Arculus: Avanzando hacia un futuro sin contraseñas con el Dr. Adam Lowe

Con el aumento de las amenazas cibernéticas, nuestras prácticas de seguridad deben evolucionar. Entonces, ¿por qué no hemos adoptado soluciones más seguras? El Dr. Adam Lowe afirma: “La mejor seguridad es aquella que la gente utiliza,” lo que implica que la usabilidad es clave.

El equipo de CoinDesk habló con el Dr. Lowe para analizar esta idea.

Lowe es el Director de Producto e Innovación en CompoSecure, quien ha desarrollado su carrera en la vanguardia de la innovación. Ha escrito varios capítulos técnicos para libros y está registrado como inventor en más de 500 patentes y patentes en trámite, incluyendo Arculus, una plataforma de seguridad digital de próxima generación que brinda a las personas la capacidad de proteger sus activos digitales e identidades.

La experiencia en seguridad de Lowe se extiende más allá de CompoSecure y Arculus. Anteriormente, desempeñó un rol de I+D en una organización sin fines de lucro que apoya la defensa y la inteligencia de Estados Unidos. Las experiencias de Lowe le otorgan un profundo entendimiento de la seguridad web2 y web3 para usuarios que van desde individuos hasta entidades gubernamentales.

En esta conversación, exploraremos el estado actual y futuro de la ciberseguridad y por qué Lowe cree en un futuro sin contraseñas.

Creo que su experiencia proporciona mucho contexto sobre cómo terminó trabajando en CompoSecure y desarrollando Arculus, pero algo en lo que me encantaría profundizar es cómo estas experiencias lo llevaron al mundo de web3.

Claro, ha sido un largo camino, comenzando cuando estaba en la escuela de posgrado, alrededor de 2011. Bitcoin comenzaba a abrirse paso en el ámbito académico. En ese momento no compraba mucho Bitcoin, ciertamente desearía haberlo hecho, pero fue allí donde tuve mi primer contacto con él.

Luego ingresé al sector de defensa, donde desarrollé un interés en la criptografía que protegía a las personas, a los combatientes y a toda la comunidad de inteligencia. Hice eso durante un par de años y luego me trasladé al área de pagos.

He estado en CompoSecure, nuestra empresa matriz, durante aproximadamente 10 años trabajando en tecnología de tarjetas de pago metálicas premium. A medida que las criptomonedas maduraron, realmente comencé a verlas como el futuro de los pagos y la identidad digital, y cómo ambos se fusionan en el web3.

Desde la perspectiva de los pagos globales, en cierta medida vi dónde se formaba este nexo y tomé la posición adecuada creando Arculus. Arculus es el lado de activos digitales e identidad digital de nuestro negocio, donde tomamos la tecnología de tarjetas de pago de metal premium, le añadimos una curva elíptica para habilitar muchas funcionalidades. Pueden realizar pagos. Pueden autenticar a los consumidores. Y también es un firmante de hardware completo para todas las blockchains modernas relevantes.

Esa es la visión: las personas necesitan gestionar sus identidades digitales, y queremos brindarles la seguridad en su bolsillo para hacerlo.

Todos deseamos haber comprado Bitcoin en 2011, pero su trayectoria en el mundo cripto es definitivamente única y le ha brindado perspectivas sobre la seguridad personal, corporativa y gubernamental.

Parece que las empresas están perdiendo datos de clientes tan fácilmente como los clientes olvidan sus contraseñas. ¿Por qué está sucediendo esto?

Sí, doy charlas sobre esto todo el tiempo y un título de charla un poco en broma que tuve recientemente fue que las contraseñas están obsoletas. Porque realmente lo están.

Lo que me gusta decir, y es verdad, es que confías en una llave para la puerta principal de tu casa o apartamento. Deberías confiar en una llave digital para tu vida digital. No en una contraseña.

El problema fundamental con la mayoría de estos sistemas, sin importar la escala, es que están basados en el conocimiento. Una contraseña no es más que un secreto compartido, y para cualquiera que haya pasado por la escuela secundaria, los secretos compartidos no duran mucho tiempo. Por lo tanto, es inherentemente un defecto de diseño.

Y como mencionó, la gente a menudo lo olvida y debe restablecerse. Algo así como la mitad de todas las actividades en los centros de atención telefónica están relacionadas con contraseñas. Para las empresas, esto puede volverse muy costoso.

Bien, las contraseñas están pasadas de moda, pero ¿qué más hay?

En lugar de contraseñas, que se basan en el conocimiento, los sistemas modernos están avanzando hacia soluciones basadas en claves.

