Sello HR4RS
Abel Verard
Desde hace tiempo, las empresas tecnológicas como Facebook o Google han tratado de ofrecer soluciones para la gestión de identidad de sus usuarios. Estos proveedores de servicios se han convertido así en proveedores de identidades, de manera que la identidad federada sea la clave para que los usuarios puedan autenticarse en distintos recursos, aplicaciones y servicios con una misma cuenta y contraseña. En las federaciones de identidad tanto los usuarios como los proveedores de estos recursos, aplicaciones y servicios confían en los proveedores de identidades y en los estándares que se han definido para soportar esta forma de trabajar. Sin embargo, estos estándares presentan multitud de vulnerabilidades que pueden permitir a un atacante suplantar a un usuario legítimo cuando accede un recurso, servicio o aplicación, o bien robándole su contraseña o bien secuestrando su sesión una vez que se ha establecido.
En este contexto, una investigación de la URJC ha planteado un método de detección de comportamientos anómalos, cuyo fin es proteger al usuario ante estas posibles amenazas. El sistema consiste en evitar o detectar estos ataques de suplantación a través de un flujo de cinco pasos que permita caracterizar el comportamiento del usuario para integrarlo en el proceso de acceso a estas aplicaciones, recursos o servicios. De esta forma, el proveedor con el que el usuario suele interactuar debe seleccionar los atributos para construir y modelar la huella de comportamiento para cada usuario y caracterizar lo que es normal para él. El siguiente paso consiste en evaluar los modelos y validarlos para integrarlos en los accesos a los recursos, servicios o aplicaciones que se ofrecen para mejorar sus niveles de seguridad.
Tal y como explica Marta Beltrán, investigadora del grupo Cybersecurity Cluster, la huella “se puede construir utilizando tanto atributos estáticos como dinámicos del comportamiento de los usuarios. Esto incluye características del navegador que usa, del dispositivo y de la red de acceso, así como dinámicas de uso de ratón, teclado, interfaz táctil, etc. Cada proveedor tiene que seleccionar la huella que mejor se ajusta a sus requisitos de seguridad y privacidad, no hay una que se pueda recomendar para todos los casos de uso. Y es que no nos damos cuenta, pero nuestra manera de acceder y utilizar un servicio o aplicación es muy personal (qué funcionalidades usamos, a qué ritmo tecleamos, si usamos más o menos el ratón, etc.) y prácticamente única, lo que puede tener grandes ventajas a la hora de proteger nuestra seguridad.”
Un mecanismo que reduciría los ciberataques
Alejandro G. Martín, autor principal del trabajo e investigador del Data Science Lab, señala que “aplicando mecanismos de aprendizaje automático, los proveedores pueden darse cuenta de que un usuario se comporta de manera anómala y desencadenar las acciones necesarias”. Eso sí, subraya que siempre “en colaboración con el proveedor de identidades federadas que se esté usando y con el propio usuario para proteger su seguridad de la manera más adecuada”.
Por tanto, este modelo se basa en un "círculo de confianza" entre proveedores y usuarios, un concepto que identifica que un determinado usuario es conocido en una comunidad determinada y tiene acceso a servicios específicos dentro de ella.
Los estándares de gestión de identidades federados como OpenId Connect y OAuth 2.0 han sido adoptados muy rápidamente por los usuarios. Cada vez es más frecuente el gesto del Social Login, un inicio de sesión único que permite conectarnos a distintos proveedores con una única cuenta de Google, Facebook o Apple, lo que puede llegar a comprometer la seguridad del usuario. Según reveló la encuesta de IBM Security, un 70% de los españoles utiliza este método para autenticarse en diferentes servicios en su día a día.
En este sentido, el método propuesto, basado en mecanismos UEBA (User and Entity Behaviour Analytics) para detectar anomalías en el comportamiento de los usuarios legítimos mediante técnicas de aprendizaje automático, puede ser la solución a esta amenaza. La solución propuesta se ha validado a través de un chat web denominado Letschat que utiliza OpenID Connect para la autenticación de los usuarios. El conjunto de datos y resultados que se ha generado para realizar la validación con once usuarios diferentes se ha publicado en el repositorio Mendeley para que pueda ser utilizado por otros investigadores.
