Identidad virtual en internet: la nueva forma de proteger la información
Recientemente mi vecino descubrió la contraseña de cuatro dígitos que desbloquea las puertas de entrada de nuestro departamento.
Compartió el código conmigo, su novia, amigos y otros vecinos. Yo lo compartí con otras personas, y ellos también. En pocas semanas, la contraseña del sistema de seguridad del edificio estaba zumbando en los oídos de personas que no tenían una de las tantas llaves físicas que se les dieron a los inquilinos.
La seguridad de mi edificio no es tan diferente del sistema de entrada protegido mediante contraseñas que crea una cerca alrededor de Facebook, Google, iTunes o cualquier otro servicio de internet. Las claves de acceso usualmente son compartidas entre familiares, amigos y esposos, y la gente comúnmente utiliza las mismas contraseñas para todo. Muchos expertos afirman que estas claves son el eslabón débil de la seguridad cibernética .
Para minimizar el robo de identidad, la administración del presidente de Estados Unidos, Barack Obama, está presionando a las compañías de internet a llegar a un acuerdo para adoptar un estándar, un sistema de verificación de identidad confiable que las personas puedan usar para cualquier sitio web. Cada persona escogería una empresa, quizás su proveedor de servicios de e-mail, para que maneje sus credenciales de información personal sensible o financiera en otros sitios.
En este mundo hipotético digital, alguien podría comprar libros en Amazon.com usando una cuenta de Google, mientras otra persona podría inscribirse en una red social usando una cuenta de PayPal. Debido a que el gobierno de Estados Unidos está involucrado, los estadunidenses podrían descargar sus solicitudes de impuestos entrando en, digamos, sus cuentas de Microsoft.
El presidente Obama introdujo la iniciativa en la primavera del 2011, y el desarrollo de la tecnología parece moverse a la velocidad de Washington, no de Silicon Valley. Después de un año, no existe un consenso entre las compañías de sitios web y el gobierno acerca de cómo se debería ver exactamente y cuando estará listo.
Algunos sitios web ya han adoptado una idea similar a la que ha sido propuesta. Por ejemplo, usuarios de Triplt, una organización de viajes de Concur Technologies, puede entrar desde sus cuentas de Google, Facebook o Yahoo.
Pero esto involucra pequeñas utilidades a costa de las redes de grandes compañías. Los gigantes de internet, como Amazon, Apple, Facebook y Google, no se llevan entre ellos .
Al contrario, Facebook y Google presumen lo rápido que están convenciendo a usuarios de otorgar su información personal creando perfiles. Apple menciona regularmente cuántas tarjetas de crédito tiene su servicio de iTunes (en su última cuenta, más de 225 millones).
La gente involucrada en la iniciativa del gobierno dice que los principales actores han expresado informalmente su interés. Sin embargo, un vocero de Google declinó comentar acerca de esta historia. Un vocero de Facebook declinó comentar y una vocera de PayPal no respondió a nuestra petición.
Estas compañías pueden ver sus respectivas plataformas como una ventaja competitiva, dijo Thibeau, el presidente ejecutivo de la Fundación OpenID. Su organización ha estado tratando de proveer un sistema universal de entrada que incluya Google y Yahoo, pero algunos usuarios encuentran la fila compuesta por pequeños botones algo confusa. OpenID lanzará una alternativa simple, con un solo botón llamada Connect en los próximos meses, afirma Thibeau.
Thibeau dijo que cree en que las compañías de tecnología se darán cuenta de los límites de sus políticas de identidad. Parecido a cómo las personas mandan mensajes de texto a amigos en diferentes compañías celulares, o como un usuario de Mac puede abrir un documento de Microsoft Word, los sistemas de acceso en internet deben estandarizarse algún día, afirma.
“Esta noción de estándares, tan aburrida como es, realmente es la plomería de la economía en internet”, dice Thibeau. “Resulta que sólo puedes ir lejos con los servicios y negocios de internet hasta que creas estándares. Los estándares crean mercados”.
