jueves, 3 de marzo de 2011

TOTALTEXTO obtuvo certificación OATH en Estados Unidos



La aplicación Total-pass creado por la empresa venezolana TOTALTEXTO fue uno de los galardonado por su seguridad. Este desarrollo genera claves dinámicas en los móviles



TOTAL-PASS, el producto para la generación de claves de un solo uso de TOTALTEXTO, ha sido reconocido internacionalmente con la “Certificación OATH”, sinónimo de cumplir con las mejores prácticas a la hora de crear contraseñas dinámicas.

En el marco del RSA Conference 2011 en San Francisco, California -el evento más importante a nivel global en cuanto a la tecnología de encriptación y seguridad de datos se refiere-, el estándar OATH, anunció la certificación de los primeros productos que cumplen con los requisitos exigidos para ser considerados robustamente seguros. Entre ellos, se encuentra TOTAL-PASS, el token móvil diseñado por TOTALTEXTO, que tiene la finalidad de generar claves dinámicas de un sólo uso para autenticación fuerte.

“Total-Pass ha aprobado una serie de pruebas diseñadas por la organización OATH para asegurar su compatibilidad con el estándar, garantizar su correcta implementación y por ende certificar que se trata de un producto seguro”, explicó Jorge Falcón, Director de Desarrollo de TOTALTEXTO.

El proceso de certificación se inició el pasado mes de Febrero, justo una semana antes del RSA Conference, con el objeto de anunciar las primeras empresas certificadas el primer día del evento. La OATH Certification está disponible para toda organización interesada en recibir la calificación para sus productos -registrada o no en OATH-, y hasta el momento sólo 14 empresas en el mundo han logrado certificarse. En palabras de Don Malloy, CEO de OATH, “esta certificación le da credibilidad a los productos y evita que proveedores de reputación dudosa sean vistos con seriedad, a menos que logren certificarse exitosamente. Incluso ha resultado un filtro para los grandes, ya que algunos de ellos han fallado en el proceso y deben implementar mejoras antes de intentarlo nuevamente”.

“Los estándares públicos, como es el caso de OATH, son mucho más respetados que los algoritmos secretos, ya que cuentan con la aprobación de muchos expertos. Si algo es público y reconocido como seguro, entonces hay una fuerte garantía de su calidad de funcionamiento. En el caso de las iniciativas privadas, se carece de este beneficio, ya que estas pueden tener fallas que a veces sus creadores no llegan a detectar y por ende no las corrigen”, explicó Falcón.
La autoridad más respetada para verificar la compatibilidad de un estándar es la organización que  los crea. En el caso de OATH, se esperó a tener listas las herramientas automatizadas que pudiesen garantizar pruebas fiables, y así otorgar la certificación.

Todo el proceso ha sido diseñado para que las pruebas sean verificadas a través de una herramienta automatizada, una suerte de caja negra que se limita a aprobar o reprobar objetivamente, cada uno de los pasos siguientes: compatibilidad con TokenID (se refiere a la generación de identificación para los token, para que estos cumplan con algunas convenciones de formato que garanticen la unicidad del mismo); compatibilidad con PSKC o Portable Symetric Key Contanier (garantiza la inicialización segura del token, que utilice un formato XML, encripte con AES y firme con HMAC); y por último, la compatibilidad con TOTP o Time based OTP (para garantizar la generación y validación correcta de las claves de un sólo uso).

OATH es un estándar abierto de autenticación fuerte basado en la generación de claves dinámicas de un sólo uso, que promueve las mejores prácticas de seguridad y la interoperabilidad de la industria. Según Falcón: “esta es tal vez la mayor promesa de OATH. El concepto es que si dos partes distintas implementan el estándar, estas pueden entenderse; como por ejemplo: un token y el servidor de validación a pesar de que sean de fabricantes distintos; lo que además funciona como una garantía para la empresa que adopta esta tecnología (bien sea un banco, una institución gubernamental, una  red social, etc.), ya que tiene la certeza de poder cambiar de proveedor, por otro que también utilice OATH, sin que se convierta en una experiencia traumática”.

El estándar OATH cuenta con el apoyo y respaldo de las empresas líderes y de mayor trayectoria en seguridad electrónica del mundo, lo que la compromete a mantenerse en constante evolución. En su carácter de miembro coordinador de OATH, Jorge Falcón indicó que “siempre se desarrollan nuevos estándares y posibles aplicaciones. También se continúan revisando periódicamente las ya existentes, para estar seguros de actualizarlas e incluir mejoras en versiones inéditas, o incluso crear soluciones a debilidades que hayan sido encontradas con la comunidad que las adopta y que no sólo incluye a expertos en seguridad, sino que también se trata de clientes y usuarios finales”.

No hay comentarios: