por Matías Woloski, CTO y Co-fundador de Auth0 (5° unicornio argentino)
La virtualidad masiva hizo que todos los servicios y productos tengan que tener un correlato en el plano digital, lo que insta a empresas de todos los tamaños y naturalezas a rever sus políticas para la gestión de identidad digital de sus clientes, si quieren mantenerse vigentes.
En un contexto donde los usuarios exigen experiencias de navegación cómodas, fluidas e inmediatas, tendencias emergentes como el login sin contraseñas, el uso de biometría, la autenticación multifactor y las billeteras de identidad digital, marcan claros ejemplos de lo que será el futuro de la industria en poco tiempo.
El dominio total de la seguridad de la información del usuario y la capacidad de generar nuevas propuestas que mejoren su rendimiento, atraen hoy en día tanto a las empresas que deben gestionar la identidad y el acceso (IAM) de sus propios empleados como a las empresas centradas en el consumidor, donde la gestión de la identidad y el acceso del cliente (CIAM) en los sitios web, el comercio electrónico y las aplicaciones es fundamental.
Nuestra encuesta global sobre CIAM recientemente realizada refuerza que los ciberataques hoy en día pueden afectar tanto a los usuarios como a las empresas que gestionan sus datos con tasas extremadamente altas de contraseñas violadas, sabemos que confiar en la humilde combinación de usuario y contraseña ya es cosa del pasado.
El desafío de la autenticación
El correlato de nuestra identidad en el plano digital es tanto un valor personal y privado como una puerta de acceso a un universo inacabable de aplicaciones y servicios, y su autenticación es vital para garantizar los pilares más importantes para el ciudadano digital del siglo 21: confianza, seguridad y privacidad. Pero para los desarrolladores, alcanzar este desafío complejo sin perjudicar la interacción con los productos al volverlos dificultosos y lentos es sin duda una amenaza constante.
Los actores peligrosos que atacan a las organizaciones y a los consumidores se presentan de muchas formas, desde esfuerzos manuales a pequeña escala hasta métodos de fuerza bruta que coordinan enormes equipos de hackers con ataques sincronizados. Cuanto más lucrativa es la recompensa potencial, más tiempo y esfuerzo está dispuesto a invertir un actor de la amenaza.
Esta relación gasto-recompensa define la necesidad de estrategias defensivas, en un momento en el que, por ejemplo, sólo en los primeros 90 días de 2021, nuestras plataformas detectaron un promedio de más de 26.600 contraseñas violadas por día. La proliferación de estas amenazas online que no dejan de evolucionar, combinada con la tendencia de los usuarios a reutilizar las contraseñas en sus aplicaciones y sitios web, desafía a las organizaciones a ofrecer un buen producto que combine practicidad y seguridad.
Cada posible ataque para un potencial robo de datos puede tener consecuencias de gran alcance: en promedio, hoy en día el 84% de las violaciones se atribuyen a contraseñas comprometidas. No se puede ignorar en ningún caso el impacto que tiene para la credibilidad y la reputación de la empresa, así como para los procesos internos que se ven amenazados.
Seguridad y usabilidad
Por otra parte, la forma en la que se consiga mejorar nuestra fortaleza contra los ataques también nos permitirá librarnos de cargas pesadas que perjudican nuestro rendimiento con los usuarios. Así lo refleja una encuesta realizada por Auth0 a nivel global con más de diecisiete mil usuarios y tomadores de decisiones de IT y Marketing sobre cuáles son las principales frustraciones que se experimentan al registrarse o ingresar a un sitio o app.
Para los usuarios argentinos, el factor más desalentador es el llenado de largos formularios de acceso o registro (48%), seguido de la creación de una contraseña que cumpla con ciertos requisitos (47%), y el compartir información privada (46%) terminan de conformar las múltiples cuestiones que hoy desalientan el uso de aplicaciones y páginas de todo tipo.
Esto lleva a que una abrumadora mayoría de los consumidores reutilice las contraseñas para más de una cuenta (86%), una de las malas prácticas que mayores violaciones de identidad provocan.
Pasar de página
Tal como se evidencia en estos resultados, ya no hay forma de evadir la realidad de que el paradigma que venimos aplicando desde los 70 debe cambiar imperiosamente. No solo no es eficiente contra los desafíos de la ciberseguridad actual, sino que, además, perjudica nuestro alcance y nuestra aceptación por parte de los usuarios. Si en algún momento, el CIAM fue una cuestión de nicho y poco considerada, ese momento ya pasó.
Afortunadamente, hoy existen formas prácticas y precisas de saber si un usuario es quien dice ser, además de demandar algo que un usuario sabe, como una contraseña u otro secreto compartido. Podemos incorporar de manera dinámica en el login algo que un usuario siempre tiene a mano, como un dispositivo, o bien algo que solo el usuario puede aportar físicamente, es decir, una cualidad biométrica.
Un buen sistema de autenticación implica que cuantos más desafíos se superen, más confiable será una identidad, y hoy contamos con una oferta de métodos que se complementan para poder dejar atrás el panorama actual. Pero crear un gran sistema de identidad es más que sumar pasos de verificación, y un equilibrio adecuado con la experiencia de usuario es complejo.
Los métodos de verificación que se desarrollaron en estos últimos años son una superación absoluta del tradicional “usuario y contraseña”, y permiten analizar múltiples señales de riesgo para ajustar el proceso según las condiciones de cada empresa frente a un panorama de amenazas que cambian constantemente, y que están lejos de desaparecer.
En ese sentido, estamos en condiciones de decir que ya tenemos las herramientas para avanzar hacia un modelo “passwordless” que se replique en cada vez más plataformas, y que solo depende de la capacidad de priorizar el CIAM por primera vez.
En realidad, el futuro ya llegó, y con ese pensamiento tenemos que actuar para un cambio de perspectiva que implique valernos de metodologías multinivel para detectar ataques de forma proactiva en lugar de reactiva, dando un paso fundamental en la transformación digital en donde la seguridad lleve a todas las industrias al futuro, hoy.