La integración de internet
Los gigantes de internet no están ansiosos por unirse. Sin embargo, involucar al gobierno permite mejor posibilidad de juntar a los rivales, por varias razones. Las compañías y los ciudadanos pueden tener una reacción alérgica a la intervención del gobierno, especialmente cuando la privacidad se encuentra involucrada.
Cuando el presidente Obama anunció el año pasado que otorgaba las claves para una iniciativa de identidad en internet al Departamento de Comercio de Estados Unidos, habló de la producción de una “licencia de manejo online”. Observadores dicen que no es una analogía buena dado que el sistema de identidad, como fue propuesto, no sería requerido para usar la web, y no sería emitido por el gobierno. Sin embargo, la idea de una base de datos controlada por el gobierno puede asustar a mucha gente.
La propuesta de Obama describe una serie de problemas de seguridad en internet, como contraseñas inseguras y gente dando datos personales a varias compañías, así como sugerencias vagas para resolverlas.
“No es un tema de legislación”, dice Aaron Brauer-Rieke, un miembro del Centro de Democracia y Tecnología, un grupo de privacidad en internet de Washington. “Por el contrario, es el gobierno federal diciendo que aquí está nuestra visión de cómo mejorar la identidad en internet”.
Bases de datos para mejorar la seguridad
Hace un año, Jeremy Grant heredó el proyecto. Es un alto ejecutivo del Departamento de Comercio en el Instituto Nacional de Estándares y Tecnología, y está actuando como enlace del gobierno con compañías tecnológicas y abogados de privacidad como parte de la Estrategia Nacional para Identidades Confiables en el Ciberespacio, o NSTIC.
La prospectiva del gobierno para la identidad online difícilmente resultará en una ley, mientras que las compañías resuelvan un acuerdo entre ellas. El sistema podría ser regulado por la Comisión de Comercio Federal, dicen personas involucradas en la planeación.
“La manera en la que Washington tiende a afectar el cambio es ya sea pasando una ley o una regulación para que suceda algo”, dijo Grant. “NTSIC es un experimento político”.
Después de los intentos fallidos del gobierno, Estados Unidos han observado que una ID online debe ser impulsada por compañías, no países, y debe de mantener intacta el anonimato en internet, dijo Grant.
“Podríamos, en teoría, salir con algo que sería la trampa perfecta, y nadie lo querría comprar”, afirma Grant. “Al gobierno federal no le importa si eres una persona [conectada] o no. La anonimidad y la pseudoanonimidad siempre serán señales de identidad en internet”.
La licitación comenzará este mes en programas pilotos que deben lanzar a la NTSIC en el verano para demostrar cómo se vería una identidad online, dijo Grant. El gobierno determinará cuidadosamente qué medidas serán implementadas en el proceso de identificación y los castigos para aquellos que las violen, dijo. Algunos sitios podrán comenzar a lanzar opciones para entrar a la NTSIC en alrededor de dos años, dijo.
Otros no fueron tan optimistas.
Convencer a cada gran compañía de internet y cada usuario a entrar sería una promesa enorme, dijo Brauer-Rieke, desde el Centro de Democracia y Tecnología. “El trabajo duro apenas comienza”, dijo.
Debido a que es una política experimental inusual, el gobierno no puede hacer referencia a un programa similar en el pasado que haya sido exitoso, dijo Thibeau, que también es presidente de la Open Identity Exchange, que cuenta con AT&T, Google, PayPal y Verizon dentro de sus miembros. Además, otros países pueden oponerse a una iniciativa dirigida por Estados Unidos, afirma.
La imagen de este sistema sigue indefinida. Las personas quizá deban escribir una contraseña temporal recibida vía mensaje de texto, contestar preguntas en un cuestionario o identificar a amigos en fotografías, de acuerdo con la gente involucrada en la iniciativa. NSTIC incluso podrá requerir un seguro electrónico que conectan en sus computadoras, aunque no es considerable dado que las personas cada vez más se mueven a aparatos móviles que no tienen entradas estándares, dicen.
Casi todos los involucrados están de acuerdo con el hecho de que las personas escogiendo sus propia clave de acceso no durará. “La gran amenaza a la seguridad y a la privacidad son los passwords”, dice Thibeau. “Las contraseñas son noticia de ayer”.