Cada día, miles de millones de usuarios acceden a servicios digitales a través de distintos métodos de identificación, que históricamente han respondido al binomio usuario-contraseña. El volumen atrae el fraude: de 2010 a 2016 se robaron 112.000 millones de dólares mediante accesos ilícitos (35.600 dólares por minuto), según datos de la consultora Javelin Strategy. Como es de suponer, las estimaciones apuntan a un aumento de estos delitos. Por eso resulta esclarecedor el estudio Future of Identity, publicado por IBM Security, que hace un repaso de la actitud de los usuarios en relación con valores como la comodidad y la privacidad. Su hilo conductor es la adopción de la biometría.
Por si no hubiera quedado patente a lo largo de los años, las brechas de seguridad de 2017 han confirmado cómo los cibercriminales pueden acceder a la información de bancos y otras compañías, incluso a datos tan sensibles como los números de la seguridad social (que en Estados Unidos hacen la vez de ID). El estudio de IBM Security es muy crítico con las contraseñas, que han demostrado no ser una barrera adecuada. Hay que buscar nuevos métodos de identificación, por lo que se suele proponer opciones biométricas, algunas muy extendidas, como la huella dactilar en los smartphones . Otros métodos, como el reconocimiento facial , han entrado en el mercado masivo en 2017, de la mano de Apple con el Facial ID. También de Samsung, que ha hecho de la seguridad uno de sus caballos de batalla.
Para entender las implicaciones de los nuevos modos de autentificación, IBM Security ha encargado una encuesta global sobre la percepción y la adopción de los métodos usuales. En total, se recoge la opinión de casi 4.000 adultos, en Estados Unidos, Europa (Reino Unido, Francia, Italia, Alemania y España) y Asia-Pacífico (Australia, India y Singapur). A partir de las respuestas recogidas, el estudio resultante presenta hallazgos de variado interés.
Uno de ellos tiene que ver con las prioridades individuales: comodidad, privacidad o seguridad sería el triple dilema. Hay diferencias según las distintas aplicaciones. En las financieras, y se entiende por qué, el 70% de los usuarios consultados señala como su primera prioridad la seguridad. Pero cuando se les pregunta sobre las plataformas sociales, el porcentaje se reduce al 34%, superado por el deseo de comodidad (el 36%) mientras la privacidad es la preferencia del 30%. Es preocupante, en la medida que muchos usuarios emplean sus cuentas de Facebook, Twitter o Google para identificarse en otros servicios cuya fiabilidad no conocen, en especial de comercio electrónico o webs de citas, que acumulan información sensible. De modo que en caso de brecha la cuenta de la red social podría producir un efecto dominó.
El estudio defiende la biometría – en sus diversas variantes – como la fórmula más idónea para dar seguridad al usuario sin perjuicio de su comodidad. Según la encuesta, el 67% de los consumidores se sienten cómodos usando estas tecnologías, y el 87% se declara abierto a usarlas en el futuro. Entre ellas, la huella dactilar es percibida como el método más seguro de identificación (44%), seguida por el escaneo de retina (30%) mientras el reconocimiento facial queda muy atrás, con un 12%. Se observa que algo tan tradicional como las contraseñas alfanuméricas merece la confianza de un 27% de los usuarios, dejando muy rezagado el PIN (otro 12%).
Sin embargo, también la biometría carga con preocupaciones acerca de la privacidad y la seguridad. Al proponer métodos únicos para identificar a un individuo, si estos quedan comprometidos por un ataque, no volverán a ser seguros nunca más. A los usuarios también les preocupa saber cómo se almacenan los datos: un cuarto de los encuestados no confía en ninguna organización para proteger su información biométrica. Aunque los grandes proveedores de soluciones suscitan más confianza, por encima de los de menor tamaño o de alcance solo regional. Este sentir también varía por industria: un 48% confiaría en una entidad financiera, mientras que sólo un 15% confiaría sus datos a una red social.
También se han encontrado diferencias marcadas por la edad. El 41% de los usuarios que tienen entre 20 y 36 años, reutilizan varias veces una misma contraseña, mientras que sólo un 31% de los mayores de 55 lo hacen. El informe refleja que estos últimos toman más precauciones en cuanto a la seguridad, a diferencia de los jóvenes, más lanzados a la hora de probar nuevos métodos, como los gestores de contraseñas, el doble factor de autentificación o la biometría (el 75% se sienten cómodos con ella, en comparación con un 58% de los mayores). Son un colectivo que prefiere la velocidad en el uso por encima de la seguridad. De todo esto el estudio deduce que los millennials esperan una mayor protección por defecto, procedente de sus proveedores.
La amplitud geográfica del estudio arroja conclusiones llamativas. Por ejemplo, Estados Unidos es un país reticente a la biometría. Un 23% de su cuota de encuestados dice no estar interesado en usarla ahora, aunque sí usarían la doble autentificación. Como dato interesante, esta población muestra una gran consciencia de los ataques y brechas de seguridad. Por su parte, a los europeos les preocupa mucho la seguridad – emplean contraseñas fuertes – pero son los menos dispuestos a utilizar la doble autentificación. Asia-Pacífico es la región donde más cómodos se sienten con el uso de la biometría: valoran sobre todo el no tener que memorizar contraseñas, pero también el plus de seguridad que ofrece.
Sin embargo, en todas las regiones hay coincidencia en que los métodos de autentificación tienen que cambiar para proteger mejor los datos. Un 50% de los usuarios de todo el mundo está preocupado por el riesgo de su información quede expuesta. El estudio constata que la biometría no está a salvo de esa preocupación sobre la forma en que los datos se recogen, almacenan y comparten.
Concluye IBM Security que el desarrollo de una autentificación más segura es una prioridad para la industria de TI. Y que la gestión del riesgo por los proveedores es sólo una parte del problema. Otra son los usuarios con sus hábitos y actitudes adquiridas. De momento, una alta proporción de los consumidores dan muestras de entender qué tipo de información merece ser protegida, pero aun así escogen la comodidad.
El objeto último del estudio y su patrocinador son las empresas. Que sus empleados usen contraseñas temporales o acceso biométrico para entrar en las plataformas de trabajo, puede aumentar la confianza pero a la vez frustrar a los trabajadores, dependiendo de cómo se proceda. Aquellas organizaciones que ofrecen servicios digitales a los consumidores, quedan advertidas de que obligarlos a usar su huella dactilar para iniciar sesión podría ser contraproducente para sus ingresos. Conscientes de ello, la mayoría ofrece ese método opcionalmente a los tradicionales.
La combinación de distintos métodos de autentificación parece ser la mejor manera de aumentar la seguridad. Como es lógico, IBM Security arrima el ascua a su sardina al proponer otra forma de hacerlo. Es una aproximación basada en el riesgo: los intentos de inicio de sesión se evalúan automáticamente, con datos contextuales y teniendo en cuenta los hábitos del usuario. Si el riesgo de suplantación de identidad es alto, se le exige una prueba de identidad con otro factor. En todo caso, la lectura del informe deja la impresión de que en espera de que los hábitos de los usuarios evolucionen, los proveedores de soluciones tendrán que redoblar esfuerzos para que la curva de adopción sea la que exige la gravedad del problema.
[informe de Pablo G. Bejerano]