Repensar la autenticación y la seguridad biométrica, al estilo de Toptal

Toptal es una vasta red de talentos tecnológicos y actualmente contamos con la fuerza laboral distribuida más grande de la industria. Esta es una fuente de orgullo para muchos Toptalers, especialmente para nuestro equipo de desarrollo que trabaja arduamente. ¿Por qué? Porque hacemos que parezca tan fácil y fluido, y lo hacemos todos los días. Mientras que una empresa de tecnología tradicional está obligada a tener una gran infraestructura (mucho espacio de oficina, servidores, equipos estandarizados, abundantes recursos de seguridad física y cibernética, etc.), nosotros no.

Confiamos en tecnología y servicios listos para usar. Las empresas tradicionales tienen dificultades para hacer frente a una pequeña cantidad de usuarios de BYOD, pero aquí en Toptal, todo nuestro hardware es BYOD . El problema con nuestro enfoque independiente de la plataforma y la dependencia de una red distribuida es evidente: ¿Cómo podemos garantizar y mantener la seguridad?

Nunca fue fácil, pero nos gustan los buenos desafíos y nos gusta ir un paso por delante. Es por eso que comenzamos a diseñar múltiples procedimientos de autenticación e incorporación el año pasado. Usamos el primer trimestre de 2016 para pruebas y pilotos, y fueron alentadores. Como resultado, decidimos anunciar los resultados de nuestras pruebas y revelar nuestros planes de implementación.

A finales del tercer trimestre, todos los Toptalers estarán familiarizados con nuestras nuevas soluciones y, si todo va bien, empezarán a utilizarlas a finales de año.

El reto

¿Cómo nos aseguramos de que todos los que iniciaron sesión en nuestra red sean quienes dicen ser? La mayoría de los miembros de nuestro equipo nunca se han conocido en la vida real, pero colaboran a diario. ¿Qué pasa si la seguridad de alguien se ha visto comprometida? O, ¿qué pasa si un miembro descontento decide socavar la red?

Nos decidimos por un enfoque doble para abordar estas preocupaciones:

• Incluyendo un conjunto de pruebas de confiabilidad personal a nuestro proceso de selección.
• Presentamos una nueva capa de seguridad biométrica.

¿Qué tipo de pruebas instituiremos? Nuestro enfoque se inspiró en el Programa de Confiabilidad del Personal (PRP), creado por el Departamento de Defensa de los EE. UU. El programa está diseñado para identificar al personal con el más alto grado de confiabilidad, tomando en cuenta su conducta previa, honradez, comportamiento y lealtad. El cumplimiento de PRP será evaluado continuamente por nuestra recién formada División de Seguridad Interna (ISD), integrada por veteranos de inteligencia militar de Israel y Bosnia.

El acceso a la plataforma se limitará a las personas que cumplan con los estrictos criterios de PRP; sin embargo, el incumplimiento de estos estándares no será motivo de despido o degradación. Simplemente reflejará la falta de idoneidad del individuo para ciertos roles, restringiendo su acceso a información confidencial.

Para garantizar el cumplimiento continuo, cada miembro de Toptal deberá firmar un nuevo acuerdo de confidencialidad y someterse a una evaluación. El acuerdo incluirá disposiciones que cubran el tratamiento de la información confidencial y delineará un conjunto de sanciones para las personas que violen dicho acuerdo.

Dado que somos una red distribuida, también dependeremos de los aportes de nuestros miembros. Nuestros informes mensuales TopTeam existentes se ampliarán para incluir un cuestionario de confiabilidad personal. En otras palabras, cada miembro de la red podrá denunciar comportamientos o compañeros de trabajo sospechosos a través de un formulario de evaluación anónimo.

El teniente coronel David Finci, Jefe de la División de Seguridad Interna de Toptal, explica la decisión de incluir 'consejos' anónimos:

Nuestro objetivo no es alentar la disidencia y crear fricciones entre los miembros del equipo, pero estamos convencidos de que esto es vital para garantizar la confiabilidad personal. Debemos permitir que los miembros de la red escudriñen el desempeño profesional y la integridad personal de sus compañeros de trabajo. De lo contrario, nuestra capacidad para obtener información procesable y urgente se vería comprometida.

Los miembros de la red con autorización PRP completa recibirán tokens de seguridad y almohadillas de un solo uso para garantizar el cifrado en caso de que la integridad de nuestra red se vea comprometida. También recibirán tarjetas de identificación con un código QR o un código de barras escaneable.

