Autenticación (primera parte)

Vivimos en un mundo en el que para prácticamente todo se requiere de un mecanismo de acceso, ya sea nuestro PIN del cajero automático, número de Seguro Social, número de empleado, credencial para votar, pasaporte, contraseña de correo electrónico, etcétera.

Mediante estos mecanismos tenemos acceso desde páginas personalizadas acordes a nuestros gustos o, bien, información personal (como es el caso de estados de cuenta bancarios.

 

El proceso que abarca introducir “algo” (una clave por ejemplo) y obtener “algo” (estados de cuenta, acceso a noticias, etcétera), previa validación, se denomina “autenticación”.

De una manera más formal puede definirse como “proceso por el cual el usuario se identifica de forma unívoca y en muchos casos sin la posibilidad de repudio” (Wikipedia).

 

¿Cómo nos identifica de forma unívoca? Imaginemos el acceso a la banca por Internet: nosotros nos autenticaremos (o identificaremos) introduciendo ciertos datos (dependerán del banco) y al validarse los mismos nos mostrará nuestra información y de nadie más (a menos que la aplicación tuviera algún problema, pero eso es materia para otro tema).

 

Ahora bien, cuando nosotros hacemos alguna operación, sea o no de manera electrónica, como por ejemplo el pago de una tarjeta de crédito, nos interesa que dicho pago quede registrado en tiempo y forma, para lo cual se nos entrega un comprobante; en caso de que por determinada circunstancia surgiera algún problema en el que no se viera reflejado dicho pago, nuestra única defensa será dicho comprobante, mediante el cual el banco, una vez validada la autenticidad del comprobante, no podrá negar que se efectuó dicha operación; es decir, no podrá “repudiarla”.

 

Entonces podemos ver que el “no repudio” significa no poder negar que se ha realizado cierta acción. En el mundo digital esto cobra una importancia relevante en el día a día de las empresas.

 

Para que quede más claro, imagine que Juan Pérez López es el responsable de generar la nómina para la empresa “López y Asociados”, la cual es una empresa con más de 500 empleados. Juan debe realizar las transferencias entre las múltiples cuentas de la empresa para poder realizar los pagos, dichas transferencias se realizan por Internet, obviamente.

 

Juan tiene un horario de las 9:00 a las 16:00 horas, aunque la mayoría del personal tiene un horario más extendido, por lo que su puesto de trabajo queda una buena parte de la tarde solo.

 

Tenemos a otro empleado: Pedro Gómez, compañero de Juan, que está descontento ya que no le dieron el aumento de sueldo que esperaba, entonces piensa en “hacerse justicia por propia mano” y elabora un rebuscado plan de “robo hormiga” para no ser descubierto.

 

Para ello, espera a que Juan se vaya a casa y comienza a hacer retiros durante varios días. Pasado el tiempo, el área contable detecta el faltante de dinero y determina la responsabilidad a Juan, quien es detenido y llevado ante las autoridades acusado de robo, además de que la economía de la empresa está inestable por el robo realizado.

 

¿Les parece muy fantasiosa la situación descrita? No lo crean así, esto sería posible si tanto los bancos, las aplicaciones y los equipos de cómputo involucrados no tuvieran un mecanismo de autenticación robusto.

 

Si bien es cierto que la seguridad al 100% no existe, la labor de las empresas y de los responsables de seguridad es garantizar que los riesgos de la seguridad de la información sean conocidos, minimizados y asumidos por la empresa.

 

Una vez expuesto el escenario y entendiendo la importancia de realizar una autenticación efectiva, podemos continuar.

 

Es importante hacer un paréntesis y decir que un proceso de autenticación por muy efectivo, se vuelve prácticamente inútil sin un sistema paralelo que monitoree el proceso y que guarde una bitácora. Así, en caso de que se lograra burlar el sistema, quedaría registrado y ello ayudaría a la investigación. Ya hablaremos en otros artículos sobre la importancia de las bitácoras.