Pese a que los sistemas de verificación en dos pasos garantizan la seguridad de las cuentas de servicios como Twitter, Facebook o Gmail, muchos usuarios siguen sin utilizarlos. Saben que la opción está disponible, y conocen sus bondades, pero el problema radica en un aspecto que a veces se olvida: la usabilidad.
Mientras que el primer paso del proceso consiste en introducir la tradicional contraseña, el segundo implica extraer el teléfono móvil del bolsillo y buscar el mensaje de texto enviado por la plataforma. Copiar el código recibido en la casilla correspondiente y esperar a que el programa lo reconozca; eso si no hay ningún error de por medio, algo bastante habitual en estos casos.
Un equipo de investigadores del Instituto de Seguridad de la Información ETH de Zurich (Suiza), ha desarrollado una alternativa a un sistema que consideran poco práctico. Han presentado su técnica, denominada ‘Sound-Proof’ (a prueba de sonido), en la reciente Conferencia USENIX, en Washington.
Han convertido la segunda parte del proceso de autenticación −la que normalmente incluye la interacción con el móvil−, en un paso automático que no requiere la participación del dueño de la cuenta.
El sistema se basa en comprobar la proximidad del teléfono del usuario al ordenador donde este trata de registrarse. Para ello, han utilizado el reconocimiento y comparación de ondas sonoras: cuando ambos dispositivos están cerca, detectarán el mismo sonido ambiente. Esta coincidencia sirve como segunda prueba para validar la identidad del usuario.
El proceso quedaría de la siguiente manera: después de que el individuo introduzca sus claves en la página web del servicio (hasta aquí, todo sería igual que antes), los micrófonos del ‘smartphone’ y el ordenador se activarían automáticamente para medir el ruido.
Los expertos aseguran que se trata de una técnica totalmente transparente para el usuario, que puede ser utilizado en cualquier teléfono, con uno de los buscadores habituales de Internet y sin necesidad de instalar ningún plugin en el mismo.
Durante la conferencia presentaron un prototipo que funciona en iOS y Android, demostrando que el procedimiento no lleva más de cinco segundos. Ni siquiera hace falta sacar el móvil del bolsillo o el bolso, y el método funciona tanto en una habitación como en exteriores.
Según los investigadores, el sistema garantiza la seguridad de las cuentas. Los cibercriminales no pueden adivinar de antemano el sonido ambiente que rodea a las víctimas.
No obstante, el método tiene un punto débil: si el atacante ha robado la contraseña del usuario y se sitúa en la misma sala que este (en una cafetería o una biblioteca, por ejemplo) podría acceder a la cuenta. Incluso si está viendo el mismo programa de televisión, aunque en este caso la efectividad del ataque dependería del ruido ambiental de la habitación.
Pese a ello, los investigadores no creen que este tipo de ataques tan premeditados que requieren gran preparación sean comunes. Además, aseguran que, en cualquier caso, aplicar un sistema de verificación en dos pasos es mucho más seguro que usar solo una contraseña.