Hace rato que se viene hablando de esto, pero los dispositivos y las herramientas de ciberseguridad no estaban preparados para asegurar una experiencia de usuario que fuera, a la vez, más sencilla y más segura. Es posible que ese momento haya legado. Con todo, estamos al principio del camino.
A mediados de diciembre nos enterábamos de que Google había comenzado a implementar masivamente un nuevo sistema de autenticación para Gmail y otros servicios, basado en llaves de acceso o passkeys, eliminando de esta manera las contraseñas como principal método de autenticación. El objetivo es proteger de una manera más eficaz las cuentas de los usuarios de amenazas de ciberseguridad, como el phishing.
La realidad es que este proceso no es nuevo, y Google no es la única compañía que está desplazando las viejas y queridas passwords como método principal de autenticación. De hecho, ya en 2022 Google, FIDO Alliance, Microsoft y Apple habían anunciado el comienzo de los trabajos para soportar las passkeys en sus plataformas. De hecho, Microsoft anunció las passkeys en sus cuentas de consumo en mayo pasado, y en enero del año pasado la red social X estaba implementando passkeys para acceder desde los iPhone.
Las aplicaciones móviles bancarias estuvieron entre las primeras en aprovechar estas medidas (apelando a la autenticación biométrica, ya sea a través de la cámara o del sensor de huella digital) y creando para los usuarios una experiencia que no sólo es más segura, sino también más fluida.
Contraseñas inseguras
Ciertamente Google o Microsoft no dejarán de lado las contraseñas de un día para el otro, pero esta jugada sí marca un nuevo hito en el lento camino de jubilación de las contraseñas, cuya vulnerabilidad ya ha sido señalada por numerosos analistas de ciberseguridad, cuando no experimentada por los usuarios en carne propia.
Según un artículo del sitio especializado Securelist by Kaspersky, en 2024 la GPU RTX 4090 fue capaz de adivinar una contraseña de ocho caracteres que consta de letras y dígitos en inglés, ya sean todas mayúsculas o todas minúsculas, o 36 caracteres combinables, en sólo 17 segundos. El mismo artículo indicó que un gran porcentaje de las contraseñas (59%) podía ser descifrado mediante ataques “por fuerza bruta” en menos de una hora. A esto se suman los riesgos derivados de la ingeniería social que realizan los cibercriminales (hoy a través de procesos automatizados, potenciados por IA), combinados con las ingenuidades y las malas prácticas de los propios usuarios.
Otro estudio, esta vez de Verizon (“2024 Data Breach Investigations Report”), indicó que la tasa general de denuncias de phishing fue creciendo en los últimos años. Las violaciones de credenciales y la explotación de vulnerabilidades también son preocupaciones de seguridad crecientes.
Otras formas de demostrar que soy yo
Una llave de acceso (access key o accesskey) es una credencial digital vinculada a una cuenta de usuario y un sitio web o aplicación. Las llaves de acceso permiten que los usuarios se autentiquen sin tener que ingresar nombre de usuario y contraseña, o proporcionar cualquier factor de autenticación adicional. Según Google, las llaves de acceso son una alternativa más segura y sencilla a las contraseñas. Con las llaves de acceso, los usuarios pueden acceder a apps y sitios web con un sensor biométrico (escaneando la huella dactilar o permitiendo que la cámara frontal ejecute un reconocimiento facial), un PIN o un patrón, lo que evita que tengan que recordar y administrar contraseñas.
¿Por qué usar llaves de acceso? Existen tres razones de peso: son más fáciles de usar, más económicas para los desarrolladores o las entidades que tienen que usarlas, y son más seguras. Sobre lo primero:
- Los usuarios pueden seleccionar una cuenta para acceder. No es obligatorio escribir el nombre de usuario.
- Los usuarios pueden autenticarse con el bloqueo de pantalla del dispositivo, como un sensor de huellas dactilares, el reconocimiento facial o un PIN.
