Google, Apple y Microsoft están apostando por esta nueva forma de autenticación que usa biometría y eliminaría las claves. Estos son sus beneficios.
Las contraseñas han sido importantes para nuestra seguridad en línea. Pero, no obstante su utilidad, presentan ciertas limitaciones como la dificultad para recordar sus múltiples combinaciones en distintas cuentas o su la vulnerabilidad ante los cibercriminales. En este contexto, las passkeys o claves de acceso emergen como una nueva forma de autenticación, ofreciendo una alternativa más sencilla y segura para proteger nuestra identidad online.
Google, que implementa esta tecnología desde 2022, reveló que las claves de acceso (o passkeys) han sido utilizadas para autenticar a los usuarios en más de mil millones de ocasiones, abarcando más de 400 millones de cuentas de Google. Y la empresa ha adoptado esta medida de seguridad como método predeterminado de inicio de sesión para sus usuarios. Pero no es la única, gigantes tecnológicos como Apple y Microsoft también avanzan hacia la eliminación de las contraseñas tradicionales.
Ahora bien, adentrémonos en esta tecnología que se presenta como más segura en comparación con las contraseñas tradicionales. Para ello, El Comercio de Perú conversó con Leandro Cuozzo, analista de seguridad de Kaspersky, quien responde algunos interrogantes.
"Sabemos que las contraseñas van a morir, pero no sabemos cuándo. Sin embargo, ya
el camino para reemplazarlas comenzó con las 'passkeys' "
¿Qué es una 'passkey' y cómo funciona? Se trata de una metodología de autenticación relativamente nueva, diseñada para sustituir las contraseñas, según explicó el especialista. Estas llaves permiten autenticar a los usuarios en sitios web o aplicaciones sin necesidad de utilizar contraseñas. ¿Cómo es esto posible? Las 'passkeys' utilizan la criptografía asimétrica, que consiste en dos llaves: una pública y una privada. La primera es guardada por el sitio web o la aplicación, y la otra es guardada de manera segura en el dispositivo del usuario.
“Entonces la aplicación o el servicio nos envía un mensaje encriptado, y nosotros como poseemos la clave privada podemos desencriptar y en ese momento se realiza la autenticación”, explicó Cuozzo.
Es decir, cuando desea autenticarse, el sitio web envía un mensaje encriptado con la llave pública. Solo la llave privada, que el usuario posee, puede desencriptar ese mensaje. Y la manera de desbloquearlo es utilizando datos biométricos (como la huella dactilar o reconocimiento facial) o un PIN. Este proceso desbloquea el “contenedor” donde se almacena la llave privada.
“También está la opción de desbloqueo mediante llaves físicas como pendrives o USB sticks. En lugar de utilizar un PIN o datos biométricos, simplemente insertas el USB en el momento del desbloqueo de la passkey y se te solicita presionarlo”, agregó el experto.
De esta forma solo usted puede acceder a su cuenta, haciendo que el proceso sea más seguro y protegido contra hackers.
‘Passkey’ vs. contraseña
Mientras las 'passkeys' usan criptografía asimétrica para la autenticación que se almacena en los dispositivos, las contraseñas se basan en la combinación de caracteres que se guardan en los servidores o la aplicación. A las primeras se accede con datos biométricos o un PIN, lo que las hace menos propensas a ataques de phishing. Y las segundas requieren ingresarse manualmente, lo que las hace más vulnerables y susceptibles de recibir ataques.
“Para el usuario final, usar 'passkey' es mucho más sencillo”, afirmó el analista de Kaspersky. Porque con esta tecnología no pasamos por la tediosa tarea de recordar las contraseñas asociadas a nuestras cuentas, solo necesitamos los datos biométricos para acceder a los sitios.
Y, sobre todo, lo más importante es su capacidad de brindar mayor seguridad cibernética. “Al no usarse contraseñas, no hay posibilidad de caer en estafas de phishing”, puntualizó el experto. Además, cada passkey está asociada únicamente a un sitio, lo que impide ser víctima de esta modalidad de ciberataque, ya que los sitios fraudulentos no tendrán el mismo dominio que el sitio original.
A modo de ejemplo, el especialista señaló :“Si intentas acceder a un sitio falso como
bancoequis.com en lugar del legítimo banco.com, el navegador no detectará ninguna 'passkey' asociada. Y de esta manera, los atacantes no pueden robar la 'passkey'”.
En cambio, con las contraseñas tradicionales, los usuarios deben recordar múltiples para diferentes servicios, lo que puede llevar a prácticas inseguras como reutilizar contraseñas. Estas son vulnerables a ataques de phishing, con los que los atacantes crean sitios web falsos para robar credenciales, y a filtraciones, en las que las bases de datos de contraseñas pueden ser hackeadas y expuestas.
¿Fin de las contraseñas?
“Sabemos que las contraseñas van a morir, pero no sabemos cuándo. Sin embargo, ya el camino para reemplazarlas comenzó”, respondió el experto en ciberseguridad. Y sostiene que Google, Microsoft y Apple consideran las contraseñas un problema de seguridad significativo, que, no obstante los intentos para mejorar su seguridad, continúan siendo una vulnerabilidad importante.
“Estas compañías están promoviendo enérgicamente las passkeys y otros métodos de autenticación sin contraseñas, conocidos como passwordless”, agregó.
Asimismo, según Cuozzo, para que las passkeys se adopten de manera generalizada se deben abordar dos situaciones: una relacionada con las organizaciones y otra con los usuarios. En el caso de las organizaciones, las claves de acceso no pueden utilizarse en todos los casos, ya que son tecnologías de autenticación web que requieren servicios y aplicaciones basados en la web. Si un servicio no está basado en ella, las passkeys no podrán ser aplicadas, por lo que “requiere un esfuerzo en adaptar esos servicios para poder autenticarse a estos sistemas”.
Por otro lado, “por parte de los usuarios finales, también hay una combinación de desconocimiento de la tecnología y desconfianza. Muchos están habituados al uso de contraseñas o gestores de contraseñas (...), cosa que no es segura, yo lo desaconsejo totalmente”, comentó. Además, afirmó que no toda la población cuenta con dispositivos capaces de soportar la identificación biométrica, como huellas dactilares o Face ID. Por lo tanto, tomará tiempo hasta que los usuarios adopten dispositivos más nuevos con estas tecnologías.
¿Y son invulnerables? “Si alguien te dice que es una tecnología 100 % segura, estaría faltando a la verdad. Todas las tecnologías tienen algunas fallas, y si no las tienen en la forma en que fueron concebidas, pueden tener fallas en su implementación”, declaró Cuozzo.
El especialista señala que, por ahora, no hay ataques conocidos, pero probablemente surjan en el futuro, ya que los cibercriminales están enfocados en las nuevas tecnologías. Esto también depende del nivel de adopción; si las passkeys se vuelven las más utilizadas, los atacantes las estudiarán para vulnerarlas.
Comments