El uso de estas medidas de seguridad será obligatorio y la pérdida o robo de las tarjetas de identificación se tomará con seriedad. Afortunadamente, estas tarjetas serán una solución provisional y se eliminarán tan pronto como nuestra nueva plataforma de seguridad se considere lista. Esperamos un lanzamiento a principios de 2017.

Biometría: matrimonio imperfecto de conveniencia

Empezamos a experimentar con la seguridad casi biométrica el año pasado, casi por accidente. Después de que un Toptaler decidiera tatuarse nuestro logotipo en el brazo, nos dimos cuenta de que este enfoque podría emplearse para códigos QR. Nadie quiere llevar otra tarjeta en su billetera, y los códigos QR son relativamente pequeños, por lo que se pueden tatuar fácilmente o incluso grabar en las uñas.

Puede que se pregunte si hablamos en serio o no, y la respuesta es obviamente no . Sin embargo, el tatuaje de Graham nos dio una buena idea: ¿por qué no utilizar tecnología biométrica, respaldada por soluciones de seguimiento listas para usar?

Ya nos estamos moviendo hacia un futuro sin contraseña, y Toptal quiere estar a la vanguardia. ¿Por qué abrumar a las personas con contraseñas, códigos QR tontos, autenticación de dos factores o tokens de seguridad, si podemos garantizar una seguridad superior sin ninguno de ellos?

Ha habido intentos de esto antes, utilizando tecnología personal como teléfonos inteligentes y escáneres de huellas dactilares, pero estas técnicas no son a prueba de balas. (En el caso de los escáneres de huellas digitales de teléfonos inteligentes, pueden ser superados por una simple impresora de inyección de tinta o un cuchillo).

Además, el uso de teléfonos inteligentes para la autenticación abre la caja de Pandora de otros problemas.

Bluetooth LE: Representación de la seguridad personal a prueba de balas y sin problemas

Un teléfono perdido es una receta para el desastre y, con el debido respeto por toda la tecnología antirrobo y antipérdida que existe, gran parte de ella no funciona bien o requiere la participación del usuario para hacer su magia. Además, ¿por qué confiar únicamente en los teléfonos inteligentes cuando necesitamos autenticar a las personas en el hardware de su oficina?

Un teléfono perdido se llama teléfono perdido por una razón, porque el usuario no sabe que se ha perdido para empezar. Si te despiertas y te das cuenta de que perdiste tu teléfono anoche, es demasiado tarde. Dicho esto, si tiene la costumbre de despertarse en lugares extraños sin su teléfono, o cualquier recuerdo de la noche anterior, también debe estar atento al robo de riñones.

Aquí es donde se pone interesante. Los tokens de seguridad y los dongles funcionan, pero son un dolor de cabeza y tienen la costumbre de perderse en el peor momento posible. Es por eso que planeamos que nuestras tarjetas de identificación fueran una medida temporal, solo activa durante 9 meses más o menos. Tenemos la intención de reemplazarlos con dispositivos Bluetooth portátiles y económicos.

Sí, los Toptalers estarán obligados a llevarlos consigo en todo momento, pero esto no será un problema. Bluetooth LE es una tecnología excelente, al menos en términos de consumo de energía, y estos dispositivos se pueden proteger con relativa facilidad, proporcionando una nueva capa de autenticación (no podemos discutir los detalles debido a las restricciones de NDA).

Inicialmente probamos una serie de rastreadores de actividad física baratos y etiquetas antipérdida para demostrar que nuestro enfoque era factible. Funcionó, pero estos dispositivos listos para usar no se adaptaban perfectamente a nuestras necesidades, por lo que nos dispusimos a diseñar los nuestros, lo que resultó ser sorprendentemente fácil.

Entra en la TopBand de Toptal

Nos pusimos en contacto con varios fabricantes de equipos originales chinos de renombre para consultas y aportes técnicos. Les proporcionamos las especificaciones, ellos nos proporcionaron su cotización y una fecha de envío. Sí, fue así de sencillo, y sí, nos sorprendió gratamente.

Actualmente estamos en el proceso de pasar por varios diseños y factores de forma diferentes de Toptal TopBand, además de trabajar en el lado del software. Estos dispositivos no solo interactuarán con su teléfono y computadora como tokens de seguridad inalámbricos, sino que también rastrearán sus hábitos de trabajo y sueño.

