Los teléfonos inteligentes almacenan su correo electrónico, tus fotos y tu calendario. Proporcionan acceso a sitios de redes sociales en línea como Facebook y Twitter, e incluso sus cuentas bancarias y de tarjetas de crédito. Y son claves para algo aún más privado y valioso:su identidad digital.

A través de su papel en los sistemas de autenticación de dos factores, el método seguro de protección de identidad digital más utilizado, los teléfonos inteligentes se han vuelto esenciales para identificar a las personas tanto en línea como fuera de ella. Si los datos y las aplicaciones de los teléfonos inteligentes no son seguros, que es una amenaza para la identidad de las personas, potencialmente permitiendo que los intrusos se hagan pasar por sus objetivos en las redes sociales, Email, comunicaciones en el lugar de trabajo y otras cuentas en línea.

Tan recientemente como en 2012, el FBI recomendó al público proteger los datos de sus teléfonos inteligentes cifrándolos. Más recientemente, aunque, la agencia ha pedido a los fabricantes de teléfonos que proporcionen una forma de acceder a los dispositivos cifrados, lo que la policía llama "acceso excepcional". El debate hasta ahora se ha centrado en la privacidad de los datos, pero eso deja de lado un aspecto vital del cifrado de teléfonos inteligentes:su capacidad para proteger las identidades personales en línea de las personas.

Como escribí en mi libro reciente, "Escuchando:ciberseguridad en una era insegura, "hacer lo que quiere el FBI, facilitar el desbloqueo de los teléfonos, necesariamente disminuye la seguridad de los usuarios. Una reciente Academia Nacional de Ciencias, Estudio de Ingeniería y Medicina, en el que participé, también advierte que hacer que los teléfonos sean más fáciles de desbloquear potencialmente debilita este elemento clave para proteger las identidades en línea de las personas.

¿Reuniendo pruebas o debilitando la seguridad?

En años recientes, la policía ha buscado acceso a los teléfonos inteligentes de los sospechosos como parte de las investigaciones penales, y las empresas de tecnología se han resistido. La más destacada de estas situaciones surgió a raíz del tiroteo masivo de San Bernardino en 2015. Antes de que los atacantes murieran en un tiroteo, pudieron destruir sus computadoras y teléfonos, excepto uno, un iPhone bloqueado. El FBI quería descifrar el teléfono, pero le preocupaba que los intentos fallidos de romper los mecanismos de seguridad de Apple pudieran hacer que el teléfono borrara todos sus datos.

La agencia llevó a Apple a los tribunales, buscando obligar a la empresa a escribir un software especial para evitar las protecciones integradas del teléfono. Apple resistió argumentando que el esfuerzo del FBI fue una extralimitación del gobierno que, si tiene éxito, disminuiría la seguridad de todos los usuarios de iPhone y, por extensión, el de todos los usuarios de teléfonos inteligentes.

El conflicto se resolvió cuando el FBI pagó a una empresa de ciberseguridad para que rompiera el teléfono y no encontró nada relevante para la investigación. Pero la oficina se mantuvo firme en que los investigadores deberían tener lo que llamaron "acceso excepcional, "y lo que otros llamaron una" puerta trasera ":software integrado que permite a la policía descifrar teléfonos bloqueados.

La importancia de la autenticación de dos factores

La situación no es tan simple como sugiere el FBI. Los teléfonos seguros constituyen barreras para las investigaciones policiales, pero también son un componente excelente de una ciberseguridad sólida. Y dada la frecuencia de los ciberataques y la diversidad de sus objetivos, eso es extremadamente importante.

En julio de 2015, Los funcionarios estadounidenses anunciaron que los ladrones cibernéticos habían robado los números de la Seguridad Social, información de salud y financiera y otros datos privados de 21.5 millones de personas que habían solicitado autorizaciones de seguridad federales de la Oficina de Administración de Personal de EE. UU. En diciembre de 2015, Un ciberataque a tres compañías eléctricas en Ucrania dejó a un cuarto de millón de personas sin electricidad durante seis horas. En marzo de 2016, Se robaron innumerables correos electrónicos de la cuenta personal de Gmail de John Podesta, presidente de la campaña presidencial de Hillary Clinton.

