; Chris Quintero, Who invests in hardware startups?, TechCrunch,
September 12, 2015, http://techcrunch.com/2015/09/12/who-invests-in-hardware-startups/.
16
Ian Glazer, interview with Mike Wyatt, February 10, 2016, in Austin, TX.
17
See David Schatsky and Craig Muraskin, Beyond bitcoin: Blockchain is coming to disrupt your industry, Deloitte University Press,
December 7, 2015, http://dupress.com/articles/trends-blockchain-bitcoin-security-transparency/.
18
Visa Europe, Generation Z ready for biometric security to replace passwords, January 12, 2015,
www.visaeurope.com/newsroom/news/generation-z-ready-for-biometric-security-to-replace-passwords.
19
FIDO Alliance, About the FIDO Alliance, https://fidoalliance.org/about/overview/, accessed April 5, 2016.
20
PYMNTS.com, Is it time to cash in PINs for biometrics?, January 28, 2016, www.pymnts.com/news/biometrics/2016/is-it-timeto-cash-in-pins-for-biometrics/.
21
Mark Hachman, Microsofts Windows Hello will let you log in to Windows 10 with your face, finger, or eye, PCWorld, March 17,
2015, www.pcworld.com/article/2898092/microsofts-windows-hello-will-let-you-log-in-to-windows-10-with-your-face-finger-oreye.html; Hachman, Hands on: Without apps, Intels RealSense camera is a puzzle, PCWorld, March 5, 2015,
www.pcworld.com/article/2893270/hands-on-without-apps-intels-realsense-camera-is-a-puzzle.html.
22
Beverly Zena Janelinao, Project Abacus: Googles plan to get rid of the password, Travelers Today, January 25, 2016,
www.travelerstoday.com/articles/21353/20160125/project-abacus-google-s-plan-to-get-rid-of-the-password.htm.
23
Tom Maxwell, Smart Lock Passwords is cool, but Google Project Abacus puts us closer to a password-free world, 9to5Google,
May 29, 2015, http://9to5google.com/2015/05/29/smart-lock-passwords-is-cool-but-google-project-abacus-wants-to-eliminatepassword-authentication/.
24
Centrify, U.S. businesses lose more than $200,000 annually from employees struggling with passwords, October 14, 2014,
www.centrify.com/about-us/news/press-releases/2014/us-businesses-lose-more-than-200-000-annually-from-employeesstruggling-with-passwords/.
25
Ibid.
26
Robert Johnston, Linking complaint management to profit. International Journal of Service Industry Management 12, no. 1
(2001): pp. 6069 (2001).

www.deloittereview.com | Deloitte Review

Un nuevo mundo ms all de las contraseas | 73


27
Maya Kamath, Hackers are using password recovery scam to trick victims into handing over their email account access,
TechWorm, June 21, 2015, www.techworm.net/2015/06/hackers-are-using-password-recovery-scam-to-trick-victims-into-handingover-their-email-account-access.html.
28
IBM MaaS60, Mobile: The new hackers playground, Data Breach Today, February 6, 2016,
www.databreachtoday.com/whitepapers/mobile-new-hackers-playground-w-2243.
29
Archibald Preuschat, Watch out, your fingerprint can be spoofed, too, Wall Street Journal, February 24, 2016,
http://blogs.wsj.com/digits/2016/02/24/watch-out-your-fingerprint-can-be-spoofed-too/?mod=ST1.

www.deloittereview.com | Deloitte Review