Ya sea inteligencia artificial o, ejem, inteligencia de Apple, la IA es la noticia del día. Por eso creo que es hora de hablar de (se sienta al revés en la silla) contraseñas.
Puede que haya quedado enterrado en los informes del evento de Apple de anoche (que los inestimables Kari Paul y Nick Robins-Early cubrieron para nosotros desde Cupertino y Nueva York), pero uno de los cambios más importantes que llegarán a las plataformas de la compañía el año que viene es la creación de una nueva aplicación de contraseñas.
El usuario medio probablemente nunca haya oído hablar de 1Password o LastPass, y puede que no sepa que el iPhone puede crear y almacenar contraseñas automáticamente para él. Para usuarios como ese, la nueva aplicación Passwords que aparecerá en la pantalla de inicio de su iPhone este otoño les permitirá, con suerte, acceder a un futuro informático más seguro.
La versión directa de esto es que se trata de un cambio mínimo. Casi todo lo que hará la nueva aplicación de contraseñas ya está en iOS y macOS, solo que oculto en los menús de configuración. A menos que hayas decidido activamente hacer algo diferente, si usas cualquiera de las plataformas, deberías poder ir a la aplicación de configuración del sistema, desplazarte hacia abajo hasta Contraseñas y, después de autenticarte con tu rostro o huella digital, ver una bonita lista de todos los inicios de sesión que tienes en Internet.
Apple tampoco ha descuidado el servicio. En los años transcurridos desde su lanzamiento, lo ha convertido en un gestor de contraseñas con todas las funciones: realiza una auditoría de seguridad ligera y te avisa de las contraseñas pirateadas o reutilizadas; te permite compartir detalles con miembros de tu familia, lo que te ahorra tener que enviar por correo electrónico datos confidenciales; incluso te permite importar y exportar la base de datos, algo que sigue siendo una rareza para la empresa.
Pero la creación de una aplicación propia para el servicio sigue siendo un paso importante, porque el problema que Apple está intentando resolver no tiene nada que ver con las contraseñas, sino con la identidad.
La semana pasada me reuní con Steve Won, director de productos de 1Password, una aplicación de gestión de contraseñas con una larga trayectoria en las plataformas de Apple. “La forma en que gestionamos la identidad digital es un desastre”, dijo Won. “En realidad, no tengo ninguna identidad: solo hay bases de datos aleatorias en todo el mundo con mi información. La información de mi tarjeta de crédito, mi información bancaria, mi universidad probablemente todavía tenga mi información, y así sucesivamente”.
Las contraseñas son la forma más antigua y popular de resolver el problema de la identidad en Internet. Demuestras quién eres compartiendo algo que solo tú sabes. Pero también tienen grandes y obvios problemas: el simple hecho de existir en el mundo desarrollado requiere la creación de más contraseñas de las que uno puede recordar razonablemente, lo que empuja a la gente a reutilizar las contraseñas. La reutilización de contraseñas significa que la pérdida de una sola contraseña puede dar lugar a devastadores ataques posteriores. Intentar memorizar una contraseña única para cada cuenta obliga a que las contraseñas sean lo suficientemente cortas como para que se puedan adivinar mediante fuerza bruta.
Todo esto conduce, inexorablemente, a la creación de gestores de contraseñas. A pesar de competir directamente con Apple en este espacio (una posición en la que nadie elegiría estar), Won es optimista. “Cada vez que Apple y Google han hecho un gran esfuerzo en torno al gestor de contraseñas, ha sido como nuestro mes de mayor éxito”, afirma. Presentando a 1Password como “el Aston Martin de los gestores de contraseñas”, argumenta que cualquier cosa que deje claro a los usuarios que necesitan dejar de memorizar o reutilizar contraseñas es una ventaja. “El mercado total al que se puede dirigir un gestor de contraseñas debería ser realmente de siete mil quinientos millones de personas”.
Pero ni siquiera un gestor de contraseñas puede solucionar el problema de las contraseñas. Vincular sistemas cada vez más valiosos a una cadena de caracteres que se puede suplantar o robar fácilmente es una receta para los problemas. La autenticación de dos factores soluciona algunos de los problemas, pero también introduce otros nuevos. Por eso, la industria ha empezado a pensar en lo que vendrá después: las claves de acceso.
