Las tarjetas inteligentes perfeccionarán la autentificación del usuario

Hasta ahora, para realizar esta autentificación es necesario un dispositivo que lea y procese la identidad de la tarjeta, pero con esta nueva propuesta este proceso se integra en la tarjeta de forma independiente y autónoma, maximizando así la seguridad global del sistema.

Una tarjeta inteligente es en cierto modo como un ordenador portátil, en tanto que es posible programar en ella diversas aplicaciones informáticas y tiene una arquitectura similar, con un procesador, memoria de lectura y escritura, etc. Sin embargo, carece de otros elementos presentes en un PC, como batería, reloj interno o un monitor, y su tamaño es minúsculo. El núcleo de una tarjeta inteligente cabría holgadamente dentro de esta letra “o”, y podemos acceder a él mediante unos contactos eléctricos, una láminas doradas que se observan en la superficie externa de algunas  tarjetas bancarias o en las tarjetas SIM de los teléfonos móviles.
Uno de los usos o aplicaciones más extendidos de las tarjetas inteligentes es la autentificación del portador de la misma, por ejemplo, al acceder a unas dependencias corporativas, al realizar un pago electrónico o al identificarse con un pasaporte o DNI electrónico. Para ello, basta con poseer la tarjeta y conocer una clave. Y para que la tarjeta se comunique con el sistema, hace falta introducirla en un terminal lector que colabora en la autentificación de la misma. Sin embargo, eso tiene un riesgo: un terminal de este tipo podría estar manipulado con el objeto de obtener información confidencial o denegar un servicio determinado, por ejemplo.

Y esto es lo que trata de evitar Joaquín Torres, profesor del Laboratorio de Seguridad en las Tecnologías de la Información de la UC3M y uno de los autores del estudio, que ha aparecido publicado recientemente en la revista Computers Communications.  “Para fortalecer la seguridad y robustez de este proceso de autentificación – explica – tratamos de que la tarjeta inteligente se autentifique por sí sola con el servidor remoto que provee los servicios de autorización, relegando al terminal lector exclusivamente a funciones de retransmisión”.

Bajo estos requisitos, la solución propuesta se basa en la implementación del protocolo EAP (Extensible Authentication Protocol) en la tarjeta inteligente, que permite aislar la funcionalidad de autentificación en la misma. “Con esta propuesta  conseguimos que la tarjeta inteligente gane en autonomía y que se pueda hacer un uso más seguro de ésta”, añade Torres. Esto es especialmente importante cuando estas tarjetas se utilizan  para realizar pagos electrónicos, algo por lo que vienen apostando en los últimos años los bancos y diversas entidades de servicios financieros.

Los científicos apuntan hacia la aplicación de esta propuesta en una nueva generación de ‘smart cards’ que se está fraguando desde principios de esta década. “De hecho – asegura Torres – los primeros trabajos llevados a cabo en este sentido por nuestro equipo demuestran la viabilidad de esta solución y su escalabilidad a otras tecnologías de tarjetas inteligentes venideras, que serán tan indispensables – concluye – como son en la actualidad el teléfono móvil, la tarjeta de crédito o el DNI”.