Buscar

2012/03/30

Ordenadores seguros y sin contraseñas


Imagínese sentado frente al ordenador del trabajo, tecleando su nombre de usuario y empezando a trabajar de inmediato, sin necesidad de una contraseña.
Es una imagen que la Agencia de Proyectos de Investigación Avanzados de Defensa (DARPA, por sus siglas en inglés), que forma parte del Departamento de Defensa estadounidense, quiere convertir en realidad. Para ello, repartirá fondos que ayuden a desarrollar un programa que determine, solo con la forma de teclear, que usted es la persona que dice ser.
El propósito de DARPA es financiar una “investigación revolucionaria y altamente beneficiosa” para uso militar. Pero la tecnología desarrollada bajo los auspicios de DARPA —Internet es solo uno de los numerosos logros atribuibles a sus iniciativas— al final suele abrirse camino hasta el mundo civil.
Contraseñas como “6tFcVbNhTfCvBn” encajan en la definición del Departamento de Defensa de “sólida”, según Richard Guidorizzi, director de programa de DARPA. “El problema es que no cumplen los requisitos humanos”.

Guidorizzi hizo estos comentarios en una charla titulada Más allá de las contraseñas, que se presentó el pasado noviembre en un simposio de DARPA en Arlington, Virginia. Los humanos usan pautas para que las contraseñas sean controlables, explicaba. Mostró cinco contraseñas escritas a mano, cada una de las cuales era una ligera variación de “Jane123”, fácilmente descifrables.
“Me gustaría un mundo en el que te sientes frente a una consola, te identifiques y simplemente empieces a trabajar, y que la autentificación aparezca al fondo, invisible para ti, mientras sigues haciendo tu trabajo sin interrupciones”, explicaba Guidorizzi.
No se usarían sensores biométricos, como huellas digitales o escáneres de iris. En lugar de ello, está buscando una tecnología que dependa únicamente de las características de conducta distintivas de una persona, lo que llama la huella dactilar cognitiva.
Roy Maxion, profesor de investigación de ciencia informática de la Universidad Carnegie Mellon, en Pittsburgh, supervisa unos estudios sobre la “dinámica de las pulsaciones”, en la que se incluye el tiempo que un usuario mantiene pulsada una tecla y pasa de una a otra.
Los movimientos que hemos realizado un sinfín de veces, explica Maxion, están dirigidos por un control motor, no por un pensamiento premeditado. “Es la razón por la cual la imitación con éxito de la dinámica de las pulsaciones resulta fisiológicamente improbable”, comenta.
Afirma que existen pruebas de que el estado emocional de un usuario afecta a los ritmos de tecleo, pero, de igual manera que se puede reconocer una canción aunque unos músicos ineptos la destrocen, también plantea la hipótesis de que un programa pueda reconocer el “ritmo principal” distintivo de una persona, que sería “perceptible incluso a través del ruido de la emoción, el cansancio o la intoxicación”.
La investigación, supervisada por Salvatore J. Stolfo, catedrático de ciencia informática de la Universidad de Columbia, en Nueva York, ha dado lugar al desarrollo de un software que usa una forma sencilla para detectar a un intruso: colocar documentos que sirven de señuelo en el ordenador. “Por ejemplo, hacemos que el usuario ponga en el PC un documento con un nombre atractivo como ‘Tarjetasdecrédito.doc’”, indica Stolfo. “Él o ella saben que solo está ahí como cebo, pero un intruso se vería tentado de abrirlo. ¡Bingo!”. Cuando se abre un archivo que sirve de señuelo, el software del sistema realiza comprobaciones para ver si la persona ha realizado búsquedas de archivos en el ordenador que encajen en la pauta de búsqueda esperada. Si no hay una equivalencia cercana, el sistema hace saltar una alarma y pide al usuario que confirme su identidad, explica Stolfo.
Maxion ha trabajado en otra biometría del comportamiento para la verificación de usuarios: la dinámica del ratón.Explica que “todo el mundo tiene una forma particular de usar un ratón, como la velocidad a la que se mueve el cursor por la pantalla, la trayectoria (una línea recta, convexa o cóncava) y la presencia o ausencia de alteraciones”.
Un sistema de seguridad sin contraseñas encajaría bien con las necesidades de los usuarios y no dependería en absoluto de una mente humana, que suele fallar con frecuencia.

No hay comentarios: