Las claves son difíciles de recordar. ¿Y si un rápido movimiento de los cinco dedos sobre una pantalla te permitieran acceder? ¿O pronunciar una simple frase? Ninguna de estas ideas es descabellada. Científicos en informática están entrenando sus iPads en Brooklyn para reconocer a sus propietarios a través de sus dedos al hacer el gesto de acariciarlos. Los bancos ya están utilizando un software que reconoce la voz, como complemento del PIN estándar. Y luego de años de predecir su desaparición, los investigadores en seguridad están renovando sus esfuerzos para complementar y quizás, algún día, dejar de lado la antigua clave. “Las cuarenta claves que tengo que crear y cambiar, son para mí una gran molestia”, afirma Nasir Memon, profesor de informática del Instituto Politécnico de la Universidad de Nueva York en Brooklyn, que dirige el proyecto Ipad. Muchas personas sienten lo mismo. La clave se ha vuelto una carga sobre nuestras espaldas digitales: un elemento necesario para muchos dispositivos y cuentas, pero a la vez una fuente cada vez más grande de exasperación e inseguridad.
El área de investigación del Ministerio de Defensa está buscando formas de utilizar pistas como las singularidades de tipeo de una persona para verificar la identidad: en el caso, por ejemplo, que la laptop de un soldado termine en las manos de un enemigo en el campo de batalla. Para nombrar un ejemplo más corriente, hace poco Google empezó a sugerirles a los usuarios que consideren un sistema de acceso de dos pasos, que combina una clave con un código enviado a sus teléfonos. El último software de Android puede desbloquear un teléfono cuando reconoce la cara del propietario o -y esto no es tan seguro-cuando alguien pone delante de la pantalla una foto del dueño del teléfono.
Sin embargo, a pesar de estos avances recientes, podría ser prematuro anunciar el fin de las claves, como hizo Bill Gates en 2004 cuando dijo: «la clave ha muerto.»
«Esta  suposición espectacularmente incorrecta ha sido nociva, y ha desalentado la investigación sobre cómo mejorar las claves en un mundo en el que casi dos mil millones de personas las utilizan,» escribió Cormac Herley, un investigador de Microsoft en un paper. El señor Herley sugiere que los investigadores deben tratar de apuntalar el uso de claves. Por ejemplo, ayudando a la gente a proteger sus conexiones wifi de espías. «Se ha demostrado que las claves son difíciles de combatir», dice el señor Herley, «todos los que han tratado de reemplazarlas han fracasado.»
El enfoque del tacto de pantalla del Profesor Memon en Brooklyn funciona porque, el gesto de cada persona es único. Los dedos son diferentes, se mueven en diferentes velocidades, tienen lo que él llama un «estilo» diferente. Se busca que el acceso sea fácil; además, dice, algunas personas sienten que las medidas biométricas, como el escaneo del iris, son un poco «terroríficas».
En esta investigación, los gestos más elegidos resultaron los que se producen de manera más intuitiva. Uno fue el de mover noventa grados una imagen de candado. Otro fue el de firmar el propio nombre en la pantalla. En principio, el gesto puede usarse para desbloquear un dispositivo o una aplicación del dispositivo que contenga una variedad de claves.
A pesar de la resistencia, las claves son débiles, curiosamente porque los usuarios tienen una memoria limitada y una debilidad para exponer secretos. La mayor parte de las personas necesitan docenas de ellas y tienden a elegir claves complejas que hay que anotar, o tan simples que pueden adivinarse fácilmente. En los últimos tiempos, los delincuentes se han vuelto expertos en robar claves por medio de la introducción de software malicioso en computadoras que engañan a los usuarios para que ingresen sus claves en sitios ilegítimos.
Empresas como Facebook y Twitter han tratado de lidiar con la frustración que los usuarios sienten respecto a las claves, y han permitido que sus nombres de usuarios y claves abran la puerta de miles de páginas, algo conveniente pero que al mismo tiempo genera riesgos obvios. Un ladrón con acceso al nombre usuario y clave maestros puede acceder a una gran cantidad de cuentas.
Rachna Dhamika,  una científica en informática de California vuelta empresaria, trató de combatir estas debilidades por medio de una partición de la clave. El usuario entra primero en el servicio que construyó la señora Dhamika, UsableLogin, y se registra con una parte de su clave. Detrás de escena el servicio verifica que el usuario se encuentre en un dispositivo autorizado y toma la tercera parte de la nube, lo cual genera una clave única para cualquier página en la que el usuario quiera registrarse: Facebook, por ejemplo. En otras palabras, una parte de la clave se queda con el usuario, otra está guardada en el dispositivo y la tercera se encuentra online.
«Es como tomar un secreto y dividirlo», afirma la señora Dhamika, cuyo servicio fue recientemente adquirido por Webroot Software de Broomfield. «El riesgo se divide. La clave no se guarda en ningún lado de forma completa.»
Pero incluso si un usuario ha sido autorizado para iniciar una sesión, ¿qué pasa si otra persona accede a su computadora una hora más tarde? Darpa, la sección de investigación tecnológica del Ministerio de Defensa, ha invitado a los investigadores de seguridad a desarrollar formas de verificar un usuario a cada instante, basándose en la forma en que el usuario utiliza la máquina: «por ejemplo, cómo usa el mouse y cómo utiliza el lenguaje escrito en un e-mail o documento,» explicó en su página a esta oficina.
Ambas técnicas están guiadas por la noción de que una sola clave es un medio insuficiente para verificar la identidad online. Hay que pensarlas como una fortificación: un plus que se le agrega a la clave.
Muchas empresas usan una tarjeta inteligente o un «dongle» de seguridad (una pequeña pieza que se conecta a la computadora y funciona como una llave) como el segundo paso de la verificación para acceder a redes internas. Hoy, la biometría -los rasgos físicos únicos de un individuo- está surgiendo como una alternativa.
Al menos media docena de bancos en Estados Unidos les piden a sus clientes que verifiquen quiénes son por medio de la repetición de una frase de dos segundos a una computadora por teléfono, además de teclear sus PINs. Podría ser algo tan simple como «en mi banco», y un millón de clientes podrían repetir la misma frase y aún así sonar únicos. Así lo afirma Nuance Communications, una compañía ubicada en Burlington, Massachusetts, que produce esta tecnología.
Los teléfonos móviles se vuelven apéndices físicos de las personas en todo el mundo, y también están volviéndose elementos para verificar la identidad. Google introdujo un proceso de dos pasos hace poco. Google envía un código de seis dígitos a una aplicación en el celular del usuario, este código debe ingresarse junto con una clave cuando se ingresa en una cuenta de Google desde una computadora o una tableta. El código puede enviarse también en forma de mensaje de texto para los que no poseen un smart phone, o puede ser transmitido por una llamada telefónica.
El paso extra no es obligatorio, y la compañía no dirá cuál es la dimensión de los usuarios que lo han adoptado. Pero dado que las claves son vulnerables al robo, dice Google, es cada vez más importante que la identidad de los usuarios sean verificada a través de otro canal; en este caso, un teléfono celular.
 «Pienso que comenzaremos a ver a la gente usar sus teléfonos celulares como sus identificadores principales», dice Brendson Wilson un investigador de seguridad en Symantec. «La clave ya no será el último signo de que alguien es alguien. Veremos surgir más capas sobre la clave.»