Los usuarios del sector salud lo experimentan todos los días: gestionar numerosas contraseñas es agobiante. Si bien existen soluciones como la autenticación de múltiples factores (MFA) y los gestores de passwords, éstos parecían inescapables. Pero no es así: cada vez se difunde más la autenticación sin password o passwordless authentication.
Ahora bien, puede decir que la autenticación sin password es MFA sin contraseña. El usuario sólo debe ingresar alguna identificación digital, como su usuario, teléfono o correo electrónico. A partir de ahí, para completar la autenticación el sistema solicita una prueba de identidad mediante un token o dispositivo (como el celular) registrado. Puede tratarse de una verificación biométrica o un PIN, por ejemplo.
Ahora bien, la autenticación sin password se basa por lo general en criptografía de clave pública, la cual se genera cuando el usuario se registra en un servicio de autenticación; dicho servicio puede ser proporcionado por un servidor remoto, una aplicación o un sitio web. Adicionalmente, se crea una clave privada que se almacena en un dispositivo del usuario. Puede ser una computadora personal, un smartphone o bien, un token dedicado. La única forma de acceder a dicha clave es mediante la identificación biométrica u otro factor no basado en conocimientos. Es decir, se elimina la necesidad de memorizar cualquier contraseña.
El riesgo de las contraseñas
Aunque fabricantes de dispositivos y sistemas operativos como Microsoft, Apple y Google ya ofrecen la autenticación sin password en sus productos y servicios, la mayoría de las organizaciones del sector salud aún no la implementan a gran escala. Hay diversas razones, como cierta reticencia hacia la transición y una rentabilidad dudosa de las soluciones existentes. También influye el hecho de que numerosos usuarios simplemente no confían en la autenticación sin password.
Sin embargo, existen fuertes incentivos para implementarla. Uno de ellos es el vasto número de usuario que utilizan la misma contraseña una y otra vez para diferentes cuentas. Así, en caso de que alguna contraseña se vea comprometida, no sería uno sino tal vez muchos los servicios en riesgo.
Por otra parte, un gran porcentaje de las llamadas a los servicios de asistencia técnica consiste en solicitudes de restablecimiento de contraseñas. Y luego los usuarios vuelven a olvidarlas. Esto da pie a un círculo vicioso que desemboca en una fatiga que lleva a la elección de contraseñas fáciles de adivinar. En consecuencia, las cuentas relacionadas se vuelven presa fácil para los hackers.
Paso gradual a la autenticación sin password
Pero no siempre es fácil adoptar la autenticación sin password. Uno de los principales contratiempos es que muchos sistemas y aplicaciones heredadas no pueden aprovecharla. Por ende, se mantiene el uso de contraseñas, a veces en combinación con alguna forma de MFA.
Además, para que la autenticación sin password sea eficiente, se requiere que la organización tenga una sólida gestión de políticas de seguridad. Esto es necesario para que los responsables de la ciberseguridad determinen en cuáles instancias sólo se requiere de una autenticación y en cuáles se requiere algún factor adicional.
Ahora bien, las organizaciones sanitarias deben cumplir con estrictas regulaciones referentes a la seguridad y privacidad de los datos que recopilan y generan. Además, suelen tener una superficie de ataque muy amplia, pues son muchos y muy variados los dispositivos que se conectan a las redes hospitalarias. En particular, pueden ser potencialmente inseguros aquellos en posesión de pacientes o, incluso, proveedores externos.
Sin embargo, bien implementada, la autenticación sin password puede ayudar a cumplir con los estándares de ciberseguridad. Una manera consiste en combinarla con una buena plataforma de gestión de accesos e identidades (IAM). Si se añade un control de accesos basado en roles se da un paso más allá en el establecimiento de un modelo de confianza cero o Zero Trust. De cualquier forma, debe ser gradual.
Por supuesto, poner en marcha correctamente la autenticación sin password puede ser muy costoso al inicio. Sin embargo, la inversión puede valer la pena a largo plazo si con ella se mitigan los posibles costos asociados a una disrupción de seguridad que resulte en un ataque de ransomware, por ejemplo. Después de todo, dejar de usar contraseñas es un proceso evolutivo y requiere una planificación cuidadosa.