Quizás recuerdes cuando hablamos de ellos hace dos años. De los archivos de TechScape:
Una leve mejora en tu vida diaria. Eso es lo que Apple, Google y Microsoft están ofreciendo, con un triple anuncio bastante inusual: los tres gigantes tecnológicos están adoptando el estándar Fido y marcando el comienzo de un futuro sin contraseñas. El estándar reemplaza los nombres de usuario y las contraseñas con “claves de acceso”, información de inicio de sesión almacenada directamente en tu dispositivo y solo cargada al sitio web cuando se combina con una autenticación biométrica como una selfie o una huella digital.
Sin embargo, desde su lanzamiento en 2022, las claves de acceso no han sido un fenómeno mundial. En parte, esto se debe a que su implementación ha sido lenta: solo un puñado de sitios las admiten, como 1Password. Listado 168 en su directorio – pero también porque los primeros usuarios han sido estafados. El hacker australiano William Brown es emblemático de esa reacción:
Anoche, alrededor de las 11 de la noche, mi pareja fue a cambiar las luces de la sala de estar por el sistema de control de luces de la casa. Cuando intentó iniciar sesión, no pudo acceder a su cuenta. Su llavero de Apple había eliminado la clave de acceso que estaba usando en ese sitio… Al igual que los bloqueadores de anuncios, predigo que las claves de acceso solo las usará un pequeño subconjunto de la población técnica y, en general, los consumidores las rechazarán.
Las mismas características que hacen que las contraseñas sean inseguras (el hecho de que sean legibles para humanos, que se puedan copiar y pegar en texto sin formato, que se puedan decir físicamente por teléfono) también hacen que parezcan controlables. Las claves de acceso, por el contrario, requieren que deposites toda tu confianza en el sistema y, después de los últimos años, es posible que ya no tengas tanta confianza.
Sin embargo, para Won, de 1Password, el cambio sigue siendo una oportunidad. “Apple, Microsoft y Google han estado muy abiertos a entablar un diálogo con nosotros, porque saben que las claves de acceso solo funcionarán si funcionan en todas partes y de manera uniforme. Reconocen que no van a ser los mejores en multiplataforma, ¿verdad? Podemos almacenar claves de acceso y usarlas en todas las superficies. No es solo un beneficio de seguridad, también es un beneficio de velocidad: las claves de acceso te permiten omitir la verificación de correo electrónico y la configuración de contraseñas, por lo que es una mejor experiencia de usuario”.
Es importante hacerlo bien, porque la “identidad” está a punto de volverse mucho más confusa. Tomemos como ejemplo las pontificaciones del director ejecutivo de Zoom:
En un futuro no muy lejano, los usuarios de Zoom podrían enviar avatares de IA para asistir a reuniones en su ausencia, sugirió el director ejecutivo de la compañía, delegando el trabajo pesado de la vida corporativa a un sistema entrenado en su propio contenido.
En la práctica, un sistema de estas características está muy lejos de ser una realidad. O, al menos, si realmente tuviéramos sistemas de inteligencia artificial que pudieran asistir a una reunión en tu ausencia, las llamadas por Zoom estarían bastante abajo en la lista de cosas que se modificarían radicalmente.
Pero los sistemas de IA que pueden interpretar tu papel lo suficientemente bien como para engañar a la gente por un momento son muy reales. El último sistema de síntesis de voz de OpenAI no se ha lanzado al público, porque la empresa cree que su capacidad estrella (imitar de manera convincente una voz con solo 15 segundos de audio de muestra) es demasiado peligrosa para estar disponible para el público en general. Pero sabe que no puede contener la marea por mucho tiempo y Está dando a conocer lo que la tecnología puede hacer. para tratar de promover los objetivos de seguridad que considera necesarios:
• Eliminar gradualmente la autenticación basada en voz como medida de seguridad para acceder a cuentas bancarias y otra información confidencial.
• Explorar políticas para proteger el uso de las voces de las personas en la IA
• Educar al público para que comprenda las capacidades y limitaciones de las tecnologías de IA, incluida la posibilidad de contenido de IA engañoso.
Como dije: ya sea que hablemos de contraseñas, inteligencia de Apple o inteligencia artificial, al final todo se reduce a la identidad. ¿Cómo puedo demostrar que soy quien digo ser? ¿Cómo puedo siquiera demostrar que soy un yo? Dondequiera que vayamos, una contraseña de 16 caracteres no será suficiente.