El futuro de las contraseñas???

Es enorme la cantidad de servicios en Internet que requieren el ingreso de contraseñasmediante teclados físicos y virtuales, con los riesgos de seguridad que implica el uso de claves poco robustas. Esto generó una serie de iniciativas que buscan simplificar la autenticación de una cuenta de correo electrónico o el acceso a una red social.

La famosa frase “¡ábrete, sésamo!” con la que se obtenía acceso a una caverna en Alí Babá y los cuarenta ladrones da cuenta de lo remotas en el tiempo y en el espacio son las contraseñas. En ocasiones, el acceso a los castillos medievales también se lograba mediante una seña y contraseña. Actualmente se siguen usando de esa misma forma para poder ingresar a, por ejemplo, fiestas privadas o clandestinas.

Sin embargo, las contraseñas más populares hoy en día son todas aquellas relacionadas a la tecnología: tarjetas de crédito, correo electrónico, conexiones inalámbricas, cuentas en redes sociales, home banking y un largo etcétera. A pesar de su popularidad, están surgiendo otros métodos de autenticación para incrementar la seguridad, la comodidad y la practicidad.

Seguridad extrema

Una vez, en cierta compañía bastante prestigiosa, en cuyos equipos había información por valor de muchos millones de dólares, eran muchos los empleados que tenían acceso a esa información, y la verdad es que no hacían mucho por protegerla. Uno de los gerentes quiso poner remedio a este problema, y puso en marcha varias medidas. Tras hacer un estudio y ver que la gran mayoría de los empleados tenía como contraseña su fecha de nacimiento, su apellido o el nombre de alguno de sus hijos, decidió implantar una nueva política de contraseñas en la empresa. La contraseña debía tener obligatoriamente más de ocho caracteres. Al menos dos de ellos debían ser numéricos, al menos una mayúscula y una minúscula, y al menos un carácter especial (símbolos como “&” o el “#”). Además, la contraseña caducaba cada quince días, por lo que debía cambiarse forzosamente pasado ese tiempo.

La situación se volvió un tanto caótica porque muchos empleados no podían loguearse en sus computadoras: habían olvidado su complicada contraseña. Se disparó el número de incidencias, hubo que resetear cientos de contraseñas y al cabo de un mes todo el mundo tenía un post-it con su contraseña pegado en el monitor. Algunos, más concienciados con la seguridad, guardaban el post-it dentro del cajón.

Moraleja: a veces la seguridad extrema complica las cosas y se termina desembocando en fallas de seguridad.

Status Quo

Es sabido que son muy pocos los usuarios que realmente prestan atención a su seguridad online: la mayoría no cambia sus contraseñas periódicamente a menos que se los obligue, no utiliza contraseñas complejas, no registran una pregunta secreta y/o una dirección de correo alternativa en caso de necesitar recuperar una cuenta apropiada por terceros.

A causa de esta situación se masificaron métodos alternativos hace algunos años, como labiometría.

La biometría no sólo se trata del análisis de una huella dactilar para comparar con una previamente almacenada y permitir el acceso o no, sino que también comprende varias formas, algunas bien conocidas mientras que otras no tanto: reconocimiento facial (en dos y tres dimensiones), reconocimiento de iris o de retina, reconocimiento vascular (un patrón único de los capilares sanguíneos de nuestros dedos o manos), reconocimiento de escritura o de firma, reconocimiento de expresiones faciales, reconocimiento de voz y el reconocimiento de la dinámica de tecleo, entre otras, pero no todo termina aquí. Ya veremos.

Smartphones

A pesar del relativo fracaso de este tipo de sensor biométrico en equipos portátiles como notebooks, Apple lo acaba de incluir en la nueva versión de su smartphone, el iPhone 5S. Se llama Touch ID, y es una de las posibles formas del proceso de seguridad para desbloquear el equipo presionando el nuevo y mejorado botón de inicio (¿se viene la más grande base de datos de huellas dactilares del mundo?).

Existen además, para smartphones, aplicaciones encargadas de desbloquear el equipo mediante su cámara frontal (reconocimiento facial o con el agregado de algún gesto almacenado previamente).

Lo que viene…

Google, como no podía faltar en cualquier innovación, está trabajando estrechamente con la compañía YubiKey, que fabrica un dispositivo llamado NEO. Se trata de un pen drive USB conNFC que nos permitirá usarla como una llave clásica en una PC gracias al USB o en un smartphone o tablet gracias a la tecnología NFC (Near Field Communication) para identificarnos en los servicios de Google. El funcionamiento es realmente simple, se podrá tener una llave única para cada cuenta de Google y al intentar entrar en uno de los servicios sería necesario acercar esta llave al Smartphone, tablet o notebook para acceder.

Por otra parte, desarrolladores de la Universidad de Berkeley presentaron un dispositivo sin cables, que evita el ingreso tradicional de claves. Presentaron un estudio que asegura que además de tipear una contraseña, es posible pensarla y que un dispositivo, que se asemeja a un auricular Bluetooth, la detecte “leyendo” nuestras ondas cerebrales.

A la vez, otro grupo pero de Japón, presentó un escáner que permite descifrar los sueños. Usaron un producto comercial para analizar las ondas cerebrales, fabricado por la firmaNeurosky, una empresa especializada en este tipo de dispositivos. Los usuarios de Mindsetdeben pensar en siete tareas mentales relacionadas con alguna actividad, como una fotografía o una frase, para que el dispositivo interprete estas ondas cerebrales. Una vez ajustado este parámetro, la clave mental podrá permitir el acceso a determinados sitios o servicios definidos cada vez que se invoquen estos pensamientos.

