Lisandro Pardo
Cuando Bitcoin reclama la atención de los medios especializados, usualmente es por algún movimiento brusco en su cotización u otro inconveniente, pero lo cierto es que la criptomoneda tiene una tecnología muy interesante, aplicable a otros entornos. Con eso en mente, la gente de BitPay ha anunciado a BitAuth, un sistema de seguridad descentralizado que reduce la dependencia sobre un servidor externo para almacenar identidades digitales.
¿Cuántas brechas de seguridad hemos reportado en lo que va del año? ¿Cuántos servicios que parecían impenetrables a simple vista se rompieron como un huevo, exponiendo a millones de usuarios? Sabemos muy bien que la “próxima gran fuga” está a la vuelta de la esquina, y que sus responsables van a causar otro cambio generalizado de contraseñas. Pero también sabemos que esta situación puede mejorar. Tal vez la solución esté en la descentralización. Los ataques de alto perfil suelen tener un gran impacto porque toda la información crítica se encuentra guardada en el mismo lugar. Y así nos encontramos con BitAuth, un proyecto para desarrollar un sistema de seguridad descentralizado, que en teoría tiene la capacidad de reemplazar al mecanismo basado en nombre de usuario y contraseña.
La esencia de BitAuth depende de la llamada criptografía de curva elíptica, la misma que está utilizando Bitcoin hoy (técnicamente, parámetros Secp256k1 de la curva ECDSA), con la vuelta de tuerca que representa el SIN, siglas para System Identification Number. Los desarrolladores de BitAuth colocan al SIN a la par de una dirección Bitcoin normal, y depende del clásico esquema de clave pública y privada. El SIN puede ser compartido sin consecuencias negativas, mientras que la clave privada permanece almacenada en el ordenador del usuario, sin ser transmitida a través de la Web. En otras palabras, la necesidad de una contraseña no se elimina del todo, pero atacar a un servidor remoto deja de tener sentido, ya que cuenta con información pública.
La manera más obvia de comprometer a un SIN es afectando la terminal del usuario, y tratar de robar la clave privada. Lo ideal es que esa clave se encuentre cifrada, pero si el algoritmo llegara a tener algún problema, bueno… no sería algo menor. Por otro lado, los responsables de BitAuth no han compartido otros detalles relevantes, como el proceso de revocación de claves (digamos que si alguien te roba el ordenador portátil, necesitas bloquear todo cuanto antes). Se trata de algo muy engorroso aún en otros sistemas similares, y no creo que BitAuth sea la excepción a la regla. Aún así, vale la pena colocar algunas fichas sobre este nuevo proyecto. Los métodos de autenticación tradicionales son muy vulnerables, y es obvio que se necesita algo más elaborado.
