Las amenazas a la seguridad de las infraestructuras tecnológicas varían continuamente y su complejidad aumenta día a día. ¿Cómo podemos seguir ese ritmo tan dinámico y volátil?

En la actualidad hay una presencia casi continúa de historias en la red sobre fallos y vulnerabilidades de seguridad. Redes sociales y los gigantes de los servicios en la nube como Twitter, Instagram, Skype, Facebook, Yahoo, Google y Linkedin han sido hackeadas en alguna ocasión alcanzando robos de millones de cuentas y contraseñas de usuarios. PayPal, Citigroup, JP Morgan Chase & Co o el Departamento de Defensa de Estados Unidos son sólo algunas de las entidades o instituciones a las que accedió una red de hackers que consiguió robar más de 15 millones de dólares entre 2012 y 2013.

Algunas veces los errores no son tan problemáticos económicamente hablando pero alcanzan a grandes instituciones como el Ministerio de Justicia del Gobierno Británico multado por no proteger y encriptar los datos existentes en los discos duros de las prisiones inglesas a pesar de ser potencialmente sensibles.

En otras ocasiones adolescentes con escasos recursos logran poner en aprietos a los sistemas de autenticación existentes en los teléfonos iPhone resultando en falsos positivos y dañando la credibilidad de la tecnología de identificación biométrica.

¿Qué pasaría entonces si una persona pudiera cambiar información, borrar archivos, publicar datos reservados y tumbar nuestra presencia en la web? Al menos, todos reconocemos estar preocupados por estos engaños que pueden dañar y alterar la integridad de nuestra información, la protección de los datos sensibles, la autenticación de los accesos de los usuarios y el reconocimiento indudable de nuestra presencia en la red.

La razón de este incremento en el número de ataques radica en que el conjunto de posibles amenazas ha cambiado sustancialmente en los últimos años. Los hackers están mejorando su habilidad para penetrar en el extremo final y descargar troyanos, keyloggers y otro malware en ordenadores o portátiles de usuarios para robar sus contraseñas. Además son grupos muy dinámicos, bien organizados y con estrategias operacionales:

• Los hackers cambian su malware con tanto frecuencia que los sistemas de defensa basados en firma como los antivirus no pueden detenerlos, es como partir cada día de cero, pues son utilidades vulnerables, no son confiables al 100%.
• Aplicaciones software como Zeus y SpyEye facilitan a los hackers la gestión de redes zombis y la organización de sus ataques.
• Además hoy en día dirigen sus objetivos sobre compañías de prestigio con ataques en conjunto y en un momento dado, es lo que se conoce como APT, una amenaza persistente avanzada.

Confiar en exceso en la autenticación con usuario/contraseña es un problema básico que permite a los cibercriminales penetrar en nuestras redes. Si cualquiera con acceso a la red es atacado, los hackers pueden robar contraseñas y tomar posesión de una infraestructura tecnológica; desde ese momento, pueden escalar a objetivos más valiosos, como los administradores de sistemas, creando sus propias cuentas de gestión.

Para conocer y comprender mejor los riesgos que afectan a nuestra seguridad digital, debemos cuestionarnos de manera formal nuestra estrategia, medidas y protocolo de seguridad:

• ¿Depende nuestra seguridad del uso de contraseñas únicamente?
• ¿Precisamos fortalecer la autenticación en los accesos a la red?
• ¿Depositamos nuestra confianza en aplicaciones informáticas inseguras o en servidores externos vulnerables?
• ¿Puede un ataque a los equipos o dispositivos de un empleado poner en jaque nuestra infraestructura informática empresarial?

El problema de las contraseñas radica en que las personas no estamos preparados para recordar textos difíciles o extensos, de ahí la razón de que continúen en uso hoy en día contraseñas ridículas del tipo “123456” o “LUIS”. Para progresar hacia soluciones de autenticación más seguras y adecuadas, tenemos que ir más allá del uso simple de contraseñas. Las soluciones de autenticación multi-factor son la base de los proyectos de desarrollo actual y futuro.

