Las contraseñas son una medida de seguridad común para proteger la información personal, pero no siempre es posible impedir que los hackers encuentren un camino en los dispositivos. Investigadores de la Universidad de Alabama en Birmingham están trabajando para perfeccionar una protección de acceso seguro y fácil de usar, conocida como ‘autenticación de interacción cero’, que eliminará la necesidad de utilizar una contraseña.
.
![]()
.
La investigación es dirigida por Nitesh Saxena, Ph.D., profesor asociado en el Departamento de Ciencias de la Computación e Informática y co-líder del Centro para la Seguridad Informática e Investigación Forense Conjunta. El trabajo de investigación se ha realizado en colaboración con la Universidad de Helsinki y de la Universidad Aalto en Finlandia, fue presentado recientemente en la Conferencia Internacional sobre Comunicaciones y Computación Pervasiva, y la Conferencia de Criptografía Financiera y Seguridad de Datos.
.
La ‘autenticación de interacción cero’ permite a un usuario acceder a un terminal, tal como una computadora portátil o un automóvil, sin interactuar con el dispositivo. El acceso se concede cuando el sistema de verificación de seguridad puede detectar el token de seguridqd del usuario -tal como un teléfono móvil o la llave de un automóvil- utilizando un protocolo de autenticación de corto alcance por un canal de comunicación inalámbrica, tal como Bluetooth. Se elimina la necesidad de una contraseña y disminuyen los riesgos de seguridad que las acompañan.
Un ejemplo común de tal autenticación es un acceso pasivo ‘sin llave’ en la ejecución de un sistema que abre la puerta de un automóvil o el arranque del motor del mismo, basado en la proximidad de los tokens al vehículo. Esta tecnología también se puede utilizar para proporcionar un acceso seguro a las computadoras. Un ejemplo de esto es la aplicación llamada BlueProximity, que permite a un usuario desbloquear la pantalla de inicio simplemente con acercarse físicamente a la computadora mientras sostiene un teléfono móvil que ha sido configurado para conectarse con el equipo.
.
Los esquemas de ‘autenticación de interacción cero’ existentes son vulnerables a los ataques relay (relé) de retransmisión, comúnmente conocidos como ataques de fantasma-y-sanguijuela, en las que un primer hacker, o fantasma, tiene éxito en la autenticación para la terminal del nombre de usuario, en connivencia con un segundo hacker, o sanguijuela, que está próximo al usuario en otro lugar, dice Saxena.
.
“El objetivo de nuestra investigación es examinar las medidas de seguridad existentes que los sistemas de ‘autenticación de interacción cero’ emplean y mejorarlos”, dijo Saxena. “Queremos identificar un mecanismo que proporcione una mayor seguridad contra los ataques de retransmisión, manteniendo la facilidad de uso”.
.
Los investigadores han examinado dos tipos de modalidades de sensor que podrían proteger a los sistemas de interacción cero contra los ataques relay, sin afectar la usabilidad. En primer lugar, se examinaron cuatro modalidades de sensores que se presentan comúnmente en los dispositivos: Wi-Fi, Bluetooth, GPS y audio. En segundo lugar, observaron la capacidad para usar sensores físicos ambientales como un mecanismo de detección por proximidad, enfocándose en cuatro: la temperatura del ambiente, la precisión , la humedad y la altitud. Cada una de estas modalidades ayuda a la autenticación del sistema verificando que los dos dispositivos que intentan conectarse entre sí están en el mismo lugar, frustrando un ataque de fantasma-y-sanguijuela.
.
La investigación ha demostrado que varias modalidades de sensores utilizados en combinación, proveen de una mayor seguridad. “Nuestros resultados sugieren que una modalidad de sensor individual puede no proporcionar un nivel suficiente de seguridad y facilidad de uso”, dijo Saxena. “Sin embargo, múltiples combinaciones de modalidades dan como resultado una sólida defensa de ataque relay y buena usabilidad”.
.
Las plataformas que emplean varias modalidades de sensores para prevenir los ataques relay en teléfonos móviles y sistemas inalámbricos, ya están disponibles en muchos teléfonos inteligentes o pueden ser añadidas utilizando dispositivos de extensión, probablemente serán cada vez más frecuentes en el futuro próximo, dijo Saxena.
.
“Los usuarios serán habilitados con una aplicación en sus teléfonos con la cual podrán bloquear y desbloquear sus equipos portátiles, computadoras de escritorio o incluso sus automóviles, sin contraseñas y sin tener que preocuparse por los ataques relay”, dijo Babins Shrestha, un estudiante de doctorado de la UAB y coautor del trabajo. “Nuestra investigación muestra que ésto se puede hacer manteniendo un alto nivel de usabilidad y seguridad”.
.
Fuentes: Phys.org, UAB
.
.
La investigación es dirigida por Nitesh Saxena, Ph.D., profesor asociado en el Departamento de Ciencias de la Computación e Informática y co-líder del Centro para la Seguridad Informática e Investigación Forense Conjunta. El trabajo de investigación se ha realizado en colaboración con la Universidad de Helsinki y de la Universidad Aalto en Finlandia, fue presentado recientemente en la Conferencia Internacional sobre Comunicaciones y Computación Pervasiva, y la Conferencia de Criptografía Financiera y Seguridad de Datos.
.
La ‘autenticación de interacción cero’ permite a un usuario acceder a un terminal, tal como una computadora portátil o un automóvil, sin interactuar con el dispositivo. El acceso se concede cuando el sistema de verificación de seguridad puede detectar el token de seguridqd del usuario -tal como un teléfono móvil o la llave de un automóvil- utilizando un protocolo de autenticación de corto alcance por un canal de comunicación inalámbrica, tal como Bluetooth. Se elimina la necesidad de una contraseña y disminuyen los riesgos de seguridad que las acompañan.
Un ejemplo común de tal autenticación es un acceso pasivo ‘sin llave’ en la ejecución de un sistema que abre la puerta de un automóvil o el arranque del motor del mismo, basado en la proximidad de los tokens al vehículo. Esta tecnología también se puede utilizar para proporcionar un acceso seguro a las computadoras. Un ejemplo de esto es la aplicación llamada BlueProximity, que permite a un usuario desbloquear la pantalla de inicio simplemente con acercarse físicamente a la computadora mientras sostiene un teléfono móvil que ha sido configurado para conectarse con el equipo.
.
Los esquemas de ‘autenticación de interacción cero’ existentes son vulnerables a los ataques relay (relé) de retransmisión, comúnmente conocidos como ataques de fantasma-y-sanguijuela, en las que un primer hacker, o fantasma, tiene éxito en la autenticación para la terminal del nombre de usuario, en connivencia con un segundo hacker, o sanguijuela, que está próximo al usuario en otro lugar, dice Saxena.
.
“El objetivo de nuestra investigación es examinar las medidas de seguridad existentes que los sistemas de ‘autenticación de interacción cero’ emplean y mejorarlos”, dijo Saxena. “Queremos identificar un mecanismo que proporcione una mayor seguridad contra los ataques de retransmisión, manteniendo la facilidad de uso”.
.
Los investigadores han examinado dos tipos de modalidades de sensor que podrían proteger a los sistemas de interacción cero contra los ataques relay, sin afectar la usabilidad. En primer lugar, se examinaron cuatro modalidades de sensores que se presentan comúnmente en los dispositivos: Wi-Fi, Bluetooth, GPS y audio. En segundo lugar, observaron la capacidad para usar sensores físicos ambientales como un mecanismo de detección por proximidad, enfocándose en cuatro: la temperatura del ambiente, la precisión , la humedad y la altitud. Cada una de estas modalidades ayuda a la autenticación del sistema verificando que los dos dispositivos que intentan conectarse entre sí están en el mismo lugar, frustrando un ataque de fantasma-y-sanguijuela.
.
La investigación ha demostrado que varias modalidades de sensores utilizados en combinación, proveen de una mayor seguridad. “Nuestros resultados sugieren que una modalidad de sensor individual puede no proporcionar un nivel suficiente de seguridad y facilidad de uso”, dijo Saxena. “Sin embargo, múltiples combinaciones de modalidades dan como resultado una sólida defensa de ataque relay y buena usabilidad”.
.
Las plataformas que emplean varias modalidades de sensores para prevenir los ataques relay en teléfonos móviles y sistemas inalámbricos, ya están disponibles en muchos teléfonos inteligentes o pueden ser añadidas utilizando dispositivos de extensión, probablemente serán cada vez más frecuentes en el futuro próximo, dijo Saxena.
.
“Los usuarios serán habilitados con una aplicación en sus teléfonos con la cual podrán bloquear y desbloquear sus equipos portátiles, computadoras de escritorio o incluso sus automóviles, sin contraseñas y sin tener que preocuparse por los ataques relay”, dijo Babins Shrestha, un estudiante de doctorado de la UAB y coautor del trabajo. “Nuestra investigación muestra que ésto se puede hacer manteniendo un alto nivel de usabilidad y seguridad”.
.
Fuentes: Phys.org, UAB