Es posible que ya haya visto a Facebook, Coinbase y otros utilizando claves digitales para gestionar su vida digital. Es la misma forma en que se firma una transacción en Ethereum con una clave digital, pero en lugar de eso, está firmando digitalmente un desafío que demuestra que usted es usted.

Es un avance significativo en materia de seguridad.

Incrementalmente mejor que las contraseñas es algo como Google Authenticator, pero no ofrece una experiencia de usuario óptima. Debe cambiar de pestaña, obtener seis dígitos, regresar, competir contra el reloj y esperar acertar. Simplemente no es ideal.

Este enfoque de confianza cero basado en claves del que estamos hablando está mandatado para todo el Departamento de Defensa este año, y se impondrá a más agencias gubernamentales con el tiempo.

CISA lo calificó como el estándar de oro y usted debería aspirar a lo mejor. Realmente creemos que es el mejor enfoque, y empresas como Apple, Google y otras están de acuerdo con nosotros, por lo que todos los teléfonos Android y iPhone lo soportan.

Entonces, lo que hicimos con la llave de acceso, y para trabajar dentro del sistema de llaves de acceso Fido WebAuth, es que las colocamos en elegantes tarjetas metálicas externas que las empresas pueden proporcionar a sus clientes, con su propia imagen de marca.

Para riesgos bajos a medios, hay una aplicación en tu teléfono: vas a mirar tu teléfono para desbloquear tu sitio web o aplicación favorita.

Para actividades de riesgo medio a alto, utiliza su tarjeta, una clave externa, lo que la hace aún más segura. Acerca la (clave de paso) (tarjeta) a su teléfono, firma un desafío y ya está dentro.

Usted mencionó anteriormente que “la mejor seguridad es la que la gente utiliza” y ello me recordó cómo mis padres simplemente se mantienen con lo que conocen.

¿Cuál es su perspectiva sobre la adopción de su tecnología? ¿Es una seguridad que mis padres utilizarían?

En Arculus, literalmente contamos con algo llamado el “Test de la mamá de Adams,” que requiere que mi madre pueda hacerlo sin ningún tipo de orientación. Y si no puede, y necesita orientación, entonces no es lo suficientemente simple.

Los tres pilares de Arculus son seguro, simple y protegido, y la simplicidad es definitivamente muy importante.

Una transacción promedio que su madre realizará solo necesita utilizar datos biométricos en su dispositivo. Ella simplemente miraría su teléfono o usaría la huella de su pulgar, y nunca tendría que recordar una contraseña. Creo que esa es una gran ventaja de esta tecnología.

Una razón por la que creemos que las tarjetas inteligentes son un medio excelente para esto es que todos las tienen. Las tarjetas inteligentes a nivel mundial son entre 20 y 25 veces más comunes que los iPhones. Todo el mundo piensa que todos tienen un iPhone. Pues bien, hay 20 veces más tarjetas inteligentes que iPhones.

Volviendo a las criptomonedas, escucho regularmente a personas que almacenan todo su portafolio en la misma billetera que conectan a todo.

Dada la idea de que la mejor seguridad es aquella que las personas realmente utilizan, ¿cómo ve usted que se desarrollará esta adopción en web3 y cómo mejorará la protección para los usuarios que interactúan con dApps?

Creo que pronto veremos un cambio en las carteras calientes. El desafío con los métodos antiguos y previos de almacenamiento en frío, que no son más que memorias USB glorificadas, es que resultaban demasiado complicados de usar: no son amigables para el usuario, implican cargas y descargas constantes, y no son muy viables.

Con Arculus, lo hemos hecho más fácil de usar que muchas carteras calientes.

Obtiene esa facilidad de uso con máxima seguridad en una plataforma multifuncional. Como mencioné anteriormente, podemos cargar pagos en la tarjeta, podemos convertirla en el autenticador FIDO del que hablamos, que le permite iniciar sesión en plataformas web2.

Toda tu vida digital puede estar en una tarjeta que llevas contigo regularmente, y es tan fácil de usar como tu monedero caliente favorito, pero las claves están en tu bolsillo. No hay forma de hackearla porque el único lugar donde existen tus claves privadas es en esa tarjeta.

Además, es 3FA, pero un 3FA sencillo:

• Algo que tienes: esa tarjeta específica, que está sincronizada con tu teléfono,
• Algo que usted es: el dato biométrico en su dispositivo, y
• Algo que sabes: tu código PIN.

Usted cuenta con esa defensa independiente y profunda que mantiene su criptomoneda segura y puede funcionar plenamente dentro del entorno Web3. Puede usar WalletConnect con su DEX favorito, realizar cualquier operación que desee, y continuar avanzando con total confianza.