La autenticación robusta o de múltiples factores se define como la autenticación que utiliza dos o más fórmulas diferentes para verificar una identidad. Un ejemplo real de autenticación multi-factor sería cuando se requiere a un usuario la inserción de una tarjeta inteligente (algo que posee) en un lector y debe introducir un PIN o frase de control (algo que conoce) para desbloquear sus credenciales y acceder a una red segura. Si además coloca el dedo (algo que lo define) sobre un lector de huellas biométricas añadiría un tercer factor de verificación. Cada nivel de verificación de identidad supone una capa más de protección.

Por tanto, podíamos decir que implementar una autenticación robusta proporciona una manera simple y eficiente de:

• Mitigar la amenaza de suplantación de cuentas sensibles.
• Permitir un acceso remoto seguro para trabajadores en movilidad.
• Mejorar la usabilidad al eliminar la necesidad de políticas de contraseñas complejas y costosas.
• Reducir los costes de gestión de contraseñas.
• Construir las bases de un Plan Integral de Gestión de Identidades.

La tecnología de autenticación robusta mejora de manera significativa el tejido de una capa de seguridad ya que añade “algo que posee” al proceso de autenticación. Un hacker que roba contraseñas o intenta crear sus propias contraseñas de administrador será bloqueado por los dispositivos de autenticación robusta asociados a la identidad que quiera emplear. Cuando está bien diseñado, un segundo factor de autenticación pude ser virtualmente imposible de duplicar.

Muchas organizaciones IT líderes recomiendan soluciones de autenticación robusta como componente de una infraestructura IT segura. Por ejemplo, el Modelo de Optimización de Infraestructuras de Microsoft (IOM, Infrastructure Optimization Model) es un proceso estructurado que ayuda a las organizaciones a mejorar el conocimiento y el esfuerzo para obtener una infraestructura central más segura, bien gestionada y dinámica que ayudaría a reducir la mayoría de los costes IT, hacer un mejor empleo de los recursos informáticos y hacer de la tecnología un activo estratégico para el negocio.

Como parte de su discurso sobre Gestión de Identidades y Seguridad, Microsoft cuestiona, “¿cuál es el coste de cada llamada de un usuario a un centro de atención para solicitar el reseteo de una clave? Este problema ha desesperado al entorno IT durante décadas y la solución más común conduce a más agujeros de seguridad que cualquier otro tema de seguridad.”

Entre otras cosas, este modelo define la autenticación robusta, certificados PKI y tarjetas inteligentes como los bloques más importantes de una infraestructura de identidades administrada de manera correcta, utilizando para ello el gestor de identidades Microsoft Forefront. Específicamente, se recomienda una gestión de credenciales que:

• Permita a los usuarios reiniciar sus propias contraseñas por medio del inicio de sesión de Windows y el portal de reseteo de contraseñas del gestor de identidades Forefront, lo cual disminuiría los costes de atención al usuario.
• Proporcione una implementación efectiva de la autenticación robusta con la gestión integral de la tarjeta inteligente y su certificado.
• Incremente la seguridad en los accesos más allá de las soluciones de usuario y contraseña.
• Simplifique la gestión de certificados y tarjetas utilizando la gestión de identidades Forefront.
• Mejore la seguridad en los accesos remotos por medio de certificados con NAP (Network Access Protection).
• Incluya una autenticación más robusta a través de certificados para accesos y gestiones administrativas.
• Controle los costes de atención al usuario permitiendo a los usuarios finales gestionar ciertos aspectos de sus propias identidades.
• Mejore la seguridad y el cumplimiento de las normativas con errores mínimos a la hora de gestionar múltiples identidades y contraseñas.

Otra organización que recomienda la autenticación robusta y las tarjetas inteligentes basadas en certificados PKI para los niveles más altos de confianza en las identidades es el Instituto Nacional de Estándares y Tecnología estadounidense (NIST).

En respuesta a la Directiva Presidencial de Seguridad Nacional número 12 (HSPD-12), que solicitaba una gestión de identidades muy segura y credenciales de seguridad para todo el gobierno federal estadounidense, el NIST desarrolló un sistema para la autenticación robusta y definió diferentes niveles de seguridad. Bajo este conjunto de trabajos subyace la propia credencial de identidad segura del gobierno federal estadounidense, la tarjeta de verificación de la identidad personal (PIV), facilitada a todos los empleados federales y contratistas.

