Signature credit cardLas cuatro compañías más importantes emisoras de tarjetas de crédito en los Estados Unidos, American Express, Discover, Mastercard y Visa, se unen para anunciar que dejarán de solicitar a los establecimientos de su red que recojan la firma de los clientes en el momento de la transacción. Un gesto, el de firmar, cada vez menos utilizado y con un valor prácticamente nulo como elemento de seguridad: las posibilidades de un empleado de una tienda de comprobar la integridad o veracidad de una firma con unas mínimas garantías han sido siempre mínimas, y abundan los ejemplos de personas que firman con cualquier tipo de garabato o incluso con dibujos absurdos, y no tienen ningún problema a la hora de procesar su pago. 

Con el tiempo y la evolución de los medios de pago, la necesidad de la firma se ha visto eclipsada por el uso de elementos algo más seguros, como el número de identificación personal o la inclusión de elementos de biometría, como la huella dactilar o la cara en el caso de pagos mediante smartphone. El uso de un elemento como un bolígrafo con el que se estampa un garabato sobre un papel es cada vez más anacrónico, y empieza a no ser utilizado ni siquiera en el momento de la firma de un contrato para, por ejemplo, abrir una cuenta bancaria, sustituido por otros elementos como un selfie o la captura con la cámara de un documento de identificación.

Junto con la firma, otro elemento de seguridad cada vez más claramente destinado a la extinción es el uso de la contraseña: el uso cada vez más extendido de gestores de contraseñas lleva a que los usuarios comiencen a abandonar malas prácticas como el utilizar contraseñas fáciles de recordar o la misma contraseña para todo, escogiendo en su lugar contraseñas imposibles y aleatorias que no conocen, pero que son recuperadas en el momento de acceder a cada servicio por servicios como LastPass1PasswordNoMorePass o similares. Pero más allá de mejorar los sistemas basados en el uso de una contraseña, estos también están siendo cada vez más sustituidos por elementos biométricos tomados en el momento en que son requeridos de cualquiera de los dispositivos que un usuario maneja. Por la mañana, me levanto, me pongo el smartwatch, y este se desbloquea sin necesidad de introducir su contraseña de acceso cuando tomo el smartphone y lo desbloqueo apuntando a mi cara. Cuando abro mi ordenador portátil, ocurre lo mismo: en una curiosa secuencia, se desbloquea mediante la presencia de mi smartwatch en mi muñeca y desbloqueado, aunque mantengo la posibilidad de desbloquearlo igualmente mediante mi huella dactilar en su sensor o mediante una contraseña, que obviamente he dejado de utilizar salvo cuando lo reinicio o para algunas escasas operaciones que aún la requieren. Cuando desde el ordenador compartido de alguna clase hago login en muchas de mis cuentas, ese login únicamente se completa cuando lo confirmo en alguno de los dispositivos que llevo conmigo, proporcionándome un nivel adicional de seguridad basada en factores múltiples. Pronto, un nuevo estándar de seguridad propuesto por W3C, WebAuthn y aceptado ya por Google, Microsoft y Mozilla, se encargará de coordinar las formas en las que las personas acceden a servicios en la web y se incorporará a prácticamente todos los navegadores significativos.

No más firmas, relegadas ya al más trasnochado de los absurdos, y a la espera de ser también pronto desacralizadas por servicios aún tan necesarios en la sociedad como los notarios, las firmas de contratos y actas, o por procesos tan habituales y absurdamente redundantes como el de hacer checkin en un hotel. Asimismo, no más contraseñas, convertidas en incómodas pruebas de memoria o en cada vez más momentos de inseguridad, incomodidad y de uso habitual del botón “olvidé mi contraseña”. Elementos de seguridad que hasta hace pocos años eran exclusivos de sistemas de elevada sofisticación, convertidos en habituales gracias a la incorporación de cada vez más elementos de sensorización y captura de huella dactilar o de otros parámetros biométricos en dispositivos cada vez más ubicuos. Si aún tienes que firmar con frecuencia o que introducir contraseñas de manera habitual, o si esos elementos están aún integrados en los procesos de negocio de tu compañía, plantéate que es posible que debas repensar esos procesos para darle un impulso a tus prácticas de seguridad.

 

IMAGE: Trustieee - 123RFEn la última sesión del multitudinario XIX congreso del Partido Comunista chino, una serie de noticias parecen indicar que la obsesión por el control de su líder, Xi Jinping, podría estar convirtiéndose en una auténtica obsesión.