¿Por qué? Porque ellos pueden. Se basan en el hardware utilizado en los rastreadores de actividad física, por lo que no tuvimos que reinventar la rueda y diseñar el hardware desde cero. De hecho, costaría más eliminar funciones y sensores innecesarios que usar soluciones listas para usar.

Aquí están las especificaciones de nuestro producto inicial:

• Chip Bluetooth 4.0 fabricado por Dialog
• Acelerómetro de ADI
• Batería de polímero de litio de 50 mAh de Sony, duración de la batería de 40 días
• Ensamblaje de vibración, interfaz de usuario de tres LED, altavoz de notificación
• Dimensiones: 8 mm x 15 mm x 35 mm (estimado)
• Peso: 8 g (estimado, sin correa ni clip)

Todavía no hemos finalizado el diseño, por lo que las dimensiones físicas son solo estimaciones. Todavía estamos en el proceso de decidir si usar aluminio o policarbonato para la carcasa, o una combinación de ambos (queremos que se vea increíblemente genial). De cualquier manera, el dispositivo será resistente a la intemperie IP67, por lo que ni siquiera tendrá que quitárselo cuando se duche.

Por eso estamos convencidos de que el dispositivo no será una molestia. Es pequeño , no tiene que cargarlo cada dos días, se puede llevar como un rastreador de actividad física estándar en la muñeca, en un llavero e incluso puede caber en su billetera (como beneficio adicional, se puede usar para alertar usuarios si extravían su billetera o llaves).

Por supuesto, podría vincularlo a su computadora como un dispositivo de seguridad inalámbrico y olvidarse de estas características, pero ¿dónde está la diversión en eso?

Esto es lo que TopBand trae a la mesa, lo que permite a los usuarios:

• Proteja su hardware limitando el acceso a nuestra plataforma si la TopBand no está emparejada y dentro del alcance del dispositivo.
• Localice teléfonos extraviados, o viceversa (use un teléfono para encontrar la TopBand).
• Recibe notificaciones, mediante vibración y alarmas de audio.
• Recopile datos de actividad física, que pueden usarse para prevenir el agotamiento y realizar un seguimiento de sus hábitos de trabajo (cuando se usa como dispositivo portátil).

El último punto puede resultar controvertido, pero podría ser útil en algunas circunstancias. Por ejemplo, permitirá a los miembros de su equipo saber si está despierto y trabajando o no, y es perfecto para el seguimiento del tiempo. Naturalmente, Toptal no recopilará ni utilizará estos datos sin el consentimiento previo. Está ahí para su conveniencia; utilícelo para mejorar su salud y aumentar la productividad.

Proyecto de mascotas Toptal

Mientras jugábamos con los prototipos, algunos Toptalers decidieron crear un spin-off potencial, una especie de proyecto favorito y cuando decimos "proyecto favorito", literalmente queremos decir proyecto favorito. Mucha de nuestra gente está obsesionada con sus amigos de cuatro patas, por lo que idearon formas de usar nuestro hardware de maneras que no esperábamos: convirtieron la TopBand en un rastreador de mascotas.

El hardware estaba listo, por lo que todo lo que se necesitó fue un código modificado. Les animamos a probar el dispositivo en sus mascotas; los datos recopilados serían valiosos aunque solo fuera para garantizar que los desarrolladores poco éticos no pudieran engañar al sistema montando la TopBand en su gato y diciéndoles a todos que están en casa, trabajando duro.

La funcionalidad específica para mascotas aún se está probando, pero los resultados son alentadores. Por el momento, los dispositivos monitorean la actividad básica, verifican si su mascota está dormida o no y vibran si su mascota se desvía fuera del alcance. Suena un poco más humano que esos desagradables collares de descargas eléctricas, ¿no es así?

Dado que los gatos y los perros vienen en todas las formas y tamaños, el mayor problema es la calibración del sensor, en la que está trabajando el equipo. El dispositivo se probó en algunos gatos, incluido un felino italiano con obesidad mórbida, y perros que van desde Jack Russells hasta Akita Inus.

Más allá de eso, no podemos revelar muchos detalles, y he aquí por qué; nuestros desarrolladores han convertido su proyecto favorito en un esfuerzo serio. Se acercaron a algunos inversores potenciales y obtuvieron fondos para un lanzamiento comercial limitado (también programado para 2017), pero este es solo el primer paso hacia una línea completa de productos para mascotas.