Algo similar ya se había desarrollado en un dispositivo llamado Necomimi, que permitía reflejar el estado de ánimo del usuario mediante el movimiento de unas orejas de peluche. A su vez, existen unos auriculares que emplean la misma tecnología y que permiten seleccionar la lista de temas de acuerdo a la sensación de alegría o tristeza del usuario.

El uso de esta tecnología para aumentar la seguridad no está exenta de desafíos: en 2012 un grupo de investigadores demostró cómo se podía capturar el PIN del cajero automático que una persona reconocía, usando un dispositivo parecido.

Read my mind

Investigadores del Laboratorio de Neurociencia Computacional de Kyoto lograron decodificar y visualizar en imágenes los sueños de una persona. Mediante un electroencefalograma y un escáner de resonancia magnética lograron crear un mapa de la actividad cerebral que les permitió desarrollar un algoritmo con la capacidad de predecir en tiempo real las imágenes que aparecen en un sueño.

Sin embargo, el informe, publicado en la revista Science, aclara que el sistema aún se encuentra en una plena etapa de desarrollo, en donde se pueden visualizar objetos y figuras simples y abstractas, como una casa o una mascota, y que todavía no se encuentra listo para ser aplicado de forma genérica a todos los usuarios.

Conclusiones

Las contraseñas clásicas están cada vez más en peligro, y con la evolución de la tecnología se buscan alternativas que puedan sacar provecho de la innovación que esta nos presenta. Especialmente importante es esto en el entorno profesional, donde una compañía tiene que confiar ciertas contraseñas a un determinado número de empleados, y por lo tanto las posibilidad de que esta caiga en manos no deseadas se eleva, siendo además las pérdidas de mayor proporción que para un particular en algunos casos. Con el paso del tiempo vamos a empezar a vivir un cambio que ya está llegando.

Ranking de Lenguajes de Programación (TIOBE) a Septiembre 2013.

En el mes de septiembre de este año, la comunidad de Programadores TIOBE publicó su acostumbrado Ranking de Lenguajes de Programación que elabora periódicamente. Veo que el primer lugar está ocupado por un clásico: Lenguaje C. El 2do lugar viene por un lenguaje que poco a poco ha ido llegando para quedarse, com lo es el Java. Y así hasta llegar al puesto 20 que pueden ver por ustedes mismos…

http://www.facebook.com/jrelmaster505
http://www.youtube.com/jrelmaster505
https://twitter.com/jrelmaster505

la nueva norma ISO 27001:2013

Las nuevas normas ISO 27001:2013 e ISO 27002:2013 han sido publicadas. Las normas que ayudan a las empresas a gestionar la seguridad de la información fueron creadas por primera vez por BSI, la empresa de normas de negocio, con el nombre de BS 7799. Con la revisión de 2013, la norma internacional permitirá a las empresas de todos los tamaños y sectores adaptarse a la rápida evolución y la creciente complejidad de la gestión de la información y el continuo desafío que plantea la seguridad cibernética.

El funcionamiento de los negocios de hoy en día difiere enormemente de la primera utilización de BS 7799 en 1995, los avances tecnológicos significan que las necesidades de seguridad de la información también han cambiado. Las revisiones ayudarán a las empresas a percibir los cambios en seguridad de la información y no solo limitarse a TI, e incluye elementos más amplios, como las personas. También tiene en cuenta las interacciones que pueden ocurrir entre otras normas de Sistemas de Gestión y cuestiones como la Gestión de Riesgos y Gestión de Continuidad del Negocio.

ISO 27001 es una de las normas de sistemas de gestión de más rápido crecimiento utilizada en todo el mundo. La norma es usada para certificaciones de tercera parte acreditadas y cuenta con al menos 17.500 certificados emitidos en 100 países con una tendencia continua de crecimiento de dos dígitos año tras año. Su uso está respaldado por el Código de Buenas Prácticas ISO 27002. Ambas fueron desarrolladas mediante el consenso de la comunidad internacional con más de 47 organismos nacionales de normalización.

Márcio Viegas, Director General de BSI Iberia dice: ” Las empresas deben evitar la complacencia con respecto a la seguridad de la información y garantizar que sus prácticas estén en consonancia con el entorno empresarial de hoy en día. El rápido crecimiento, la capacidad de penetración de las TI en el lugar de trabajo y el aumento de la conciencia sobre la importancia de la seguridad cibernética, significa que se necesita una mayor vigilancia y ahora se puede proporcionar mejor. “

ISO 27001 Tecnología de la Información – Técnicas de Seguridad – Sistemas de Gestión de Seguridad de la Información – Requisitos especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información.

Cambios clave:

Se ha modificado para adaptarse a la nueva estructura de alto nivel utilizado en todas las normas de Sistemas de Gestión, lo que simplifica su integración con otros sistemas de gestión
Incorpora los comentarios de los usuarios de la versión 2005 y genéricamente tiene en cuenta la evolución del panorama tecnológico de los últimos 8 años

¿Cómo las empresas pueden beneficiarse de la norma ISO 27001?

Aumenta la reputación de los negocios que han implementado la norma
Protege a las empresas mediante la identificación de riesgos y estableciendo controles para gestionarlos o reducirlos
Ayuda a los grupos de interés y aumenta la confianza del cliente, teniendo sus datos protegidos
Aumenta las oportunidades de acceso a licitaciones mediante la demostración de cumplimiento y obteniendo un estatus como proveedor preferido

ISO 27002 Tecnología de la información – Técnicas de seguridad – Código de conducta para los controles de seguridad de la información da pautas sobre el uso de ISO 27001 para las normas de seguridad de información de la organización y la gestión de seguridad de la información.