El estándar define cuatro niveles de seguridad que varían el nivel de confianza desde el bajo hasta el muy alto. El nivel de seguridad se mide por la intensidad y el rigor en el proceso de prueba de la identidad, la fortaleza de la credencial y los procesos de gestión que el proveedor de servicios aplica al mismo. Las tarjetas inteligentes basadas en certificados PKI son del nivel 3 (alto) y del mismo nivel que las tarjetas PIV y su equivalente en el Departamento de Defensa estadounidense, la tarjeta de acceso común (CAC).

Cuando se evalúa la mejor forma de avanzar en la implementación de la autenticación robusta, se empieza analizando a quién se necesita proteger y qué actividades necesitan ser protegidas. Por ejemplo, no todo el mundo en una empresa precisará el mismo nivel de acceso a la información sensible del negocio. Para un comercial externo, el acceso a su correo electrónico y CRM puede ser todo lo que necesita. Para un ejecutivo itinerante, los requisitos de acceso son mucho más amplios y la mayoría de la información a la que acceda será mucho más delicada. Aquí es donde un enfoque en niveles proporciona una protección adecuada a las necesidades del negocio.

Hacer posible que un trabajador en movilidad consiga un acceso seguro a los recursos corporativos puede proporcionar una ventaja competitiva al permitir una respuesta más ágil en las dudas de los clientes o en las ofertas, o mejorar la productividad del empleado y el servicio al cliente, por ejemplo. Pero mientras que la movilidad incrementa la productividad, también introduce un riesgo significativo en la seguridad. Con múltiples puntos de acceso a la red, el nuevo desafío para los profesionales de la seguridad IT es el equilibrio entre la seguridad y la flexibilidad.

Hoy en día, existen varias herramientas disponibles para los profesionales de la seguridad IT de cara a securizar las conexiones remotas. VPN, pasarelas de control de accesos y sistemas de prevención anti-intrusión desempeñan el papel de asegurar únicamente a la persona correcta proporcionándole accesos a los datos corporativos. Pero a pesar de la sofisticación de los sistemas de control de accesos, en la mayoría de los casos el método de verificación de la identidad principal es básicamente un nombre de usuario y una contraseña. Esto es lo mismo que comprar un Ferrari e instalar cerraduras de llave en las puertas. Simplemente ambas cosas no cuadran bien.

A pesar de la sofisticación de los heurísticos, las listas de control de accesos, el análisis de flujos de datos, etc., un intruso puede fácilmente acceder a la red sin ser detectado si se autentifica utilizando credenciales legítimas. Para mitigar este problema, las compañías han puesto en práctica cada vez más, complejos esquemas de contraseñas y forzado a los usuarios a cambiar sus contraseñas cada 30-90 días. Mientras esto dificulta adivinar la contraseña de un usuario, el resultado ha sido un mayor número de bloqueos de usuarios y reseteos de contraseñas a través del centro de atención a los usuarios – y cada solicitud supone una pérdida de tiempo y dinero a la compañía. Implementar la autenticación robusta facilita el día a día de los empleados, eliminando la necesidad de recordar todas esas complejas y diferentes contraseñas que varían periódicamente.

Otro nivel diferente de usuarios son los altos ejecutivos y dirigentes implicados en temas sensibles como fusiones y adquisiciones, previsiones de ingresos corporativos y comunicaciones a inversores pendientes de ser publicadas. Las necesidades de este grupo ejecutivo pueden incluir:

• Cifrado y descifrado de correo electrónico seguro.
• Firma digital de documentos electrónicos.
• Autenticación robusta para encriptar discos duros.
• Acceso multi-factor vía escritorio y de manera remota.