En cada uno de estos casos, y muchos más en todo el mundo desde, una práctica deficiente de seguridad (proteger las cuentas únicamente a través de contraseñas) permite que los delincuentes causen daños graves. Cuando las credenciales de inicio de sesión son fáciles de descifrar, los intrusos entran rápidamente y pueden pasar desapercibidos durante meses.

La tecnología para proteger las cuentas en línea está en los bolsillos de las personas. El uso de un teléfono inteligente para ejecutar un software llamado autenticación de dos factores (o segundo factor) hace que iniciar sesión en las cuentas en línea sea mucho más difícil para los malos. El software del teléfono inteligente genera una información adicional que el usuario debe proporcionar, más allá de un nombre de usuario y contraseña, antes de poder iniciar sesión.

En el presente, muchos propietarios de teléfonos inteligentes utilizan los mensajes de texto como segundo factor, pero eso no es lo suficientemente bueno. El Instituto Nacional de Estándares y Tecnología de EE. UU. Advierte que enviar mensajes de texto es mucho menos seguro que las aplicaciones de autenticación:los atacantes pueden interceptar mensajes de texto o incluso convencer a una empresa de telefonía móvil para que reenvíe el mensaje SMS a otro teléfono. (Les ha pasado a los activistas rusos, DeRay Mckesson, activista de Black Lives Matter, y otros.)

Una versión más segura es una aplicación especializada, como Google Authenticator o Authy, que genera lo que se denominan contraseñas de un solo uso basadas en el tiempo. Cuando un usuario desea iniciar sesión en un servicio, ella proporciona un nombre de usuario y contraseña, y luego recibe un mensaje para el código de la aplicación. Al abrir la aplicación, aparece un código de seis dígitos que cambia cada 30 segundos. Solo después de escribir eso, el usuario realmente inicia sesión. Una startup de Michigan llamada Duo hace que esto sea aún más fácil:después de que un usuario ingrese un nombre de usuario y una contraseña, el sistema hace ping a la aplicación Duo en su teléfono, permitiéndole tocar la pantalla para confirmar el inicio de sesión.

Sin embargo, estas aplicaciones son tan seguras como el propio teléfono. Si un teléfono inteligente tiene poca seguridad, alguien que lo posea puede acceder a las cuentas digitales de una persona, incluso bloqueando al propietario. En efecto, poco después del debut del iPhone en 2007, Los piratas informáticos desarrollaron técnicas para piratear teléfonos perdidos y robados. Apple respondió mejorando la seguridad de los datos de sus teléfonos; se trata del mismo conjunto de protecciones que las fuerzas del orden están tratando de deshacer.

Evitando el desastre

Usar un teléfono como segundo factor de autenticación es conveniente:la mayoría de las personas llevan sus teléfonos todo el tiempo, y las aplicaciones son fáciles de usar. Y es seguro:los usuarios notan si falta su teléfono, lo que no hacen si se levanta una contraseña. Los teléfonos como autenticadores de segundo factor ofrecen un gran aumento en la seguridad más allá de los nombres de usuario y las contraseñas.

Si la Oficina de Gestión de Personal hubiera estado utilizando la autenticación de segundo factor, esos registros de personal no hubieran sido tan fáciles de levantar. Si las compañías eléctricas ucranianas hubieran estado utilizando la autenticación de segundo factor para acceder a las redes internas que controlan la distribución de energía, a los piratas informáticos les habría resultado mucho más difícil interrumpir la red eléctrica. Y si John Podesta había estado usando la autenticación de segundo factor, Los piratas informáticos rusos no habrían podido acceder a su cuenta de Gmail, incluso con su contraseña.

El FBI se contradice en este importante tema. La agencia ha sugerido que el público utilice la autenticación de dos factores y la exige cuando los agentes de policía quieren conectarse a los sistemas de bases de datos de la justicia penal federal desde un lugar inseguro, como una cafetería o incluso un coche de policía. Pero luego la oficina quiere hacer que los teléfonos inteligentes sean más fáciles de desbloquear, debilitando las protecciones de su propio sistema.

Sí, los teléfonos que son difíciles de desbloquear impiden las investigaciones. Pero eso echa de menos una historia más amplia. El crimen en línea está aumentando drásticamente, y los ataques son cada vez más sofisticados. Hacer que los teléfonos sean fáciles de desbloquear para los investigadores socavará la mejor manera que existe para que la gente común proteja sus cuentas en línea. Es un error que el FBI siga esta política.

Este artículo se publicó originalmente en The Conversation. Lea el artículo original.