Llevo mucho tiempo queriendo escribir sobre sistemas de doble autentificación, y específicamente sobre FIDO, y después de varios años, he creído que ya era hora. Así que aprovechando la gran demora en años, voy a aprovechar para dar un repaso del paradigma actual de la identificación.

La identificación puede parecer algo antiguo e incluso sencillo, algo que incluso nuestros abuelos y nuestros hijos/nietos bien conocen. Quizás el ejemplo más cotidiano sea nuestro DNI. ¿Y cual es la funcionalidad principal de este? Pues ni más ni menos, incluso en los tiempos que corren, la de identificarnos de forma única ante el mundo.

Internet no es tan diferente, es una entidad “virtual”, pero se rige más o menos por los mismos principios. Por supuesto puede ser deseable permanecer anónimo dentro de la gran red de redes, al igual que puede ser deseable muchas veces en el mundo real querer ocultar nuestra identidad, y para nada sólo con fines delictivos. Pero al igual que pasa en el mundo real, también necesitamos muchas veces, la mayoría de ellas, que el mundo sepa quien somos, algo que nos apunte de forme inequívoca.


EL USUARIO COMO IDENTIDAD

Internet supuso un antes y un después, y con él aparecieron un sin fin de nuevos… “servicios” para las personas. Desde el correo electrónico, las nuevas formas de comunicación como IRC (que con el tiempo evolucionaría a la mensajería instantánea), foros, blogs, comercio online, redes sociales… un universo que sigue una escalada exponencial, y en el que cada vez, nosotros como individuo, tenemos más peso. Nos comunicamos por Internet, compramos por Internet, nos informamos por Internet… tal es así que incluso vamos dejando muchos servicios tradicionales, y moviéndonos rápidamente a los digitales.

Pero para que todo ello haya sido posible, ya desde los orígenes, ha sido necesario que la inmensa mayoría de servicios que usamos sean únicos para cada persona, donde podremos muchas veces mentir sobre los datos que queramos dejar, pero sean falsos o ciertos, nos identifican en sus sistemas. No hizo falta ser un genio, sólo el sentido común para entender la necesidad de diferenciar a cada persona en dichos sistemas informáticos, al igual que el DNI nos identifica y lo necesitamos en nuestro país.

Se crea así una graciosa paradoja. Cada día, hoy más que nunca, se pone de relieve la necesidad del anonimato de Internet, el Big Data (algún día hablaremos de ello) es una realidad. Aunque suene feo, estamos (algunos más que otros) totalmente “vendidos” a multinacionales, nuestras costumbres y nuestro insaciable consumo digital ha permitido que las grandes tecnológicas sepan más de nosotros que nosotros mismos!!. ¿Qué como es posible? Soy un enamorado de Google, pero eso no quita que sepa fehacientemente que tienen un “perfil” de mi persona, nutrido no solo de todos sus servicios que puede usar, sino del propio rastro/huella digital que he ido dejando en el paso de los años. Esto es mucho más siniestro si tenemos en cuenta que a día de hoy la Inteligencia Artificial puede aplicarse a esos “perfiles” para, aunque suene a ciencia ficción, saber que queremos, a donde vamos…

Pero pese a esa lucha constante por el anonimato, no deja de existir una realidad inherente también: No queremos ser anónimos. Aquí hay que explicar el sentido que vamos a darle a “anónimo”. Aquí no vamos a llamar “anónimo” a un usuario que sencillamente miente con sus datos o usa pseudónimos. Yo mismo sirvo de ejemplo. Sí, escrito y se me conoce por mi pseudónimo, Theliel, y este pseudónimo me anonimiza en cierto aspecto, puede que el lector no conozca mi nombre real, o mi dirección… pero de cualquier modo identifica a mi persona con dicho nombre. De tal modo que Theliel es, entre otras cosas, el chico de Alma Oscura.

Esto es necesario. ¿Como si no podríamos usar la gran cantidad de servicios que usamos? Puede que en un momento dado nos gustase poder mandar un correo anónimo, pero si siempre fuesen anónimos, ¿como nos relacionaríamos? y si compramos algo… ¿como pagaríamos o donde recogeríamos las compras? En el mundo digital, por su misma naturaleza, es mucho más complicado demostrar que nosotros somos nosotros, y de una forma inequívoca.

Y ahí está el problema, no se trata sólo de poder identificarnos ante un sistema, sino tener garantías que dicho sistema no se va a equivocar, que nadie va a poder hacerse pasar por nosotros y suplantarnos. Y esto no es fácil, nada fácil. Tal es así que toda esta serie de artículos versan sobre ello, sobre los principales modos de hacerlo posible, cada uno con sus pros y sus contras.


LA EVOLUCIÓN EN LA AUTENTIFICACIÓN DIGITAL

Las necesidades de ayer no son las necesidades de hoy. El mundo digital sigue cambiando, y la sociedad tiene que seguir adaptándose. Cada vez tenemos “asociados” más servicios y contenido a nuestra persona, con lo que cada vez es más importante la seguridad en la red, y nuevos métodos de autentificación. El problema parece muy sencill, en principio sólo necesitaríamos un identificador único, como es nuestro número de DNI, ¿no? En principio cualquier identificador único nos serviría, como un DNI, el número de teléfono…

Y aunque parezca mentira, ellos fueron los primeros modos de identificación dentro de Internet, identificadores únicos. Es más, a día de hoy la propia Internet funciona gracias a un sistema de identificación único de páginas Web, que llamamos Direcciones IP, y que por medio del protocolo DNS mapeamos nombres únicos a direcciones concretas.

Extrapolar esto a las personas tuvo un camino muy corto. Ahora mismo nos acercamos a los 8 mil millones de personas en el mundo, os ¿imagináis un “DNI” de 20 dígitos? Complicado de recordar, de usar. Y este es el segundo gran problema con el que se topó la autentificación digital, no sólo necesitábamos que fuese única y segura, sino que fuese práctica y fácil de aplicar, y pasar minutos buscando un papel con una cadena imposible de memorizar, ir tecleándola sin error… no es viable.

Este sistema era muy mejorable. A fin de cuenta no todos las personas se conectan al mundo digital, y cuando lo hacen tampoco a los mismos servicios. Podría ser suficiente por ende identificadores mucho más pequeños, incluso inteligibles, y así aparecieron los actuales “Usuarios“, a fin de cuenta cadenas únicas que nos identifican en un servicio, que suelen ser correos electrónicos, pseudónimos… o realmente lo que queramos. Pero estamos en el mundo digital, y una cadena que puede imaginarse, copiarse, filtrar… dicta mucho de ser seguro, así que casi de forma obligatoria nos vimos obligados a usar otra cadena adicional asociada a ese ID principal, una cadena que pudiésemos mantener en secreto, sin peligro a que el usuario fuese conocido o averiguado. Y ya tenemos las “Contraseñas

Da igual los años que hayan pasado, a día de hoy la autentificación por medio de Usuario y contraseña sigue siendo de lejos la más extensa.