Fuga masiva de datos expone el problema de las contraseñas: ¿viene una solución radical?

Llamado a un Cambio Hacia una Mentalidad de ‘Privacidad Primero’

La revelación impactante de una violación masiva de datos, comprometiendo 16 mil millones de credenciales de inicio de sesión, ha sumido a los usuarios de internet en una nueva ola de ansiedad, generando temores de que los ciberdelincuentes ya están saqueando cuentas personales. Aunque los expertos en seguridad instan a cambiar las contraseñas de inmediato, un argumento crítico en contra postula que esta medida reactiva no ofrece una verdadera salvaguarda contra futuras incursiones idénticas.

En lugar de centrarse convencionalmente solo en cambiar contraseñas, expertos entrevistados por Bitcoin.com News sostienen que las recientes violaciones requieren un cambio radical de paradigma. Argumentan que es hora de abandonar la confianza en bases de datos centralizadas que almacenan información sensible de los usuarios y adoptar una mentalidad de privacidad primero que aproveche fundamentalmente la descentralización.

Shahaf Bar-Geffen, CEO de COTI, también argumentó que mientras que las sociedades históricamente han depositado su confianza en “autoridades” e instituciones, esta mentalidad no es adecuada para servir bien a las personas en los espacios virtuales que cada vez más mediatizan nuestras vidas.

“El mundo tradicional basado en la confianza no está adecuado para el mundo en línea, y sin embargo, sigue siendo el modo dominante de operación. Los negocios en línea a menudo conducen a puntos finales tradicionales que dejan un rastro de credenciales expuestas en las plataformas”, explicó Bar-Geffen.

Este punto de vista es compartido por Nanak Nihal Khalsa, cofundador de Holonym, quien sostiene que las empresas solo se adhieren a este modelo porque es barato. Declaró: “El problema es que las empresas todavía están usando estos en lugar de alternativas descentralizadas porque son baratas y convenientes. Pero, hay maneras más seguras y efectivas de autenticar usuarios y/o almacenar sus datos sensibles.”

Una forma de hacerlo, según Bar-Geffen, es el uso de datos descentralizados y encriptados que pueden ser accesados sin necesidad de ser descifrados, a través de innovaciones como Pruebas de Conocimiento Cero (ZKPs) y Encriptación Homomórfica.

Como informó Bitcoin.com News, los investigadores de Cybernews que descubrieron la violación dijeron que no fue solo una fuga sino “un plano para la explotación masiva”. Otros expertos advierten que los ciberdelincuentes pueden aprovechar los conjuntos de datos filtrados para intensificar el robo de identidad, el phishing y las intrusiones en sistemas.

Aún así, para otros, la violación masiva cuestiona la relevancia de las contraseñas en esta era donde los ciberdelincuentes se vuelven cada vez más sofisticados. Aunque se ha hablado de eliminar las contraseñas por completo durante una década, Khalsa argumenta que no ha surgido una alternativa clara que justifique prescindir del paradigma de las contraseñas. Con respecto a las claves de paso, que algunos proponen como alternativas viables a las contraseñas, el cofundador de Holonym dijo:

“Hay un rumor común de que las claves de paso reemplazarán a las contraseñas. Pero las claves de paso normalmente se sincronizan en nuestras cuentas en la nube que finalmente dependen de contraseñas. Las claves criptográficas también pueden ser utilizadas, pero son difíciles de gestionar. Sus técnicas de recuperación tienden a depender de cuentas que necesitan contraseñas.”

Mientras tanto, Bar-Geffen cree que herramientas como la identidad descentralizada, las ZKPs y las carteras criptográficas ya actúan como “métodos de acceso y permiso seguros y controlados por el usuario”. Sin embargo, el desafío, argumenta Bar-Geffen, es lograr que las empresas, los gobiernos y los usuarios adopten el enfoque de privacidad primero. También destaca por qué la adopción del enfoque de privacidad primero en la era de la inteligencia artificial (IA) es crucial.

“También está el problema inminente de la IA. Es importante hacer la transición a un nuevo modelo (privacidad autosoberana y permitida) porque la automatización de IA está proliferando, lo que aumentará la escala de las violaciones de datos, y podríamos incluso ver que el internet se vuelve inutilizable sin un nuevo modelo para la privacidad”, dijo el ejecutivo de COTI.