Con el aumento de las amenazas cibernéticas, nuestras prácticas de seguridad deben evolucionar. Entonces, ¿por qué no hemos adoptado soluciones más seguras? El Dr. Adam Lowe dice: "La mejor seguridad es la que usa la gente", lo que implica que la usabilidad es clave.
El equipo de CoinDesk habló con el Dr. Lowe para analizar esta idea.
Lowe es el director de productos e innovación de CompoSecure y ha hecho su carrera a la vanguardia de la innovación. Es autor de varios capítulos de libros técnicos y figura como inventor de más de 500 patentes y patentes pendientes, incluido Arculus, una plataforma de seguridad digital de próxima generación que brinda a las personas la capacidad de proteger sus identidades y activos digitales.
La experiencia en seguridad de Lowe's se extiende más allá de CompoSecure y Arculus. Anteriormente ocupó un puesto de I+D en una organización sin fines de lucro que apoya la defensa y la inteligencia de Estados Unidos. Las experiencias de Lowe's le brindan un conocimiento profundo de la seguridad web2 y web3 para usuarios, desde individuos hasta entidades gubernamentales.
En esta conversación, exploraremos el estado actual y futuro de la seguridad cibernética y por qué Lowe cree en un futuro sin contraseñas.
Creo que su experiencia proporciona mucho contexto sobre cómo terminó trabajando en CompoSecure y desarrollando Arculus, pero algo en lo que me encantaría profundizar es cómo estas experiencias lo llevaron a web3.
Claro, ha sido un largo viaje, que se remonta a cuando estaba en la escuela de posgrado, alrededor de 2011. Bitcoin estaba retumbando en la academia. No era un gran comprador de Bitcoin en ese momento, ciertamente desearía serlo, pero ahí fue donde lo probé por primera vez.
Luego pasé a la defensa, donde me interesé en la criptografía que mantenía segura a las personas, a los combatientes y a toda la comunidad de inteligencia. Hice esto durante un par de años y luego pasé a los pagos.
He estado en CompoSecure, nuestra empresa matriz, durante aproximadamente 10 años desarrollando Tecnología de tarjetas de pago metálicas de primera calidad. A medida que las Cripto maduraron, realmente comencé a verlo como el futuro de los pagos y la identidad digital, y cómo los dos se fusionan en web3.
Desde el punto de vista de los pagos globales, vi dónde se formó este nexo y me posicioné bien al crear Arculus. Arculus es el lado de activos digitales e identidad digital de nuestro negocio, donde tomamos Tecnología de tarjetas de pago de metal premium y agregamos una curva elíptica para permitirle hacer muchas cosas. Pueden hacer pagos. Pueden autenticar a los consumidores. Y también es un firmante de hardware completo para todas las cadenas de bloques modernas relevantes.
Así que esa es la visión: las personas necesitan gestionar sus identidades digitales y queremos darles la seguridad en su bolsillo para hacerlo.
Todos deseamos haber comprado Bitcoin en 2011, pero su viaje Cripto es definitivamente único y le ha brindado información sobre la seguridad personal, corporativa y gubernamental.
Parece que las empresas están perdiendo datos de clientes con la misma facilidad con la que los clientes olvidan sus contraseñas. ¿Por qué está pasando esto?
Sí, doy charlas sobre esto todo el tiempo y un título irónico que tuve recientemente fue: Las contraseñas están pasadas de moda. Porque realmente lo son.
Lo que me gusta decir es, y es cierto, que confías en una llave de la puerta de entrada de tu casa o apartamento. Debes confiar en una clave digital para tu vida digital. No es una contraseña.
El problema fundamental de la mayoría de estos sistemas, sin importar la escala, es que están basados en el conocimiento. Una contraseña no es más que un Secret compartido, y para cualquiera que haya pasado por la escuela secundaria, los secretos compartidos no duran mucho. Entonces es inherentemente un defecto de diseño.
Y como mencionaste, la gente a menudo lo olvida y hay que restablecerlo. Aproximadamente la mitad de todas las actividades de los centros de llamadas están relacionadas con contraseñas. Para las empresas, esto puede resultar muy caro.
Ok, entonces las contraseñas están pasadas de moda, pero ¿qué más hay?
En lugar de contraseñas, que se basan en el conocimiento, los sistemas modernos están avanzando hacia soluciones basadas en claves.
Es posible que ya haya visto que Facebook, Coinbase y otros ya utilizan claves digitales para administrar su vida digital. Es la misma forma en que firmas una transacción de Ethereum con una clave digital, pero en cambio, estás firmando digitalmente un desafío que demuestra que eres tú.
