Estos días hubo un número de novedades relacionadas con la seguridad informática. Esperen, no bostecen todavía. La cuestión está empezando a ponerse tan espesa que Apple, Google y Microsoft (que no se pueden ni ver) decidieron darles su apoyo a la Alianza FIDO y al Consorcio W3 en su esfuerzo por eliminar las contraseñas. La idea, sin entrar en detalles, porque es un poco más compleja que esto, es que tu teléfono funcione como el mecanismo de autenticación. Como cuando usás la autenticación de múltiple factor, pero siempre, todo el tiempo y para todos los servicios y dispositivos. La iniciativa surge –aducen– Del hecho de que las contraseñas que usamos no solo son malas, débiles, fáciles de adivinar o de quebrantar, sino que además se reciclan. O sea, se usa la misma clave para todos los servicios. Para peor, las compañías han demostrado una irresponsabilidad mayúscula en este aspecto, y les roban las contraseñas de sus usuarios cada dos por tres. Técnicamente se las denomina brechas de seguridad, que queda más canchero. Según el sitio https://haveibeenpwned.com, al día de hoy se han visto comprometidas (pwned, en la jerga) casi 11.800 millones de cuentas. Repito: más de 11.800 millones.

Así que, como es lo más cómodo, todos los dedos señalan a las contraseñas, y FIDO y el W3C han venido trabajando desde hace mucho en un estándar que vendría a liberarnos de este enojoso asunto. ¿Cómo funcionaría la autenticación sin contraseñas, grosso modo? El método usaría una passkey (una clave, se entiende que segura) alojada en nuestro teléfono, y usaríamos el dispositivo para autenticarnos, automáticamente. En teoría, no es una mala idea. Todavía estoy haciendo consultas sobre el alcance de esta movida, así que ya habrá más noticias al respecto. Pero ya hay dos asuntos que me preocupan.

El anonimato como herramienta

El primero es la confusión entre contraseña y persona. Una contraseña es algo aparte de la persona. Si vamos a usar un teléfono, que básicamente es una extensión de nuestra persona y sabe dónde estamos y lo que hacemos a cada milisegundo, o, peor todavía, si vamos a tener que conceder (como ya lo estamos haciendo en niveles escalofriantes) nuestros datos biométricos (cara, huellas dactilares), entonces no estamos eliminando las contraseñas. Estamos usando a la persona como contraseña y, en consecuencia, estamos también eliminando todo rastro de anonimato.

Y resulta que el anonimato es una de los fundamentos del periodismo de investigación (entre muchas otras cosas). Protegemos nuestras fuentes, y, al hacerlo, protegemos a la República, porque si le ocurre algo a la fuente que nos confía datos sobre la corrupción en el Estado o sobre el narcotráfico o la trata de personas, entonces todas las demás fuentes se van a callar, por miedo.

El hecho de que haya una banda de vándalos que usan el anonimato para calumniar por las redes sociales o para cometer delitos incalificables no significa que el anonimato sea malo por sí. El mismo cuchillo que usamos para comer civilizadamente puede ser usado para asesinar. Con el anonimato pasa lo mismo.

La mala, pésima noticia es que el anonimato viene siendo sistemáticamente acorralado por la misma industria que lo hizo posible, cuarenta años atrás. Casi la única excepción es Linux y el software libre en general. Si además vamos a tener que usar nuestro número de teléfono para autenticarnos, la mordaza terminará de cerrarse y el panóptico será absoluto. Una de las cosas que estoy intentando averiguar es si el plan es imponer por la fuerza el uso de esta passkey alojada en nuestros teléfonos o si será algo optativo. Al parecer, nadie ha notado todavía (qué raro) que hay varios oficios que requieren que nadie sepa lo que estamos haciendo a cada instante.

¿Y por casa matriz cómo andamos?

El otro problema que este método pasa por alto es que no solo muchos usuarios todavía no están preparados para circular de forma segura por el espacio virtual, sino que ocurre lo mismo con las empresas. Los que siguen esta columna saben que el lamentable paisaje de la seguridad informática no es algo nuevo. Pero acá va un ejemplo de que las contraseñas son solo una parte más bien insignificante del problema.

PayPal, la compañía originada en X.com, de Elon Musk (tiene una obsesión con la X Elon, no cabe duda), me viene instigando desde hace meses para que le de clic a un link en el que se supone que me espera un premio de 5 dólares.

Cinco dólares no parece mucho para una trampa de ingeniería social. Pero, por un lado, en la Argentina equivalen a 1000 pesos. Eso ya suena más sustancioso (no lo es, pero suena). Por otro, qué tal si el truco de ingeniería social en este caso es que pensemos, justamente, que el monto, siendo tan pequeño, no debe ser un ataque. Por aquello de que cuando la limosna hasta el santo desconfía.

Además, y más importante, ¿qué parte de esto suena a phishing no entendieron? Sé que el mail es legítimo (un querido amigo mío ya cobró los 5 dólares, para más datos), pero en los foros de la compañía hay docenas de personas preguntando si es una trampa o qué.

Ahora, eso no es lo realmente malo. Lo peligroso está en que una compañía tan reconocida, seria y fundacional de internet esté fomentando la idea de que mandar mails en los que hay que hacer clic en un link para ganarse algo está bien. Y no está bien. Está muy mal, porque ese es precisamente el recurso que usa el pirata para engañarnos.

La oferta tuvo, además otras críticas e imputaciones (de nuevo, en Europa), pero de mínima, la idea de mandar un link en el que te espera un premio es muy, pero muy desviada. De modo que todo mal con las contraseñas, cierto, pero la ingeniería social causa más bajas que las claves. Pregunto: ¿cómo van a hacer para evitar que una persona que no ha sido correctamente entrenada en el mundo digital no le entregue al pirata un PIN? Ocurre todo el tiempo. ¿Cómo van a evitar el SIM swapping? ¿Van a ponerse algún día las pilas y van a asegurar nuestras contraseñas como corresponde? Cuando uno mira el mapa de la inseguridad informática lo que menos destaca son las contraseñas. Enseñar informática como materia desde la escuela primaria y educar al público en higiene de datos, algo que la euforia tecnicista pasa siempre por algo, más una política estricta de parte de las empresas en el cuidado de nuestros datos personales suena como un camino más realista. Más largo también, cierto. Y menos hechizante que “vamos a eliminar las contraseñas”. Reitero: si Apple, Microsoft y Google van a hacer que la iniciativa de la Alianza FIDO y del W3C sea optativa, está bien, es una parte de la solución y a muchas personas les va a resultar conveniente. Si no, vamos a tener que elegir otros servicios para nuestras comunicaciones más sensibles. O vamos es estar cambiando un problema por otro. Otro peor.