Elija ID en lugar de IP. Por favor.

Tomo muchas fotografías A veces uso WiFi. Otras veces estoy en el estanque (pescando, por si quieres saberlo) y uso mi conexión celular. Misma casa. Misma ubicación.

Y, sin embargo, la información de geolocalización incorporada en las fotografías tomadas en el mismo lugar varía según esté conectado a Wi-Fi o a un celular. A veces estoy “cerca de Wrightstown”. Otras veces no lo soy. Cuando estoy en una máquina con cables, la cosa se pone todavía más loca. Mientras escribo esto, me ubican en Appleton, Wisconsin, a unos 32 kilómetros al sur de aquí. Mi iPhone, en el mismo escritorio, me dice que estoy en la ciudad de Lawrence (correcto). Una foto que subí a Facebook dice que estoy cerca de Wrightstown, a unas 5-10 millas de distancia.

No hace falta decir que todos somos conscientes de que la geolocalización basada en la dirección IP a veces puede ser tanto un arte como una ciencia. Habiendo trabajado en el campo de SIG (hace ya mucho tiempo, cuando aún se me permitía codificar), soy muy consciente de la gimnasia matemática necesaria para mapear coordenadas a nombres de lugares con precisión sin introducir la cuestionable precisión de una dirección IP. Consideremos esta situación extraordinaria que se produce debido a los caprichos de la geocodificación por IP:

MaxMind hace coincidir direcciones IP, que se utilizan para conectar dispositivos a Internet, con ubicaciones físicas. Se ha dicho que estos no pretenden ser precisos.

James y Theresa Arnold dicen que registraron su hogar como la posición de más de 600 millones de direcciones.

Dicen que esto ha llevado a muchas personas a creer erróneamente que se cometieron numerosos delitos en la propiedad.

"La primera semana después de que los Arnold se mudaron, dos agentes del Departamento del Sheriff del Condado de Butler llegaron a la residencia en busca de una camioneta robada. "Este escenario se repitió innumerables veces durante los siguientes cinco años", se lee en los documentos presentados ante un tribunal de Kansas.

http://www.bbc.com/news/technology-37048521

Me alegro de no ser los Arnold*. Y aunque este caso es extraordinario, ilustra que depender de la dirección IP no es necesariamente una buena idea, especialmente si se la utiliza, en parte, para autorizar el acceso a las aplicações.

Sabemos que muchas instituciones financieras, en particular, dependen de la dirección IP tanto como del dispositivo para determinar la validez de los intentos de inicio de sesión. Esto es bueno si casi siempre usas el mismo dispositivo desde el mismo lugar porque tu dirección IP no cambia mucho. Pero para las aplicaciones móviles, que son cada vez más “la forma” en que la gente se comunica con los clientes, podría ser problemático. Mi dirección IP cambia mientras estoy deambulando, sin mencionar que a veces incluso cambia cuando no lo hago debido a las limitaciones en el alcance del WiFi fuera de mi casa. 

De todos modos, la dirección IP como medio de identificación ya no es útil desde hace tiempo. Solía ocurrir que todos los que usaban esa conexión de banda ancha tenían su propia IP porque la obtenían directamente del proveedor, a través de DHCP. Pero eso siguió el camino del Dodo cuando los dispositivos conectados a Internet en un hogar superaron en número a la gente. Según encuestas recientes , “ahora hay 734 millones en uso en Estados Unidos”. Hogares con Internet, con un promedio de 7,8 dispositivos conectados por hogar”. Eso es el doble del promedio de 3,14 personas por hogar en Estados Unidos en 2015 .

Esto significa que la noción de una dirección IP por persona (y no por cosa) es una opción en gran medida insostenible, dada la cantidad limitada de direcciones IP públicas IPv4 que los proveedores tienen que ofrecer. En términos generales, todos usan una sola IP pública por hogar y el resto se enruta a través de esa pequeña caja negra.

La propiedad intelectual, como medio de identificación autorizada, está muerta.

Las credenciales, ya sean tokens, nombres de usuario/contraseña o algún otro método hasta ahora no descubierto, son el mejor medio para identificar (y por ende, autenticar) a los usuarios. También es la mejor manera de proteger las aplicaciones hoy en día, dado el abuso de direcciones IP en una variedad de ataques. Cuando puedo falsificar mi IP con la misma facilidad con la que puedo falsificar mi agente de usuario, no es una buena idea considerarlo una fuente autorizada de información.

Tampoco es adecuado utilizarlo para listas blancas o negras, porque, honestamente, las direcciones IP se pueden cambiar en cuestión de segundos en Internet. Periódicamente se detectan decenas de millones de direcciones IP que participan en ataques DDoS. Algunos intencionalmente, otros por casualidad al visitar el sitio equivocado o comprar el dispositivo equivocado. El bloqueo por dirección IP genera dolores de cabeza a los consumidores. En el futuro, el uso de la reputación IP no será tan efectivo como lo fue en el pasado, cuando Internet era joven e inocente y estaba llena de personas con buenas intenciones. Ahora que Internet es viejo y está desactualizado y plagado de atacantes que tienen tantas probabilidades de abusar de sus dispositivos como de cualquier otra cosa, debemos buscar otra cosa.

Necesitamos pasar a la identidad como el nuevo firewall, para asegurar el nuevo perímetro que es la aplicação. Ya sea a través de la federación o de la gestión tradicional de la identidad corporativa, debemos confiar más en la identificación que en la propiedad intelectual para proteger nuestro negocio sin fronteras y brindar acceso a un conjunto de usuarios cada vez más móviles, tanto corporativos como consumidores.

*Curiosamente la familia de mi madre son Arnold. No hay relación, estoy seguro, pero de nuevo…