El gigante asiático podría, según algunas informaciones de prensa china publicada en inglés (que podrías tener problema para leer si utilizas habitualmente alguna VPN), estar trabajando en el desarrollo de un faraónico proyecto destinado a construir una enorme base de datos biométricos para el reconocimiento facial de los 1,300 millones de habitantes del país, que permitiría la identificación de cualquier persona cuando pasa por alguna de las cada vez más omnipresentes cámaras situadas en la vía pública y en otros lugares, en un lapso de pocos segundos, con un 90% de fiabilidad. El proyecto, liderado por el Ministerio de Seguridad Pública e iniciado en el año 2015, está desarrollándose con la participación de una empresa de seguridad con base en Shanghai.

Además, el gobierno podría estar trabajando en otros proyectos relacionados: la construcción de una base de datos de huellas de voz, con el mismo fin, ser capaz de identificar a cualquier ciudadano en función de su voz, y otra de muestras de ADN. La primera podría servir para, mediante la monitorización de las telecomunicaciones, poner bajo vigilancia a sospechosos de actividades como la trata de personas, prostitución, tráfico de drogas y otro tipo de delitos, pero resulta difícil imaginar que no sea utilizada para monitorizar también la disidencia política. La segunda no difiere de esfuerzos similares llevados a cabo en otros países, pero lógicamente, la diferencia está en el control de su uso, dependiente en la mayoría de los países occidentales de un mandato judicial que se otorga en función de los indicios de la comisión de un delito.

Lo comentamos hace tiempo: China, hoy, se está convirtiendo cada vez más en el reflejo más claro de las distopías ideadas por George Orwell en su obra “1984”. En una interesantísima jornada reciente con emprendedores del país, algunos me comentaron que la situación no generaba demasiadas esperanzas de transición a sistemas más respetuosos con los principios democráticos o con los derechos fundamentales: por un lado, al país le iba, desde un punto de vista macroeconómico, muy bien así, con un sistema indudablemente diferente pero con una fortísima eficiencia a la hora de plantear movimientos estratégicos o de adaptarse a las necesidades que demanda el futuro. Pero, por otro, se percibía una enorme ausencia de disidencia: las quejas que los más jóvenes podían plantear por, por ejemplo, las recientes restricciones al uso de VPNs no venían tanto de que tuviesen curiosidad por la política, sino porque ya no podían conectarse a determinadas herramientas para saber qué hacían Justin Bieber, Ariana Grande o figuras similares. Algunos de ellos, de hecho, se referían a las generaciones más jóvenes como “50 cents“, la denominación que suele utilizarse para los miembros del ejército de censores que pululan por la red vigilando los contenidos y contestando con elogios al régimen en aquellos foros en los que sus actuaciones, de alguna manera, se cuestionan.

El próximo líder del mundo tiene unos principios sensiblemente diferentes a los que muchos consideramos elementos fundamentales de las sociedades en las que queremos vivir. Buena suerte con ello…

 

Signatures (IMAGE: EDans)¿Cuánto vale una firma? Las de la imagen, que fotografié en un momentito en un par de salas del Metropolitan Museum de Nueva York, obviamente muchísimo. Picasso lo tenía muy claro: su firma identificaba su trabajo, que reflejaba la experiencia de toda una vida pintando, y tenía un valor muy elevado.

Mastercard, sin embargo, piensa lo contrario: la firma no vale nada, y quiere eliminarla completamente de sus transacciones antes de abril de 2018. Las asociaciones de comerciantes están de acuerdo, y lo consideran un buen movimiento, porque consideran la captura de la firma como algo engorroso, que retrasa el proceso de cobro y que, en realidad, no aporta ninguna seguridad adicional.

En efecto: la firma es un método de autenticación débil, absurdo, y que no aporta ninguna seguridad como sistema de verificación. Es un tema que lleva muchos años comentándose: firmar un recibo de una compra con tarjeta de crédito es absurdo, como lo es firmar la propia tarjeta, aunque en teoría esa firma en el dorso de la tarjeta suponga la aceptación del contrato que te permite utilizarla como medio de pago. ¿Realmente es válido el intento de firma que hacemos con el dedo en la pantalla de un móvil como prueba de la entrega a domicilio de una mercancía? ¿Puedes hacer el garabato que quieras, porque en realidad no sirve para nada? En la inmensa mayoría de los casos, el que recibe la firma no se preocupa en absoluto de compararla con la del dorso de la tarjeta.

Actualmente, el 80% de las transacciones con tarjeta de crédito ya no requieren la firma del usuario, y el plan de Mastercard es terminar completamente con la firma. Simplemente, y por mucho que se siga utilizando para todo tipo de contratos, es un método absurdo y anticuado. Mi hija sabe reproducir mi firma con una gran exactitud, y yo, a su edad, sabía reproducir la de mi padre. Los chips, la tokenización y la biometría son sustitutos infinitamente más lógicos y adaptados a los tiempos. La huella digital que utilizo para desbloquear mi smartphone y pagar con Apple Pay en una tienda es una prueba mucho más segura de mi identidad que un garabato, o que el hecho de exhibir un carnet de identidad con una fotografía en blanco y negro a la que no me parezco en absoluto porque cuando la tomé, pesaba veinte kilos más.