Nuestro equipo ya está trabajando en el rastreador de mascotas de próxima generación, basado en hardware patentado, con carga inalámbrica y la capacidad de usarse como un implante subdérmico.

Suena friki, pero a tus mascotas les encantará

Los implantes subdérmicos tienen mala reputación, pero la mayor parte es injustificada y promovida por manivelas de conspiración. Si le pregunta a cualquier profesional de mascotas, le dirá que los animales más grandes que una rata ni siquiera los notan y, de hecho, tienden a ser más seguros y cómodos que la mayoría de los collares inteligentes. La colocación de microchips ya es una práctica ampliamente respaldada a nivel mundial para minimizar las poblaciones de mascotas callejeras; esto solo lo lleva un paso más allá.

Hasta ahora, los implantes subdérmicos se limitaban a una funcionalidad RFID rudimentaria y esto limitaba su atractivo. Esto no es un golpe en la tecnología RFID; muchas empresas legítimas están trabajando en implantes RFID, y Dangerous Things es una startup que se destaca en términos de innovación.

Sin embargo, los ensamblajes de carga inalámbrica Qi son cada vez más pequeños y económicos con cada nueva generación. Esto, obviamente, permite a los ingenieros diseñar implantes repletos de funciones porque pueden darse el lujo de usar más energía de la batería para los sensores y la conectividad Bluetooth siempre activa.

Desafortunadamente, todavía no estamos allí, y los primeros prototipos no estarán listos hasta 2018 como muy pronto. Nuestros socios de hardware también nos informaron que no podrán realizar ensayos con animales en China continental debido a la estricta e inflexible legislación de derechos de los animales del país.

Por lo tanto, los dispositivos se probarán en Camboya. Nos aseguraron que la investigación sería ética, por lo que no hay nada de qué preocuparse. Nuestro equipo está ansioso por probar los implantes en sus propias mascotas, y no soñarían con hacer nada que pusiera en riesgo sus peludos paquetes de alegría.

Si es lo suficientemente bueno para mi perro...

Aquí es donde nos encontramos con un inconveniente menor. Gracias a la cultura entusiasta de Toptal, dos de los miembros de nuestro equipo se ofrecieron como voluntarios para probar los implantes en ellos, no solo en sus mascotas. Si bien aún es demasiado pronto para los ensayos en humanos, demuestra que a las personas podría no importarles usar implantes subdérmicos, siempre que puedan confiar en la tecnología. Dado que estas personas desempeñaron un papel fundamental en el desarrollo de nuestra TopBand, están ansiosas por probar el concepto. Nos dicen que se mete debajo de la piel después de un tiempo.

Necesitamos sujetos humanos para probar la carga inalámbrica y algunas otras características, ya que es poco probable que los intentos de entrenar a gatos y perros para que se sienten en un lugar durante horas funcionen. Nos decidimos por un enfoque alternativo para la etapa piloto, en el que los animales aún podían moverse y recargar sus implantes, pero esto implica atarles un gran banco de energía y un cargador Qi a los animales. Como solución provisional, planeamos hacer un buen uso de las jaulas y la hierba gatera del 'condominio de gatos' para probar el concepto en el transcurso de unas pocas horas.

Los ensayos en humanos aún están muy lejos y requieren más planificación y supervisión regulatoria. Si bien este enfoque funciona para nuevos medicamentos, no tenemos el tiempo ni los recursos necesarios para los ensayos clínicos. Sin embargo, nuestros voluntarios aceptaron firmar una renuncia y que se les instalaran los implantes de todos modos. Dado que esto podría crear problemas legales en la UE o EE. UU., lograron encontrar una pequeña clínica brasileña de cirugía plástica dispuesta a hacer el trabajo. La clínica también ofreció un generoso descuento en los procedimientos de ginecomastia.

Toptal está buscando más voluntarios y no tengo ninguna duda de que los encontraremos. Después de todo, Google logró encontrar a miles de personas ansiosas por pagar $ 1,500 por un dispositivo portátil inútil, solo para detener el desarrollo meses después, ¡y aun así lo llamaron un éxito! A estos valientes exploradores ni siquiera les importaba que las interweb los llamaran Glassholes.

Como dijo un voluntario de Toptal:

¡Prefiero tener un implante del tamaño de un aguacate en mi ingle, que Google Glass en mi cara!

Nota: No se lastimó a ningún gato al hacer esta publicación.