El CSIC lidera un proyecto para que no sigas almacenando contraseñas en el 'smartphone'

«Los sistemas de seguridad que están basados en el hardware no están presentes en todos los dispositivos. Es mucho más fácil inventarte una clave desde el software para proteger el acceso. Normalmente suelen estar presentes en sistemas de alto costo», explica a ABC la investigadora del CSIC y directora del proyecto Piedad Brox. La experta recuerda que los equipos electrónicos que basan su seguridad en el hardware, normalmente emplean claves criptográficas que son almacenadas en memorias no volátiles, ubicadas en el interior del dispositivo. Algo que puede suponer un grave problema de seguridad : «Con el empleo de este tipo de memorias le estás dando pistas a un ciberatacante. Si sacas el chip de un dispositivo y lo estudias, puedes ver el lugar en donde se encuentra la memoria por la estructura. Entonces puedes dirigir ataques de ingeniería inversa a esa zona para robar las claves de otros dispositivos similares».

El proyecto del CSIC ofrece una opción diferente. En este caso, la seguridad nacería del propio dispositivo a través de lo que denominan como 'raíz de confianza' . Esta estará construida mediante un nuevo hardware compuesto por tres módulos que se integrará en los propios dispositivos. La clave, no obstante, se encuentra en la función física no clonable (conocida como PUF), que es única en cada dispositivo y prescinde completamente de las memorias volátiles para el almacenamiento de las claves. «El PUF permite extraer un identificador digital único asociado al dispositivo electrónico en el que se integra. Su respuesta es única, reproducible e impredecible; de manera que dos circuitos integrados diseñados exactamente de la misma manera y que han sido implementados en la misma tecnología generan respuestas totalmente distintas. De manera análoga a como una huella dactilar identifica a una persona, un PUF hace lo propio con un dispositivo electrónico», explica Brox sobre esta función.

La ingeniera afirma que dos PUF son como hermanos gemelos ; «aunque están construidos de la misma manera cada uno tiene distintas huellas dactilares. Por eso funciona como un elemento distintivo dentro de los circuitos electrónicos». Gracias al uso de este sistema, no sería necesario volver a guardar una clave en un dispositivo, ya que sería capaz de reconstruirla cada vez que fuese necesario . Mediante su lectura, una plataforma digital podría detectar si un dispositivo tiene permiso para acceder a una cuenta concreta en internet; ya estemos hablando de una 'app' de mensajería, una red social o un correo electrónico.

«Esto es fundamental ya que si la clave no se almacena en una memoria, sino que se regenera tantas veces como sea necesario, se añade un plus a la seguridad integral del sistema. Si una información no está almacenada es más complicado que pueda ser adquirida a través de un ciberataque. La clave más segura es la que no se tiene. La que el sistema es capaz de recrear», dice Brox. La líder del proyecto añade que, mientras las memorias volátiles tienen unos precios de mercado bastante elevados que imposibilitan que estén disponibles en todo tipo de dispositivos, los PUF electrónicos «se diseñan con circuitos simples» y son mucho más económicos, por lo que podrían emplearse, inclusive, para dotar de una mayor seguridad, incluso, a 'wearables' , como sería el caso de una pulsera inteligente.

Brox también destaca que el cifrado de la información que ofrece un PUF es bastante más sofisticado que el de extremo a extremo , que es el que emplean actualmente servicios de mensajería, como WhatsApp o Signal, para proteger los mensajes de los usuarios y evitar que un tercero tenga acceso a las conversaciones: «Ese cifrado es muy básico. Aquí el cifrado de la información la vamos a hacer con una clave que se deriva del PUF y no está almacenada en ninguna parte».