- Una vez que se crea y registra una llave de acceso, el usuario puede cambiar sin problemas a un nuevo dispositivo y usarlo de inmediato sin necesidad de volver a inscribirse (a diferencia de la autenticación biométrica tradicional, que requiere configuración en cada dispositivo).
En cuanto a su seguridad y conveniencia:
- Los desarrolladores sólo guardan una clave pública en el servidor en lugar de una contraseña. Esto tiene menos valor para quien esté pensando hackear el servidor y, en caso de incumplimiento normativo, hay menos que limpiar.
- Las llaves de acceso protegen a los usuarios de los ataques de suplantación de identidad (phishing). Las llaves de acceso sólo funcionan en las apps y los sitios web registrados. No se puede engañar a los usuarios para que se autentiquen en un sitio engañoso porque el navegador o el sistema operativo se encargan de la verificación.
- Las llaves de acceso reducen los costos de envío de SMS, lo que las convierte en un medio de autenticación de dos factores más seguro y rentable.
Otros tipos de autenticación sin contraseñas
Obviamente, la eliminación de un método tan engorroso como es las contraseñas y los nombres de usuario tiene una historia que excede a la de las passkeys o llaves de acceso. Y es que la autenticación sin contraseña no es una solución única que sirve para todos los casos de uso. Dependiendo de la plataforma, las empresas pueden elegir entre una variedad de métodos para satisfacer sus necesidades de seguridad y al mismo tiempo garantizar una experiencia de usuario fluida1:
1. Autenticación biométrica. La autenticación biométrica utiliza rasgos biológicos únicos, como huellas dactilares o reconocimiento facial, para verificar la identidad de un usuario. Este método es conveniente y muy seguro, ya que los datos biométricos son únicos para cada individuo y difíciles de replicar.
2. Enlaces mágicos. Los enlaces mágicos son URL de un solo uso que se envían al correo electrónico o al dispositivo móvil de un usuario. Al hacer click en el enlace, los usuarios se autentican automáticamente. Este método es particularmente útil para aplicaciones de bajo riesgo y proporciona una experiencia de inicio de sesión perfecta.
3. Códigos de acceso de un solo uso (OTP). Las OTP son códigos temporales de un solo uso que se envían a los usuarios mediante SMS, correo electrónico o una aplicación de autenticación. Una vez que el usuario ingresa a la OTP, se autentica. Las OTP son una excelente opción para plataformas que requieren una seguridad de moderada a alta.
4. Tokens de hardware. Los tokens de hardware son dispositivos físicos, como llaves de seguridad USB, que los usuarios insertan en sus dispositivos o tocan para autenticarse. Estos tokens se utilizan normalmente para aplicaciones de alta seguridad, ya que proporcionan una sólida capa de protección contra el acceso no autorizado.
Los tokens tienen una variante virtual, donde el hardware es el propio smartphone sobre el cual corre una aplicación de token vinculada a una cuenta bancaria, que genera números aleatoriamente y con validez limitada en el tiempo. Muchas aplicaciones y páginas web bancarias, para terminar una transacción, piden ese número como un factor adicional de autenticación, asumiendo que el usuario tiene en su poder el celular, y que ha podido acceder a la aplicación de token (sí, a través de una contraseña). La experiencia de usuario se vuelve aún más frustrante en este caso. Con todo, muchas aplicaciones ya están usando passkeys, lo cual mejora mucho la fluidez del proceso.
Vale aclarar que las passkeys no son perfectas. Todavía presentan dificultades de recuperación si se pierden los dispositivos vinculados, no todos los servicios las admiten y hay una gran dependencia de los ecosistemas de plataforma ya establecidos —como los de Google, Microsoft o Apple… y no se comunican entre sí—. Esta es la razón por la que algunos usuarios2 las consideran aun una experiencia agridulce. Con todo, estamos al principio de algo nuevo que merece ser experimentado y probado, sobre todo teniendo en cuenta las debilidades de los sistemas que ya venimos usando.