De manera similar, los administradores de sistemas no solamente tienen una necesidades básicas, sino que este grupo debería ser el primero en emplear autenticación robusta en una organización. Los hackers se esfuerzan en buscar una manera de entrar en una organización y conseguir una cuenta de administración de sistemas y así posicionarse con sus propias cuentas de administradores. Llegado a este punto pueden hacer prácticamente cualquier cosa que deseen dentro de los ordenadores o de la red.

Para evitar que esto suceda, se debe requerir el empleo de la autenticación robusta a todos los administradores de sistemas antes de que puedan tener permiso a la hora de realizar ciertos cambios, como por ejemplo crear nuevas cuentas de administración de sistemas. Hay muchos más ejemplos, pero la clave es analizar todos los casos de uso de su organización. Esta disposición le permitirá buscar aquella solución tecnológica que satisfaga los diferentes requisitos.

A la hora de planificar la puesta en marcha de la autenticación robusta, se debe examinar cómo puede encajar en su actual infraestructura IT y de seguridad. Afortunadamente, el fabricante Gemalto, presente en el portfolio de soluciones de seguridad digital de Grama, colabora con fabricantes IT líderes como Microsoft, Citrix, Adobe y otros muchos que facilitan este trabajo.

En la parte del servidor, Gemalto lo simplifica al instalar el servicio de autenticación IDConfirm. Puede ser instalado en cualquier infraestructura existente en menos de 10 minutos con una configuración básica. El servicio trabaja con sistemas líderes de almacenamiento de identidades como el Directorio Activo (AD) de Microsoft y puede rápidamente sincronizar el IDConfirm con la información existente sobre los usuarios para suministrar, por ejemplo, semillas para contraseñas de un solo uso (OTP).

Una alternativa en la parte del servidor es utilizar servicios alojados, que simplifican y aceleran la puesta en marcha y reducen los costes de la inversión inicial. Gemalto ofrece IDConfirm como servicio alojado y fácilmente integrable con la infraestructura existente.

Si se han desplegado otros dispositivos de seguridad, un requisito debe ser la coexistencia de los antiguos dispositivos durante el período de transición. Si se encuentra en la fase de cambiar de otro fabricante a Gemalto, la solución de Gemalto para OTP puede convivir con otro proveedor de autenticación.

Se deben examinar con detenimiento aquellas aplicaciones que van a emplear autenticación robusta. Muchos programas estándar, como Microsoft Windows, Microsoft Office, Adobe Reader y Citrix Presentation Manager, soportan de forma nativa la autenticación robusta de Gemalto. Además Gemalto suministra una API abierta para permitir la integración sencilla de las aplicaciones existentes con el IDConfirm.

No todos los usuarios se crean igual. Como mencionamos anteriormente, hay diferentes roles dentro de cada compañía que requieren distintos privilegios de acceso. Por decirlo de otra manera, la puesta en marcha de la autenticación robusta no debería ser igual para todos.

Gemalto tiene un portfolio completo de opciones de autenticación robusta para que podamos implementar la tecnología requerida en cada momento y cumplir con cada necesidad empresarial de forma específica. Las soluciones van desde la tecnología de contraseñas de un solo uso (OTP) a los sistemas de identificación basados en certificados PKI que permiten la encriptación de datos y la firma digital.

Cuando se analizan las diferentes opciones tecnológicas de un fabricante de seguridad digital, se deberían considerar los siguientes requisitos:

• Ofrecer un portfolio amplio de soluciones de autenticación robusta, desde OTP a los certificados PKI. Esto permite que se pueda escoger el nivel de protección que mejor encaje en las necesidades de la organización.
• Proponer una variedad de formatos diferentes, incluyendo credenciales ID, dispositivos OTP sin conexión, tokens USB duales con y sin conexión y soluciones en movilidad.
• Respaldar los estándares industriales abiertos y disponibles (por ejemplo OATH para OTP).
• Ofrecer una plataforma de servidor para facilitar la puesta en marcha.
• Proporcionar una plataforma de autenticación versátil que soporte un amplio rango de dispositivos y tecnologías.
• Capacidad de establecer y aplicar políticas de autenticación basada en riesgos que eleven el nivel de seguridad requerido para ciertos tipos de inicios de sesión de alto riesgo y deniegue o recorte privilegios de acceso.
• Existencia de dispositivos externos y basados en la nube.
• Soluciones de computación en la nube y de movilidad para el personal.