Es un gran avance en materia de seguridad.
Incrementalmente mejor que las contraseñas es algo como Google Authenticator, pero no es una gran experiencia de usuario. Tienes que salir, buscar seis dígitos, volver a entrar, correr contra el reloj y esperar hacerlo bien. Simplemente no es genial.
Este enfoque de confianza cero basado en claves del que estamos hablando es obligatorio para todo el Departamento de Defensa este año y será obligatorio para más agencias gubernamentales a medida que pase el tiempo.
CISA lo llamó el patrón oro y hay que optar por el oro. Realmente creemos que es el mejor enfoque y personas como Apple, Google y otros están de acuerdo con nosotros, razón por la cual todos los teléfonos Android y iPhone lo admiten.
Entonces, lo que hicimos con la clave de acceso, y para trabajar dentro del sistema de clave de acceso de Fido WebAuth, fue colocarlas en hermosas tarjetas metálicas externas que las empresas pueden proporcionar a sus clientes, en su marca.
Para cosas de riesgo bajo a medio, hay una aplicación en su teléfono: mirará su teléfono para desbloquear su sitio web o aplicación favorita.
Para cosas de riesgo medio a alto, utilizas tu tarjeta, una clave externa, lo que la hace aún más segura. Tocas la clave (tarjeta) de tu teléfono, firma un desafío y estás dentro.
Dijiste antes que “la mejor seguridad es la que usa la gente” y me recordó cómo mis padres simplemente se apegan a lo que saben.
¿Cuál es su perspectiva sobre la adopción de su tecnología? ¿Es seguridad que usarían mis padres?
En Arculus literalmente tenemos algo llamado “Prueba de mamá de Adams”, que requiere que mi mamá pueda realizarla sin ningún tipo de entrenamiento. Y si no puede y necesita entrenamiento, entonces no es lo suficientemente simple.
Los tres pilares de Arculus son seguros, simples y protegidos, y lo simple es definitivamente muy importante.
Una transacción promedio que hará tu mamá solo necesita usar datos biométricos en su dispositivo. Simplemente miraría su teléfono o usaría su huella digital y nunca tendría que recordar una contraseña. Creo que esa es una gran ventaja de esta Tecnología.
Una razón por la que pensamos que las tarjetas inteligentes son un excelente vehículo para esto es que todo el mundo las tiene. Las tarjetas inteligentes a nivel mundial son entre 20 y 25 veces más ubicuas que los iPhone. Todo el mundo piensa que todo el mundo tiene un iPhone. Bueno, hay 20 veces más tarjetas inteligentes que iPhones.
Volviendo a las Cripto, escucho regularmente de personas que almacenan toda su cartera en la misma billetera a la que conectan todo.
Dada la idea de que la mejor seguridad es ONE que la gente realmente usa, ¿cómo cree que se desarrollará esta adopción en web3 y cómo mejorará la protección para los usuarios que interactúan con las dApps?
Creo que pronto verás un cambio con respecto a las billeteras HOT . El desafío con los métodos antiguos y anteriores de almacenamiento en frío, las glorificadas memorias USB, es que eran demasiado complicados de usar: no eran fáciles de usar, implicaban cargas y descargas constantes y no eran muy viables.
Con Arculus, lo hemos hecho más fácil de usar que muchas billeteras HOT .
Obtiene esa facilidad de uso con la máxima seguridad en una plataforma multifuncional. Como mencioné antes, podemos realizar el pago en la tarjeta, podemos convertirla en el autenticador FIDO del que hablamos que lo registra en las plataformas web2.
Toda tu vida digital puede estar en una tarjeta que llevas consigo habitualmente y es tan fácil de usar como tu HOT favorita, pero las llaves están en tu bolsillo. No hay forma de piratearlo porque el único lugar donde existen sus claves privadas es en esa tarjeta.
Además, es 3FA, pero 3FA fácil:
- Algo que tienes: esa tarjeta específica, que está sincronizada con tu teléfono,
- Algo que eres: el biométrico de tu dispositivo, y
- Algo que sabes: tu pin.
Tiene esa profundidad de defensa independiente que mantiene su Cripto segura y puede funcionar completamente dentro del entorno Web3. Puedes usar WalletConnect con tu DEX favorito, hacer cualquier operación que quieras y estar rockeando y rodando.
¿Qué amenazas cibernéticas emergentes prevé en los próximos años y cómo las aborda Arculus?
