El Centro Nacional de Ciberseguridad del Reino Unido (NCSC, por sus siglas en inglés), que forma parte de la Oficina Central de Comunicaciones del Gobierno (GCHQ, por sus siglas en inglés), acaba de publicar su informe anual para 2025. Una de las recomendaciones principales es la cuestión de la identidad digital. Señalan, acertadamente en mi opinión, que «una identidad digital sólida es un problema a largo plazo con muchos factores variables«. Efectivamente, lo es, pero si nosotros (es decir, la sociedad en su conjunto) no abordamos este espinoso asunto, estaremos socavando fatalmente nuestra seguridad y prosperidad.
La identidad digital es sinónimo de seguridad
Una de las «espinas» de este asunto es la autenticación, y aquí creo que los británicos podemos ser optimistas. El NCSC está trabajando con el Gobierno y la Alianza FIDO para mejorar la adopción de las «claves de acceso» en los sectores público y privado. Si no estás familiarizado con las claves de acceso (que ya se utilizan ampliamente), imagina que deseas iniciar sesión en tu cuenta de Google en un nuevo dispositivo. En lugar de introducir una contraseña, una clave de acceso te permite iniciar sesión en tu cuenta con un dispositivo que ya has verificado (por ejemplo, tu teléfono). No es necesario que recuerdes una contraseña y nadie más puede iniciar sesión en tu nombre porque no tiene tu teléfono.
La Alianza FIDO, en colaboración con los expertos en identidad digital de Liminal, ha creado el Índice Passkey para realizar un seguimiento del impacto de las claves de acceso. Basándose en datos de los principales proveedores de servicios, desde Amazon y Google hasta TikTok y Target, el Índice muestra que el 93% de las cuentas de usuario de las empresas participantes ya pueden iniciar sesión con claves de acceso. De ellas, alrededor de un tercio ha registrado una clave de acceso, y una cuarta parte de todos los inicios de sesión se realizan actualmente mediante claves de acceso. Los inicios de sesión con claves de acceso tardan una media de solo 8,5 segundos, lo que supone un 73% más rápido que los métodos tradicionales, como la verificación por correo electrónico o los códigos SMS, que tardan más de 30 segundos. También disfrutan de una tasa de éxito del 93%, en comparación con el 63% de los métodos tradicionales, lo que se traduce en menos intentos de inicio de sesión fallidos y, según los proveedores de servicios, en una reducción de cuatro quintas partes de las incidencias relacionadas con el inicio de sesión en el servicio de asistencia técnica, lo que sin duda tiene un impacto en los resultados finales.
(Por eso, por poner un ejemplo, Microsoft está impulsando la eliminación de las contraseñas animando a sus clientes a utilizar claves de acceso y haciendo que todas las cuentas nuevas sean sin contraseña por defecto. La empresa ha eliminado las funciones de gestión de contraseñas de Microsoft Authenticator, dejando las opciones de almacenamiento de claves de acceso).
No es necesario que leas este párrafo si no te interesa mucho la tecnología, pero para aquellos que sí estén interesados: las claves de acceso utilizan criptografía real en forma de pares de claves públicas y privadas. Cuando un usuario configura una clave de acceso para una cuenta, genera una clave privada y la almacena de forma segura en su dispositivo, mientras que el servicio recibe una clave pública. Este procedimiento criptográfico hace que las claves de acceso sean más seguras que las contraseñas, ya que la clave privada no puede ser interceptada, adivinada ni robada: nunca sale del almacenamiento seguro de su dispositivo. Acelerar la adopción de las claves de acceso significa que, en todos los sectores, podemos migrar a las personas de las contraseñas y la autenticación multifactorial débil, como las contraseñas de un solo uso (OTP) enviadas por mensajes de texto, a métodos más seguros, estándar y fluidos.
Esos mensajes de texto son un problema particular y esta opinión no es nada nueva. Recuerdo cuando Charles Brookson, entonces jefe del grupo de seguridad de la GSMA, señaló que los SMS no tienen, a todos los efectos, ninguna seguridad. Ahora bien, la entrada del blog a la que enlaza es de 2008 y, si no recuerdo mal, por aquella época hice una presentación en la que me basé en una historia de 2007 para ilustrar que el uso masivo de los SMS para transacciones seguras podría resultar poco aconsejable, a pesar de su comodidad. Eso fue hace dos décadas.
Hace una década, el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) del Departamento de Comercio de EE UU publicó su Guía de autenticación digital (julio de 2016), en la que se decía lo siguiente sobre los mensajes de texto fuera de banda (OOB, out-of-band):
Busqué «obsoleto» para asegurarme de que lo entendía bien, ya que supuse que significaba algo más que una desaprobación general. Según mi diccionario, significa lo siguiente: «(principalmente en relación con una función de software) que se puede utilizar, pero que se considera obsoleta y es mejor evitarla, normalmente porque ha sido sustituida: esta función está en desuso y se eliminará en versiones posteriores».
La identidad digital significa privacidad
Se acabaron las contraseñas y los mensajes de texto para la autenticación. Creo que todos estamos de acuerdo en eso. De hecho, muchas organizaciones de servicios financieros han comenzado a pasar a las notificaciones push y a la confirmación dentro de la aplicación para las transacciones, y esto funciona bien. Pero realmente es hora de ir más allá con soluciones estandarizadas de uso general. Por ejemplo, el informe del NCSC también destaca la capacidad de lo que ellos denominan criptografía «novedosa» (o lo que yo llamaría criptografía «probada y comprobada») para ofrecer a los ciudadanos y clientes la posibilidad de demostrar de forma segura que son elegibles para recibir servicios sin revelar innecesariamente otros atributos sobre sí mismos.
Lo que quieren decir, por supuesto, es la capacidad de presentar credenciales en lugar de información de identificación personal (PII). Esto, a su vez, significa que podemos pasar de la identificación a la autorización en la mayoría de las transacciones, un cambio muy esperado en los fundamentos de las transacciones en línea. Esto es lo que los defensores de la «identidad soberana propia» (SSI, por sus siglas en inglés) llevan tiempo pidiendo. Su opinión es que, al poner los datos personales en manos de los individuos, la SSI tiene el potencial de reducir los niveles de frustración de los consumidores que tienen que hacer malabarismos con docenas de contraseñas y cuentas almacenadas en bases de datos centralizadas que ofrecen poca transparencia sobre cómo se almacenan, comparten o monetizan los datos.
Soy escéptico sobre la SSI máxima, porque creo que la mayoría de las personas (por ejemplo, yo) carecen de la competencia persistente necesaria para gestionar sus identidades por sí mismas, pero creo que tiene mucho sentido alguna forma de SSI custodial en la que las identidades sean gestionadas por instituciones reguladas en nombre de los clientes. Aparte de cualquier otra cosa, si accidentalmente dejo mi iPhone encima de mi coche y luego lo atropello al dar marcha atrás después de que haya caído a la carretera (como le ocurrió recientemente a un amigo mío), me gustaría poder recuperar mi identidad de la custodia de mi banco en lugar de tener que reconstruirla pieza por pieza.