Las contraseñas de un solo uso (OTP) debería ser el primer paso para la securización de la red, especialmente a la hora de garantizar el acceso a usuarios remotos. Los sistemas OTP proporcionan una capa adicional de seguridad sobre el binomio clásico de usuario y contraseña. El usuario simplemente introduce un nombre de usuario y el código numérico que le facilita un dispositivo OTP. El servidor de autenticación valida el código y se garantiza el acceso a los recursos de red adecuados. Esto incrementa la seguridad en el proceso de inicio de sesión, garantizando que la persona que accede a la red está en posesión de dos factores de verificación de la identidad. En este caso, el dispositivo OTP, el nombre de usuario y, posiblemente, una contraseña. Así se impide a cualquiera que pueda encontrar una contraseña escrita y conseguir las credenciales utilizando técnicas de ingeniería social. En realidad, se necesita tener un dispositivo OTP y el código correcto conjuntamente con la otra información privada del usuario.

Los equipos IT deberían además considerar que hay dos ventajas adicionales bastante importantes en la implementación de la seguridad basada en OTP:

• OTP soluciona los dolores de cabeza de las VPN eliminando la necesidad de un cliente VPN, ya que lo sustituye por un inicio de sesión en Windows con OTP.
• Permite a los empleados utilizar sus teléfonos móviles –algo que ya poseen– para generar OTP en lugar de dispositivos externos tipo token o tarjeta.

Los OTP portátiles permiten también a las organizaciones hacerse cargo completamente de la gestión de las claves mediante autoservicio utilizando métodos reconocidos como los estándares de referencia de IETF para la provisión de claves OATH (Open Authentication Organization). Esto hace que no exista relación con el fabricante conservándose así la confidencialidad de las claves. El teléfono además permite la validación del usuario por PIN durante el proceso de autenticación OTP, mejorando la seguridad y la verificación de la identidad.

Mientras que la autenticación OTP para acceso a la red es un avance significativo con respecto al par usuario y contraseña, la autenticación basada en certificados eleva el listón aún más.

Como comentábamos anteriormente, los marcos de referencia líderes, tales como el Core IO de Microsoft, las directrices de autenticación del gobierno federal estadounidense y el estándar FIPS 201, recomiendan emplear credenciales y procesos basados en certificados PKI y tarjetas inteligentes para garantizar unos altos niveles de seguridad e identificación.

Con una base sólida de identificación que incluya un repositorio ID consolidado, bases de datos optimizadas y un sistema estable de suministro de identidades, desplegar la autenticación basada en certificados es sencilla y puede realizarse con un coste mínimo.

Las soluciones basadas en la tarjeta inteligente de Gemalto potencian la infraestructura de clave pública (PKI) para proporcionar autenticación robusta basada en certificados. Se aseguran así dos factores de autenticación debido al uso de la tarjeta o token inteligente para algo que se tiene y combinándolo con otro factor de autenticación. Con unos controles de seguridad apropiados en lugar de verificar la identidad del usuario antes de proporcionar tarjeta inteligente y certificado, se puede estar seguro que solamente el usuario legítimo es el único que accede a la red corporativa y a datos sensibles. Una vez que la solución de identidad basada en certificados ha sido desplegada, existen varias características de seguridad adicionales que pueden ser añadidas, entre las que podemos señalar las siguientes:

• Encriptación de ficheros – el problema de securizar datos almacenados se resuelve cifrando el disco duro. La autenticación OTP aumenta la seguridad en los accesos a la red, sin embargo proporciona escaso valor a la encriptación de discos; por todo ello, la seguridad de las tarjetas inteligentes basadas en certificados puede ser utilizada conjuntamente con sistemas de cifrado de discos para proporcionar autenticación multi-factor a la hora de descifrar ficheros sensibles o discos duros.
• Cifrado de correos electrónicos – garantizando así la seguridad de la información sensible enviada por correo electrónico. Potenciando el proceso criptográfico con el despliegue de la tarjeta inteligente, se cifra el correo electrónico y sólo puede ser descifrado por el destinatario final – manteniendo así el correo electrónico libre de miradas indiscretas.
• Firma digital – usar Internet para hacer negocios es un medio rápido y económico, pero los proyectos pueden irse al traste si confiamos en la firma manuscrita a la hora de validar y aceptar ya que ésta se puede falsificar. Las firmas digitales son creadas empleando dispositivos de tarjeta inteligente con PKI que aseguran autenticar documentos virtuales ahorrando tiempo y dinero.
• Autenticación mutua – a medida que las aplicaciones alojadas comienzan a ser más importantes, es necesario fortalecer los controles tanto para el sistema cuando autentica un usuario como también para cuando el usuario se autentica en el sistema. Este solución proporciona una capa adicional de seguridad que garantiza que la información on-line intercambiada es segura y que el usuario interactúa únicamente con la aplicación legítima.

No se crean todos los usuarios por igual. Cada usuario que accede a la red tiene un conjunto de permisos basados en las condiciones de su trabajo y sus necesidades de acceso. Cuando se ponen en marcha fuertes controles de seguridad, las necesidades del usuario y la capacidad de la seguridad IT que apoya esas necesidades requerirán una solución de seguridad parametrizable que encaje en esos perfiles de usuarios tan diversos.

Hay tres opciones a la hora de desplegar una solución de identificación basada en certificados con Gemalto IDPrime: .NET, minidriver (MD) o PIV. Cada solución proporciona un alto nivel de seguridad en la identificación del usuario cuando intenta acceder lógicamente a la red. Los productos basados en tarjetas inteligentes se pueden combinar con la tecnología de proximidad para disponer también de accesos físicos, y junto con la impresión de seguridad, pueden servir además como identificación visual.

Las tarjetas inteligentes .NET y MD potencian las capacidades de gestión de la tarjeta existentes en el servidor de Microsoft y los sistemas operativos Windows. Este despliegue no requiere un middleware adicional para la gestión de las tarjetas. Al integrarse completamente con el gestor de identidades de Microsoft Forefront (FIM), la solución de autenticación .NET o MD basada en certificados se comporta en la práctica como un plug-and-play. Además las tarjetas .NET y MD son también compatibles con el sistema operativo Mac OS y con los entornos Linux. Al añadir una funcionalidad biométrica se eleva un nivel más la seguridad gracias a la verificación del usuario por huella dactilar que se emparejará con la de la tarjeta. Esta funcionalidad está incorporada al sistema biométrico de Windows (Windows Biometric Framework).

Adicionalmente, las tarjetas inteligentes MD poseen una certificación que cumple las normativas americanas (FIPS 140-2 nivel 3) y europeas (CC EAL5+ / PP SSCD). Las tarjetas inteligentes MD pueden ser fabricadas con una interfaz dual y son compatibles con NFC que está ya presente en la mayoría de móviles y tabletas actuales.

Como se refleja en la certificación FIPS 201, las tarjetas inteligentes PIV son compatibles completamente con la solución adoptada por el Departamento de Defensa estadounidense. Es la tarjeta de identificación empleada tanto para tarjeta de acceso común (Common Access Card) por millones de militares como para la verificación de la identidad personal (Personal Identity Verification), la credencial empleada por las agencias federales no militares.

Para escoger la solución de tarjeta más adecuada debería pensar en lo siguiente:

• Si su objetivo principal es la integración optimizada con la infraestructura de Microsoft, a la vez que sea compatible con otros sistemas operativos, debería considerar seriamente las tarjetas .NET.
• Si, además de esa necesidad de integración, precisa un certificación de firma regulada (CC o FIPS) con/sin compatibilidad con el interfaz NFC de dispositivos portátiles, la elección correcta es una tarjeta inteligente del tipo minidriver (MD), certificada y con/sin interfaz dual.
• Si un factor importante es la interoperabilidad con gobiernos americanos, la mejor elección es una tarjeta PIV interoperable.