¿Por qué seguimos otorgando valor a la firma y a otros métodos de identificación propios de otros tiempos? Simplemente, por costumbre. Las costumbres cambian con los tiempos y con la evolución del escenario tecnológico, pero lo hacen muy lentamente, de manera casi generacional. Y en ocasiones, como en el caso de la firma de las tarjetas, llegan a generar situaciones completamente ridículas. En algún momento, alguien debe plantarse, evaluar las situaciones, y solucionar estas incoherencias.

 

IMAGE: Le Moal Olivier - 123RFGoogle anuncia que su Project Abacus, presentado en mayo del año pasado, estará disponible para desarrolladores en el entorno Android a finales de este año. El proyecto, que ha sido calificado por algunos como “creepy”, plantea la sustitución de las contraseñas por un conjunto de datos tomados de patrones del usuario, que incluyen desde su forma de teclear o caminar, hasta cuestiones como su localización, características de la voz o reconocimiento facial, entre otras cosas, para construir un trust score acumulativo que  sirve para autenticarte.

En la práctica, el proyecto es ni más ni menos que un análisis biométrico continuo, una continua monitorización mediante los sensores de un dispositivo llevada a cabo con el fin de comprobar que, efectivamente, somos nosotros los que lo llevamos encima o lo utilizamos. La idea es eliminar la necesidad de introducir contraseñas, números de identificación o patrones en una matriz de puntos que han demostrado ser escasamente eficaces y generar, además, una cierta incomodidad derivada del hecho de tener que introducirlos cada vez que pretendemos relacionarnos con el dispositivo.

Combinar este tipo de proyectos y tecnologías con tendencias como el pago electrónico genera escenarios que, aunque aún alejados del nivel de perfección que posibilita un uso cotidiano cómodo, nos llevan a especular sobre muchas posibilidades. La progresiva sensorización de cada vez más dispositivos convierte la identidad de una persona en un conjunto de datos generados con unos ciertos patrones, lo que implica que podemos relajar algunos de los requisitos si podemos obtener una razonable confianza utilizando otros. Plantear una identificación mediante huella digital, por ejemplo, no resulta especialmente seguro si tenemos en cuenta que nuestra huella está disponible en cualquier objeto que toquemos o incluso en algunas fotografías, pero además de elevar sensiblemente el nivel de pericia necesario para que alguien se plantee suplantar nuestra identidad para abrir nuestro dispositivo, puede

El sensor de huella digital de un smartphone, por ejemplo, necesita un nivel de precisión suficiente como para hacer una identificación razonablemente buena de una huella que, según el momento, se apoya en el sensor de maneras diferentes, en circunstancias variadas de limpieza, de nivel de hidratación o de otras circunstancias que puedan afectar a la huella. El nivel de tolerancia, por tanto, tiene que tener en cuenta estos factores: si es muy bajo y exige una lectura muy rigurosa, habría un elevado número de ocasiones en las que nos enfrentaríamos con el problema de no poder desbloquear nuestro dispositivo. De ahí la necesidad de disponer de un método alternativo, como el PIN. No obstante, si en un número elevado de ocasiones nos viésemos obligados a recurrir al PÎN, es evidente que terminaríamos por desconectar el sensor de huella por resultar poco práctico. Cuando nos planteamos métricas basadas en la biometría, este tipo de factores de redundancia pasan a tener un valor fundamental: no se trata de identificar a alguien por su paso, por su cara, por su localización, por su voz o incluso por su ritmo cardíaco, sino por una combinación de varios de esos factores, del mismo modo que se hace con el llamado device fingerprinting: si estás en un sitio identificado como habitual, como tu casa o tu despacho, la precisión de otros requerimientos pueden relajarse sensiblemente, o si la combinación de varios factores apuntan a que efectivamente eres tú, podemos no requerir otros datos.

La paradoja es evidente: en el mundo actual, objetos como las llaves ya no tienen ningún sentido, podríamos utilizar infinidad de procedimientos que evitarían que cargásemos con ellas (y en mi caso, que me las olvide en todas partes)… pero las llaves siguen siendo el mecanismo de seguridad empleado en el 99% de las puertas. Para desbloquear un dispositivo, estamos en el mismo caso: los patrones pueden inferirse por la grasa de las manos, las contraseñas pueden verse por encima del hombro… pero sigue siendo lo que utilizamos en la inmensa mayoría de los casos. En el fondo, se trata de buscar un compromiso razonable entre seguridad y comodidad, teniendo en cuenta que el número de variables que podemos utilizar para ello, en un mundo cada vez más sensorizado, ha crecido. ¿Estamos preparados para que nuestros dispositivos nos identifiquen mediante una lectura biométrica constante? ¿Nos parece la perspectiva de una lectura biométrica continua algo espeluznante, o estamos dispuestos a ello a cambio de gozar de una comodidad mayor?