¿Qué amenazas cibernéticas emergentes prevé en los próximos años, y cómo las aborda Arculus?

Claro, todos mencionan la IA. Creo que es algo razonable a lo que prestar atención, ya que reduce la barrera para los ciberataques.

Con la IA, puedes ser menos capaz de lo que solías ser para lanzar un ataque cibernético razonable porque la IA te ayudará a programar y a ejecutarlo con un umbral de conocimiento más bajo. Por lo tanto, veremos una mayor escala y volumen de ataques debido a eso.

Tenemos que tener nuestros sistemas preparados para poder defendernos contra ese volumen de ataques. Estamos protegiendo contra futuros ataques al eliminar el tipo de problema de credenciales pescables mediante intercambio de SIM del que hablamos, porque o tienes la llave o no la tienes.

Un atacante puede golpear contra ese muro todo lo que quiera. Si no tienen la clave criptográfica para desbloquear la cuenta o esos privilegios, no van a entrar. Por eso es tan crucial que dejemos atrás este sistema basado en el conocimiento que permite la entrada de atacantes.

¿Qué sucede en el mundo de web3 y las criptomonedas?

Creo que una de las amenazas, especialmente en web3, proviene de este gran movimiento para intentar incorporar gente. Tenemos que lograr que más personas entren al espacio y debemos incorporarlas. Si bien eso es cierto, se observa que muchas plataformas están adoptando el inicio de sesión social para intentar facilitar la incorporación.

Si esas cuentas no están seguras, entonces todo lo que ha hecho es llevar los problemas de la web2 al mundo web3 porque vuelve a depender de contraseñas, correos electrónicos y los mismos problemas de siempre.

¿Qué sucede cuando el hacker dice ‘Olvidé mi 2FA’ y la solución es que recibas un enlace por correo electrónico? Todo lo que el hacker tendría que hacer es realizar un cambio de SIM y estaríamos de nuevo en el mismo punto donde empezamos.

No podemos trasladar la inseguridad de web2 a web3.

Esta discusión ha reflejado el sentimiento de “no son tus llaves, no es tu cripto”. ¿Pero qué hay de los custodios y las DAOs? ¿Puede Arculus soportar sistemas multipartidarios como las firmas múltiples?

Nos asociamos con diversas personas y trabajamos con múltiples sistemas. Consideramos que somos el motor de criptografía más seguro y fácil de usar, ¿entonces por qué seríamos prescriptivos sobre cómo deberían utilizarlo las personas?

Podríamos trabajar, por ejemplo, en algo como Gnosis Multi-Sig, donde podemos firmar uno de esos contratos y ser un firmante, firmante M de M, en ese ecosistema multi-sig donde podrías usar ese inicio de sesión Fido WebAuth para acceder a una plataforma.

Realmente creemos que somos un sistema de criptografía fácil de usar y flexible que puede funcionar en ese entorno corporativo o centralizado con la misma facilidad para un consumidor. Creo que las respuestas a esos diferentes problemas son distintas. Somos una navaja suiza donde podemos sacar la herramienta adecuada y ayudar a resolver el problema.

He observado que Arculus se asocia tanto con soluciones de pago tradicionales como con empresas de web3. ¿Podría elaborar al respecto?

Claro. Trabajamos mucho con Solana, Aptos y Sui, entre otros, enfocándonos realmente en integrar Web3 y pagos. Como mencioné anteriormente, podemos gestionar la identidad utilizando el estándar de autenticación web Fido, que estas cadenas están adoptando para un tipo de inicio de sesión ZK sencillo. Pero también podemos ayudar a soportar los pagos usando estas redes.

Somos de las pocas personas en el mundo privilegiadas para fabricar tarjetas Visa, MasterCard y American Express. Durante la última Solana Hacker House, realizamos una presentación y mostramos cómo se pueden utilizar nuestras tarjetas mediante contacto, ya sea para operar a través de la red Visa o para realizar pagos por contacto con Solana Pay sobre la red Solana.

Realmente está unificando esos sistemas de pago y utilizando stablecoins como instrumentos de pago y liquidación, incorporando ese web3 en casos de uso diario reales, lo cual considero simplemente fantástico.

¿Algo más antes de concluir?

Quiero reiterar que la facilidad de uso, combinada con la seguridad y la simplicidad, posiciona realmente a Arculus como un líder en el espacio. Cada vez que alguien dice, ah, la custodia propia o el almacenamiento en frío es demasiado difícil, y le entregas Arculus, tienes un converso.

Con nuestra tecnología, realmente queremos decir “acceder” a Web3 para hacer que los pagos sean simples y seguros. Nuestra tecnología está aquí para proteger los activos digitales y las identidades de las personas.