Hubo un tiempo en el que lo más parecido a una red social era disponer de email. Se ofrecían muchos servicios donde conseguir entre uno y dos megas (sí, megas) gratis de espacio. Y si no, siempre podías montar tu propio servidor de correo y gestionarlo. El correo era el servicio estrella no solo por permitir la comunicación, sino el registro en otras webs. Constituía uno de los activos más valiosos relacionados con la identidad en la red. Pero la generación actual concibe sus redes sociales como el centro de su identidad en la red y no el correo… aunque lo siga siendo. Esto supone un riesgo y algunos retos por delante.
Hace unos años le pedí el email a un joven de unos 18 años. Me dijo que “de eso no entendía”, porque “yo lo que tengo es WhatsApp”. Un conocido que trabaja de cara al público en oficinas me lo confirmaría más adelante: “hay quien no sabe bien qué poner en los formularios en la casilla del email de las solicitudes”. Y aunque no lo usan, sí tienen email. Claro que lo tienen. Para utilizar su Android o iPhone, para darse de alta en las redes sociales… es casi imprescindible disponer de un correo electrónico en cualquier actividad diaria en la red. ¿Cómo es que ni son conscientes, no solo del valor del correo, sino de su propia existencia?
Como ya mencioné en una columna anterior, las capas de abstracción tecnológica han conseguido que el alta en muchos sitios resulte transparente: “regístrate con Gmail”, “entra con Facebook”, e incluso el registro con el número de móvil es ya posible en muchas webs. Son fórmulas que invitan a que no se recuerde ni el correo ni la contraseña para disfrutar del servicio, porque la gestión de la identidad, de diferentes contraseñas asociadas a una web o servicios, se ha demostrado muy compleja para los usuarios, que terminan usando una misma contraseña para todo. Así que se ha trabajado en eliminar esta barrera. Bien con los proveedores de identidad que permiten facilitar esta tarea de registro con un solo clic (desde el teléfono móvil o el sistema operativo, con la sesión abierta siempre), bien con tecnología que está por llegar como passkeys basada en FIDO2. Excelentes noticias si no fuera porque todavía detrás de muchos de estos sistemas sigue existiendo el anacronismo de un correo con una contraseña.
Muchos usuarios no son conscientes porque crearon ese correo/identidad durante el primer proceso de registro en sus móviles, requisito hoy en día para el uso de la mayoría de los sistemas operativos. Y tampoco son conscientes de haber creado un correo electrónico, sino más bien de haber configurado su móvil para disponer de servicios como espacio en la nube, descarga de apps, etc. Desde hace un tiempo se ha difuminado el concepto de correo electrónico en favor de una identidad integrada en el sistema, en la que apenas hay que volver a introducir el usuario y la contraseña más allá de la primera vez. Por otro lado, modelos como el de WhatsApp, en los que no se requiere usuario ni contraseña aparentes, han hecho el resto para que los usuarios olviden lo que significa una gestión de identidad.
Pero como decimos, detrás de la inmensa mayoría de registros en webs todavía está el correo. Pensemos en nuestras páginas o redes sociales favoritas y en casi todas veremos una opción para recuperar la contraseña a través del correo. Por tanto, si un tercero tuviese acceso a ese email podría robar muchas de esas identidades simplemente solicitando un cambio de contraseña. Esto sigue siendo posible. Incluso podría ir más allá: los sistemas de correo suelen requerir un mail adicional de reserva para cuando se pierde el acceso al principal. Y con acceso a él, a su vez tendría acceso al primero. Al final, el email es todavía el primer y último eslabón de la cadena de identificación y debería estar más protegido. Pero no lo hacemos. Lo único que separa a un atacante de ese correo es habitualmente no ya una contraseña, sino el bloqueo de la pantalla del móvil.
Nadie les ha enseñado a las nuevas generaciones qué es un correo y los servicios adicionales que arrastra hoy en día. Tampoco la transversalidad que conlleva el estar registrado con una misma identidad en diferentes dispositivos. Y si no, que se lo digan a este youtuber, que ejecutó lo que parecía un vídeo en su ordenador, pero resultó que era malware que le robó el acceso a su correo. Minutos después asistió en directo a cómo le formateaban su móvil (registrado con el mismo correo con el que navegaba) en su propia mano. Su identidad era transversal. Una vez comprometido el email, el atacante fue accediendo al resto de webs y al móvil simulando solicitar un cambio de contraseña y en el caso de Android, un formateo en remoto.
Seguimos dependiendo del correo como interfaz de nuestra identidad y le hacemos menos caso que nunca. Así que, mientras se consolidan esas nuevas tecnologías de identidad, los retos que tenemos por delante son: enseñar y explicar cuánto depende de un solo correo electrónico, protegerlo con doble autenticación y contraseñas robustas entendiendo sus riesgos y, finalmente, poner algo de orden en nuestra identidad digital segmentando correctamente.