Cómo mejorar la identificación de usuarios en internet

Científicos de la Universidad Rey Juan Carlos (URJC) han publicado un estudio y una patente de gestión de identidades en la red. El objetivo de ambos trabajos es mejorar la seguridad de las aplicaciones informáticas que millones de usuarios utilizan diariamente a través de distintos dispositivos electrónicos.

La línea de investigación en la que se enmarcan estos trabajos está relacionada con los denominados ‘esquemas de gestión de identidades federados’, en los que los usuarios de internet o la nube confían en un proveedor de identidades como, por ejemplo, Facebook o Google, que ya están asumiendo este papel. La meta es mejorar las especificaciones que usan estos proveedores (como OpenID Connect) para adaptarlas a nuevos contextos como el internet de las cosas (IoT, por sus siglas en inglés) y las ciudades inteligentes (smart cities).

La patente, publicada por el grupo Cybersecurity Cluster de la URJC, es una nueva solución para la gestión de la identidad interdependiente entre compañías y que estas identidades sean más seguras. “Los sectores más interesados en trabajar con la patente son el de las telecomunicaciones y el de la banca, porque están convirtiéndose en proveedores de identidad”, explica Marta Beltrán, investigadora principal del proyecto, quien añade: “Con nuestra solución tienen muy fácil explotar la gran cantidad de datos que tienen de sus clientes para mejorar los niveles de seguridad que ofrecen”.

Por su parte, los resultados del estudio, publicados en la revista Computers & Security, se han trasladado a un proyecto de teleasistencia para personas mayores y discapacitados. “A través de sensores distribuidos por toda la vivienda podemos controlar el acceso al cerrojo de su casa o saber si se han levantado por la mañana e incluso detectar caídas”, señala la investigadora, “y otros sensores son para la monitorización de constantes vitales e incluso para el control de un pastillero inteligente”. Además, estos resultados también los están empleando en otro proyecto sobre ciudades inteligentes para el control del tráfico, del estado del transporte público y del aparcamiento.

Identificarse, autenticarse, autorizar y auditar

Hoy en día, la mayoría de los usuarios pueden acceder a decenas de aplicaciones como Facebook, Google o Messenger o a otros recursos o servicios en la nube (cloud) o loT desde diferentes dispositivos electrónicos como los móviles o las tabletas. Para ello, deben identificarse, autenticarse, autorizar y auditar, lo que se conoce como IAAA.

Que alguien suplante a un usuario puede tener un gran impacto para él tanto a nivel económico como personal. Su identificación supone todo un desafío, y por el momento le obliga a recordar una gran variedad de contraseñas. Este reto es todavía mayor cuando se trata de identificar dispositivos o la combinación de un dispositivo y un usuario.

La investigadora Marta Beltrán subraya que en 2022 se prevé que haya alrededor de 30 billones de dispositivos inteligentes conectados a Internet, pero será difícil saber cuál es cada uno, qué permisos tiene o que no está siendo suplantado. Estos trabajos comienzan a dar respuesta a esos problemas, apuntan los autores.

En este sentido, una de sus propuestas es utilizar técnicas de aprendizaje automático o machine learning, de manera que la historia de un usuario determinado y la de otros usuarios parecidos a él permita modelar su comportamiento y determinar si es normal o sospechoso. El objetivo de estas herramientas es llegar a detectar si un usuario está siendo suplantado y responder de manera adecuada.