Dos pioneros de Silicon Valley quieren ayudar a eliminar las contraseñas con Beyond Identity

Las contraseñas son, a juicio de muchos, algo del pasado que debería desaparecer como método de autenticación en servicios y ordenadores. El futuro de la seguridad online apunta a que habrá menos contraseñas para identificarse. Para conseguirlo han nacido varios proyectos, como el que dio origen al protocolo WebAuthn. Y desde ahora, hay otro proyecto más, que llega de la mano de dos pioneros de Silicon Valley, fundadores de Netscape, Silicon Graphics y de la red @Home: Beyond Identity.

Esta compañía, fundada según Security Week por Jim Clark y Tom Jermoluk, ha desarrollado una solución de autenticación y autorización basada en certificados, personal y residente en el teléfono, y con la que se eliminan todas las contraseñas. Hasta ahora ha levantado 30 millones de dólares de financiación en una ronda de serie A en la que han participado, entre otros, Koch Disruptive Technologies y New Enterprise Associates.

La solución de la compañía está pensada para eliminar la necesidad de utilizar cualquier tipo de contraseña en un proceso de autenticación, lo que elimina prácticamente del todo las brechas de seguridad relacionadas con el robo de contraseñas. Además, acaba con las fricciones del proceso de acceso, quita la carga que supone el reseteo de contraseñas a los servicios de atención al cliente y puede ser la base de un modelo de confianza cero, en la que la identidad es el perímetro de seguridad.

La tecnología que usa no es precisamente nueva, y se basa en los certificados X.509 y en SSL, inventado por Netscape hace ya unos 25 años. Llega gracias a la oportunidad que ofrecen los smartphones modernos, con acceso biométrico de usuarios. Estos también tienen potencia y memoria suficientes para operar un sistema de este tipo, y son un enclave seguro para el almacenamiento de las claves privadas de un autocertificado que nunca sale del dispositivo y que es nuevo. Este acceso biométrico relaciona al smartphone con su propietario, y el certificado de Beyond Identity se encarga de autenticar el dispositivo, y con él a su usuario, con el proveedor de servicios en cuestión, tanto si es un banco como una red corporativa.

Para poner en marcha el servicio basta con descargar e instalar la app cliente de Beyond Identity, disponible para Windows, MacOS, iOS y Android. Tras ejecutarla se genera una clave privada en el dispositivo que proporciona el certificado que autentica al usuario. La app reune además información adicional sobre el dispositivo, eso sí, sin recoger información personal. Lo que hace es, más bien, un perfil del aparato, que se genera cuando se accede al servicio, y que se puede utilizar para otras autorizaciones basadas en riesgo.

Entre la información que se recopila en el perfil está el modelo del dispositivo y el sistema operativo utilizado, si el dispositivo está o no protegido por contraseña o si tiene o no la biometría activada. También si su disco duro está cifrado o si se han activado Gatekeepeer y un firewall. Esta información ayuda a asegurar el cumplimiento de las normas de seguridad y las diversas regulaciones, añade precisión a la detección de anomalías y proporciona datos para el rastreo de amenazas y la investigación de incidentes.

Los usuarios pueden utilizar este sistema en tantos dispositivos distintos como quieran. La única diferencia que se generará en el perfil del dispositivo que se genere en ellos es que la conexión a servicios será distinta para cada dispositivo. Esto permite a las empresas diferenciar entre autenticación a través de sistemas criptográficos y autorización, que se realiza a través del perfil del dispositivo. Por ahora, Beyond Identity va a centrarse en las empresas, y para finales de 2020, la compañía prevé que su solución pueda empezar a llegar a los consumidores.