Google publicó un borrador de su próximo plan de seguridad a cinco años que pretende autenticar el inicio de sesión de sus usuarios, para hacer frente a las amenazas de robo de datos, aunque ya reconoce que lograr una protección robusta requiere la colaboración de toda la industria.
Dicho borrador, que se conoció la semana pasada y se discutirá a fondo en la próxima Conferencia Google I/O que se celebra esta semana, explora el futuro de Google para los próximos cinco años, después de cumplirse el primer programa al respecto, iniciado en 2008.
En este tiempo, el panorama de la seguridad ha cambiado espectacularmente, a partir de la adopción masiva de smartphones y los frecuentes robos de cuentas de red, además de la evolución de las técnicas y herramientas de piratería, lo que ha obligado a innovar las defensas tecnológicas.
Este año, la compañía presentó un nuevo proceso de entrada en dos pasos, que permite autenticar el dispositivo móvil del titular de una cuenta. La compañía está considerando la posibilidad de ser mucho más agresiva con este mecanismo que actualmente es opcional.
Los usuarios que lleven la autenticación de doble factor a un dispositivo móvil concreto pueden tener que pasar el proceso con una contraseña para todos los inicios de sesión.
Google favorece también la transferencia de la mayor parte de las tareas de autenticación como sean posibles, al dispositivo y al sistema operativo. Una vez que las personas se inscriben a nivel del sistema operativo de un teléfono Android, Google querría que esos credenciales funcionaran en todas las aplicaciones del dispositivo y sitios web a los que acceda.
En la actualidad, la autenticación de doble factor implica, por lo general, operar con un sitio que envía al usuario del teléfono móvil un mensaje de texto con un número que da entrada a los servicios. Google querría que el propio smartphone permitiera autorizar a otros dispositivos, mediante comunicaciones de corto alcance y un protocolo criptográfico que no pueda ser víctima de phishing.
Por ello, la compañía es partidaria de OpenID, un estándar abierto que permite a un proveedor de identidad basado en cloud, almacenar las credenciales, poniéndolas a disposición de cualquier sitio web o aplicación de móvil. Sin embargo, la tecnología sigue siendo demasiado complicada.
En el borrador de Google, se destaca que “aunque aún hay problemas de usabilidad en estos sistemas, creemos que es el enfoque que deberían seguir la mayoría de los sitios web y Google seguirá uniendo esfuerzos para simplificar los problemas y definir las mejores prácticas”.
Google también quiere implementar el estándar abierto ID que bloquea las cookies en el dispositivo que las recibe. Los sitios web envían una cookie después de que un visitante se registre y mantenga esa sesión. Sin embargo, hay varias técnicas que un hacker puede utilizar para robar la cookie, con el fin de hacerse pasar por el titular de la cuenta. El canal ID resuelve el problema no permitiendo a otros dispositivos utilizar la misma cookie de sesión.
Los expertos en seguridad coinciden en que los planes de Google para mejorar este ámbito son sólidos y van un paso por delante con respecto del mecanismo de autenticación actual que se utiliza en Internet y está basado en contraseñas.
Sin embargo, el director de tecnología de Duo Security, Jon Oberheide, cree que Google debe poner más énfasis en la recuperación de cuentas cuando el usuario olvida sus contraseñas o pierde el móvil que está vinculado al proceso de autenticación de doble factor. La propia Google reconoce que éste es el verdadero “talón de Aquiles” de los sistemas automatizados.
Implementar las tecnología que Google parece ser muy complicado, a decir de Mark Risher, ejecutivo de Impermium. Por ejemplo, algunas de las tecnologías están interrelacionadas, así que deben ser puestas en marcha conjuntamente para lograr la máxima seguridad, lo que complica el proceso.
Y habrá más problemas, como sugieren otros analistas que consideran que el éxito de Google depende de que los propietarios de sitios Web estén dispuestos a adoptar gran parte de la tecnología que ha esbozado la propia Google. “Las empresas deberán invertir en ello y muchos sites son totalmente ajenos a los riesgos que afrontan al respecto”, concluyen.