 

IMAGE: Rukanoga - 123RFUn estudio de la Universidad de Zurich ha desarrollado un sistema capaz de prever los errores en el software creado por un programador a partir de datos biométricos obtenidos mientras lo creaba.

En las pruebas, un grupo de programadores llevó a cabo su trabajo habitual mientras utilizaban un brazalete y un pulsómetro con una banda pectoral en los que se recogían datos como la frecuencia cardíaca, la velocidad de la respiración o la conductividad epidérmica, para encontrarse con que las variaciones de estos parámetros terminaban siendo un indicador superior a la hora de detectar errores en el software que generaban que todas las demás metodologías clásicas de detección de errores. Las métricas permiten averiguar, por ejemplo, el nivel de dificulta al que se enfrenta un programador cuando trata de resolver una problemática determinada, y es posible desarrollar un algoritmo que establezca una correlación adecuada entre la evolución de este tipo de métricas y la aparición de errores en el código.

¿Cómo reaccionar ante una cuestión así? Por un lado, los errores en el software cuestan dinero, deben tratarse de minimizar y plantean un problema de productividad, cuando no algo más complejo. Encontrar sistemas que permitan detectar esos errores lo antes posible y mejorar la calidad del software parece un fin deseable, algo que todos los implicados en el proceso, desde los creadores del software como tales hasta los usuarios o los destinatarios finales del mismo deberían apreciar. Pero por otro lado, la idea de trabajar conectado a una serie de sensores que avisan cuando te equivocas suena a pesadilla total, a auténtica “granja avícola” en la que son “los programadores son los que trabajan programados”, o como comentan algunos, “como un examen de programación interminable y en el que además tienes que estar desnudo”.

¿Nos imaginamos desarrollando nuestro trabajo conectados a una serie de wearables que permiten monitorizarnos mientras lo llevamos a cabo? Durante mis clases, en algunas ocasiones, por pura curiosidad, chequeo mi Fitbit para ver mi ritmo cardíaco, que es la variable que tengo configurada inmediatamente después de la hora (lo que hace que la pueda ver con tan solo un golpecito, algo razonablemente discreto). Sería sumamente fácil detectar, monitorizando mi pulso, los momentos de la clase en los que me encuentro más relajado discutiendo un tema que me gusta, más nervioso porque me cuesta entender el acento del alumno que interviene, o más ansioso (o en ocasiones frustrado) porque no consigo que las intervenciones lleven la discusión  al tema que me interesa tratar. Pero la idea de pasar de una métrica informal para mí que consulto en ocasiones por pura curiosidad, a convertirla en un indicador de mi desempeño de cara a una hipotética evaluación por un tercero me resulta, de entrada, completamente inaceptable. Por otro lado, sugiere visiones de auténtica ciencia-ficción en las que las personas exhiben sus datos biométricos de manera sistemática y transparente, y resulta fácil saber si alguien está mintiendo, si a alguien le gusta alguien o si alguien está enfermo o en apuros, simplemente mirando sus indicadores.

En el momento en que algunos escenarios de ciencia-ficción empiezan a materializarse gracias a – o por culpa de – las posibilidades que ofrece la tecnología, es el adecuado para reflexionar sobre ellos. ¿Tiene sentido ofrecer a un trabajador una herramienta para mejorar su trabajo, y el stress generado por su uso termina cuando se da cuenta de que en realidad, termina trabajando mejor así? ¿O por el contrario, genera una ansiedad contraproducente, una situación contraria a la dignidad humana, o incluso un control casi consciente de esas variables hasta el punto de ser capaz de engañar hasta cierto punto a los sensores? ¿Positivo, negativo, o directamente absurdo?

Obviamente, una buena parte de la respuesta está no en la herramienta en sí, sino en cómo se utilice – suponiendo que se llegue a utilizar. Proponer un sistema así como una herramienta para el trabajador, que monitoriza él mismo y que utiliza para mejorar su trabajo, frente a configurarlo como un sistema de control en manos de un tercero o una métrica de evaluación del rendimiento. En cualquier caso… ¿terminaremos viendo escenarios en los que determinados trabajadores desarrollan su tarea mientras se les mantiene bajo la lupa, o la sola idea resulta directamente demencial?