Claro, todo el mundo cita la IA. Creo que es razonable prestarle atención, ya que reduce el listón de los ciberataques.
Con la IA, puede ser menos capaz que antes de lanzar un ciberataque razonable porque la IA le ayudará a codificar y le ayudará a ejecutarlo con un umbral de conocimiento más bajo. Entonces veremos una mayor escala y volumen de ataques a partir de eso.
Tenemos que tener nuestros sistemas listos para poder defendernos de ese volumen de ataques. Nos protegemos contra futuros ataques eliminando el tipo de problema de intercambio de credenciales de SIM del que hablamos, porque o tienes la clave o no la tienes.
Un atacante puede golpear esa pared todo lo que quiera. Si no tienen la clave criptográfica para desbloquear la cuenta o desbloquear esos privilegios, no podrán ingresar. Por eso es tan importante que nos alejemos de este sistema basado en el conocimiento que permite la entrada a los atacantes.
¿Qué pasa en el mundo de la web3 y las Cripto?
Creo que una de las amenazas, especialmente en web3, proviene de este gran movimiento para intentar incorporar personas. Necesitamos conseguir más personas en el espacio y debemos incorporarlas. Si bien eso es cierto, vemos que muchas plataformas pasan al inicio de sesión social para intentar facilitar la incorporación.
Si esas cuentas no son seguras, entonces todo lo que ha hecho es tomar los problemas de Web2 y traerlos al mundo de Web3 porque volverá a las contraseñas, el correo electrónico y los mismos viejos problemas.
¿Qué sucede cuando el hacker dice 'Olvidé mi 2FA?' ¿Y la solución es que recibas un LINK de correo electrónico? Todo lo que el hacker tendría que hacer es cambiarte la SIM y volveremos al punto de partida.
No podemos introducir la inseguridad de Web2 en Web3.
Esta discusión se ha hecho eco del sentimiento de "ni tus claves, ni tus Cripto". Pero ¿qué pasa con los custodios y las DAO? ¿Arculus puede admitir sistemas multipartidistas como multi-sigs?
Nos asociamos con varias personas y trabajamos con múltiples sistemas. Creemos que somos el motor de criptografía más seguro y más fácil de usar, entonces, ¿por qué deberíamos ser prescriptivos sobre cómo debería usarlo la gente?
Podríamos trabajar, por ejemplo, en algo como Gnosis Multi-Sig, donde podemos firmar ONE de esos contratos y ser firmantes, firmantes M de M, en ese ecosistema multi-sig donde podríamos usar ese inicio de sesión de Fido WebAuth para iniciar sesión. usted en una plataforma.
Realmente creemos que somos un sistema de criptografía flexible y fácil de usar que puede funcionar en ese entorno corporativo o centralizado con la misma facilidad para un consumidor. Creo que las respuestas a esos diferentes problemas son diferentes. Somos una navaja suiza de la que podemos sacar la herramienta adecuada y ayudar a resolver el problema.
He notado que Arculus se asocia tanto con soluciones de pago tradicionales como con empresas web3. ¿Puedes dar más detalles sobre esto?
Seguro. Por eso hacemos mucho con empresas como Solana, Aptos y SUI y otros, realmente enfocados en unir Web3 y pagos. Como mencioné anteriormente, podemos administrar la identidad utilizando el estándar de autenticación web Fido, que estas cadenas están adoptando para una especie de inicio de sesión sencillo en ZK. Pero también podemos ayudar a respaldar los pagos utilizando estas redes.
Somos una de las pocas personas en el mundo que tenemos el privilegio de fabricar tarjetas Visa, MasterCard y American Express. Durante la última Solana Hacker House, dimos una charla y mostramos cómo se podían tocar nuestras tarjetas y éstas podían pasar por los rieles de Visa o tocar para enviar Solana Pay a través de los rieles de Solana .
Realmente es unificar esos sistemas de pago y usar monedas estables como instrumentos de pago y liquidación y llevar ese web3 a casos de uso diarios reales, lo que creo que es simplemente fantástico.
¿Algo más antes de terminar?
Quiero reiterar que la facilidad de uso combinada con la seguridad y la simplicidad realmente posiciona a Arculus como líder en este espacio. Cada vez que alguien dice, ah, la autocustodia o el almacenamiento en frío es demasiado difícil y pones a Arculus en sus manos, tienes un converso.
Con nuestra Tecnología, realmente queremos decir "aprovechar" Web3 para hacer pagos simples y seguros. Nuestra Tecnología está aquí para proteger las identidades y los activos digitales de las personas.