Asimismo existe un amplio abanico de soluciones y tarjetas en otros entornos como tarjetas Java (IDCore) o las tarjetas clásicas (IDClassic)

Una manera rápida de comenzar es contactar con Grama como su proveedor tecnológico que combina consultores especialistas en seguridad con servicios en la web. Solamente la red mundial de socios especializados en seguridad de Gemalto, entre cuyos miembros se encuentra Grama, le ayudará a planificar e implementar soluciones de autenticación robusta de Gemalto de manera oportuna.

Si piensa que los servicios basados en la web pueden ayudarle a simplificar y acelerar el despliegue en una gran empresa, solicítelos a Grama, como su proveedor tecnológico:

¿Para qué almacenar tokens OTP? Grama puede proporcionarle un completo servicio fulfilment de OTP incluyendo la orden de pedido, la personalización, el empaquetado, el envío y el suministro de los dispositivos hardware OTP (tokens o tarjetas con visor).

Para la aplicación móvil OTP, Gemalto pone a disposición de sus clientes un portal que redirecciona a la tienda de aplicaciones adecuada de acuerdo al tipo de teléfono del usuario (ej., se redirecciona a la tienda de aplicaciones de Apple para la descarga de la aplicación para iPhone).

Grama proveerá un dispositivo OTP individual a un usuario final concreto o proporcionará la opción de enviarlo en lotes hasta un punto central de distribución.

Grama puede crear una tienda web a medida para que sus usuarios puedan solicitar su dispositivo OTP y proporcionar la información del envío. Para la asignación de costes, cada dispositivo o lote de dispositivos pueden ser adquiridos a través de la tienda web imputando el coste a un grupo específico o departamento de compras asociado con el usuario.

IDConfirm simplemente enlaza una semilla OTP con una cuenta de usuario, sincronizando con un almacén de identidades existente. Esto permite al usuario auto-activarlo una vez que haya recibido el dispositivo OTP o descargado la aplicación móvil OTP a través de Gemalto IdProve.

Los teléfonos móviles se han hecho omnipresentes y los teléfonos inteligentes han adquirido un impulso considerable sobre todo en los países desarrollados. Esto supone una opción interesante para la tecnología OTP – potenciando el dispositivo móvil como token OTP a través de Gemalto IdProve.

Hay dos maneras de llevarlo a cabo. La primera es utilizar el servicio de mensajes cortos (SMS) existente en cada dispositivo móvil. El usuario solicita una contraseña OTP cuando se autentifica en un recurso específico y la recibe desde la red.

La segunda opción es tener una aplicación que pueda ser ejecutada en un teléfono inteligente. Cuando se solicita a un usuario una contraseña OTP para autenticación robusta, simplemente lanza la aplicación que genera la contraseña OTP evitando la necesidad de un dispositivo hardware adicional. La aplicación de Gemalto además puede autenticar usuarios con un solo clic, una vez que el usuario obtiene la contraseña OTP de la aplicación, sólo debe pulsar sobre el botón de enviar contraseña en la aplicación. No se necesita introducir físicamente la contraseña OTP en el sistema.

Otra opción es utilizar una tarjeta inteligente de identificación con un dispositivo móvil. El móvil se debe conectar a un lector especial a través de un cable, como una funda que envuelve al dispositivo, o por medio de Bluetooth o tecnologías inalámbricas.

La interfaz NFC, si está disponible en el móvil, puede ser utilizada con tarjetas de interfaz dual.

A medida que la industria del móvil avanza y los estándares maduran, hay más opciones de seguridad disponibles para almacenar credenciales digitales de identificación en un hardware basado en un “Elemento Seguro” (Secure Element) que es parte de la arquitectura de un teléfono inteligente o de una tableta portátil. El elemento seguro está basado en una tecnología de tarjeta inteligente como la tarjeta SIM/UICC, una tarjeta MicroSD o un chip embebido del tipo Elemento Seguro (Secure Element).

En cualquier caso, el Elemento Seguro (Secure Element) es el factor de seguridad clave que genera y almacena los secretos criptográficos y ejecuta los algoritmos asociados necesarios para la autenticación robusta y otros servicios de seguridad digital.