Qué hemos presentado en el Security Innovation Day 2018: Our princess is "always" in another castle: Chasing Innovation (III)

jueves, 29 de noviembre de 2018



En el universo de Mario Bros., en cada «última» pantalla, crees que encontrarás por fin a la Princesa Peach. Pero nunca es cierto. Siempre está en otro castillo y debes jugar otra fase de otro mundo para recuperarla. La búsqueda siempre continúa. Aunque escurridiza como el horizonte (que siempre se aleja cuanto más caminas en su dirección), este es el motor de nuestra innovación. No podemos dar por terminada la partida cuando llegamos a un castillo. Existen otros mundos por conquistar. En esta presentación nos hemos centrado en las tecnologías relacionadas con la identidad en las que hemos estado trabajando durante el último año.

Conocer nuestra verdadera identidad ha sido un problema filosófico que nos ha fascinado durante milenios. ¿Quiénes somos? ¿Somos lo que sabemos, somos lo que hacemos, somos lo que tenemos…? O más bien, para traducirlo a un entorno tecnológico, ¿cómo nos reconocen las máquinas? ¿Cómo nos dan acceso? Es siempre una pregunta peliaguda. Por eso, en nuestro departamento de innovación y laboratorio hemos presentado varias propuestas para aportar soluciones.

Más allá de las contraseñas, por supuesto, están los objetos. Pero casi siempre es necesario un lector para complementarlo y es aún más improbable que ese lector pueda ser compartido entre un teléfono móvil y un ordenador portátil. Los tres dispositivos más usados para conectarse a Internet son el smartphone, el laptop y la tablet. Todos ellos comparten una característica: pantallas táctiles capacitivas multi-touch. Incluso muchos portátiles vienen ya con un touchpad también capacitivo que permite el multi-touch. En ElevenPaths pensamos que, si la mayoría de los usuarios están equipados con estos lectores capacitivos, ¿por qué no crear una tarjeta especial que pueda ser leída por cualquiera de ellos? Os presentamos CapaciCard.

CapaciCard
¿Imaginas autenticarte o autorizar un pago simplemente pasando una tarjeta de plástico, sin circuito alguna, por la pantalla de tu móvil (sin NFC ni hardware específico)? ¿Te imaginas hacer lo mismo posando esa misma tarjeta sobre el touchpad del portátil? Durante el último Security Innovation Day, presentamos varias tecnologías propias que estamos desarrollando y de las que estamos particularmente orgullosos.

 


SmartPattern
La tarjeta CapaciCard es un objeto físico, que debe ser llevado siempre encima. Y por ser un dispositivo físico no es escalable. Vayamos más allá. La identidad no es solo algo que se sabe, algo que se tiene… es también algo que el usuario hace. Por ejemplo, en los móviles Android, algo que la mayoría de usuarios hace es desbloquearlos usando un patrón. ¿Y si pudiésemos enriquecer esa fórmula con inteligencia, para permitir la autenticación o autorización en cualquier entorno? Así nace SmartPattern.

SmartPattern pretende añadir un nivel extra de seguridad a los mecanismos típicos de control de acceso basados en la introducción de una determinada entrada conocida por el usuario. Con SmartPattern ya no basta con conocer el patrón, sino que es necesario saber cómo se ejecuta dicho patrón. Aunque el patrón introducido sea correcto, si no se ejecuta con la cadencia entrenada por el usuario legítimo, la validación será negativa.

SmartPattern es fácilmente integrable con cualquier proveedor o protocolo de identidad como OAuth2 o OpenID. Hasta el momento, lo hemos integrado en SealSign y Mobile Connect.

AuthCode
Hemos visto que podemos añadir inteligencia a un sencillo patrón de desbloqueo. ¿Por qué conformarnos con cómo mueve una persona el dedo al introducir su patrón? ¿Y si comprendemos cómo se mueve a lo largo del día, es decir, cómo usa el smartphone minuto a minuto? Podríamos tener la certeza constante de que la persona que usa tu teléfono eres tú y detectaríamos inmediatamente si está en manos de otra persona.

Nuestro objetivo es un sistema de autenticación continua que genere un valor de confianza basado en tu uso: desde cómo sostienes el móvil a qué aplicaciones abres y en qué orden. Pudiendo distinguir entre dos usuarios, abre todo un mundo de posibilidades: limitar el acceso a apps críticas si no reconoce al usuario habitual, complementar la autenticación clásica de usuario y contraseña e incluso biométrica, de manera que no baste con desbloquear el teléfono para acceder a su información, sino que además se use el teléfono según un patrón determinado.

AuthCode, desarrollado junto con la Universidad de Murcia, permite esto y mucho más.



PulseID
Hemos visto que podemos identificar a una persona por cómo introduce un patrón y, aún más, por cómo utiliza su móvil a lo largo del día. Pero además del móvil, hoy utilizamos otros muchos dispositivos como los weareables: smartwatches, pulseras de actividad, etc. Muchos de estos dispositivos miden el pulso. ¿Será posible identificar a una persona por su pulso?

En ElevenPaths aceptamos el reto y acabamos de patentar un sistema que permite autenticar de forma continua a una persona por su pulso cardíaco. Este proyecto salió de la “Call de Innovación de Telefónica”.

Las utilidades son varias. Por ejemplo, en España han empezado a aparecer aseguradoras que te bonifican por caminar. Por cada día que superes los 10.000 pasos, tendrías un descuento en tu prima. ¿Qué pasa si se le da la pulsera a otra persona que camina mucho para recibir el descuento de forma fraudulenta? Existe ya la posibilidad de fraude en seguros de vida.

Con una aplicación como PulseID sería posible mantener autenticado al usuario en todo momento, de forma que podría saberse si sus pasos corresponden a ese usuario u otro distinto.

Otros castillos, otras princesas
Y no solo nos hemos centrado en la identidad. Nuestro trabajo es amplio y abarca múltiples disciplinas. También hemos creado proyectos como JAWS, el primer anti-skimmer virtual que bloquea JavaScript no deseado de forma transparente, o SiNET, nuestro framework de trabajo para aplicar inteligencia de forma sencilla a la identificación de anomalías en red.



Mantenemos una innovación abierta, colaborativa, centrada en solucionar problemas reales. Acercamos lo académico a la industria, y las ideas a producto. Buscamos ser, como reza nuestro eslogan, «donde la seguridad se encuentra con la innovación».

No hay comentarios:

Publicar un comentario