¿Un futuro sin contraseñas?

Te contamos cómo Google, Microsoft y Apple pueden unirse para acabar con las contraseñas.

Este año, el Día Mundial de las Contraseñas, que usualmente es conmemorado en mayo, coincidió con nuevas noticias con relación a tres empresas tecnológicas de las más grandes: Google, Microsoft y Apple anunciaron planes para desarrollar una nueva tecnología que sustituirá  las contraseñas.

La FIDO Alliance, en colaboración con el World Wide Web Consortium (W3C), está desarrollando el estándar que, determinará el diseño y la funcionalidad de la era moderna de Internet, básicamente. Cambiar las contraseñas por una autenticación con el smartphone es un paso gigante o, al menos, eso parece si observa desde el punto de vista del usuario.

No obstante, debemos tomar en cuenta que la “despedida de las contraseñas” ha sido un debate que está sobre la mesa desde hace una década. Los intentos anteriores de dar por finalizado este método de autenticación tan poco fiable no han llevado a ninguna parte: las contraseñas continúan viviendo entre nosotros. Este artículo analiza las ventajas del nuevo estándar FIDO/W3C. Pero, recordemos antes la raíz del problema: ¿qué hay de malo con las contraseñas?

El problema con las contraseñas

La primera desventaja de las contraseñas es que suelen ser muy fáciles de robar. En los primeros años de Internet, cuando casi todas las comunicaciones entre computadoras sucedían sin cifrar, las contraseñas se transmitían en texto sin formato. Cuando aparecieron y se popularizaron los puntos de acceso en redes públicas -cafeterías, bibliotecas y medios de transporte- esto se transformó en un problema grande: los atacantes podían interceptar las contraseñas sin cifrar y los usuarios ni se percataban.

Este tema de las contraseñas robadas estalló de manera definitiva entre principios y mediados de la década de 2010, después de varios hackeos que tuvieron gran repercusión en importantes servicios de Internet, con el robo masivo de direcciones de correo electrónico y contraseñas de usuarios. De hecho, es bastante probable que todas tus contraseñas de hace diez años se encuentren diambulando en algún lugar del dominio público. ¿Puedes creerlo? Consulta el servicio HaveIBeenPwned, tal vez te lleves una sorpresa.

Comprobación de una contraseña antigua en HaveIBeenPwned

HaveIBeenPwned te permite comprobar si tus contraseñas se han filtrado. Si una contraseña tiene una década de antigüedad o más, la respuesta es casi seguro que sí

Hoy en día, claro que es menos probable que contraseñas sin cifrar sean filtradas. Hace tiempo que la mayoría de los servicios de Internet se percataron de que almacenar información importante de un usuario sin cifrar, tarde o temprano termina en desastre. Por esto es que lo usual es que las contraseñas estén codificadas, o sea, que se almacenen de forma cifrada.

El problema radica en que, si la contraseña es muy simple, puede extraerse de una base de datos cifrada probando todas las combinaciones posibles o mediante un ataque de diccionario. Conseguir una contraseña cifrada que sea algo como “contraseña” o “123123” es muy simple, lo que nos lleva al segundo problema relacionado con las contraseñas: para que sean fáciles de recordar, mucha gente utiliza combinaciones muy débiles que son fáciles de extraer de una base de datos, aunque esta se encuentre cifrada.

Este deseo de crear contraseñas sencillas y cómodas para nosotros deja entrever el problema número tres: usar la misma contraseña para diferentes cuentas y servicios. Un ejemplo muy claro: una filtración de datos de algún foro online, en el que ni siquiera te acuerdas haberte registrado, puede significar la pérdida de tu cuenta principal de correo electrónico por haber utilizado la misma contraseña.

¿Problemas con tus contraseñas?
Contraseñas… y algo más

Como ya dijimos, esta situación no es para nada nueva, por lo que la mayoría de los servicios ya no dependen de una contraseña única, sino que utilizan algún tipo de autenticación multifactor. Al iniciar sesión en sitios y servicios de Internet como redes sociales, cuentas bancarias, etc., se suele pedir un código de un solo uso después de introducir los datos correspondientes. Este código se envía por mensaje de texto o llega a la aplicación bancaria de tu teléfono o a una aplicación especial para la autenticación multifactor del usuario, como Google Authenticator. Los sistemas más complejos utilizan una llave de hardware que se inserta en un puerto USB de la computadora o se conecta al smartphone mediante Bluetooth o NFC.

Existen casos en que una contraseña no es necesaria. Por ejemplo, cuando te registras en una cuenta de Microsoft, se te envía una contraseña de un solo uso por mail. Por defecto, la aplicación de mensajería Telegram utiliza la autenticación mediante códigos de un solo uso que envía mensajes de texto, sin necesidad de una contraseña tal cual (aunque es recomendable utilizar una como medida extra de seguridad).

No obstante, en la mayoría de los casos, las contraseñas continúan siendo una forma de autentificar seguridad, pero, confiar únicamente en las contraseñas de texto (la forma más común y comprensible de verificación en dos pasos para el usuario) no es una gran idea por diversas razones. En conclusión, ya hace un tiempo que comprendimos que las contraseñas no son parte del futuro y, ahora, por fin, parece que ese futuro está a punto de alcanzarnos.

Autenticación sin contraseña ideada por FIDO/W3C

En pocas palabras, la nueva forma de autenticación sin contraseña hace que la contraseña (o, mejor dicho, la llave maestra, conformada por un par de claves de cifrado, privadas y públicas) sea un elemento meramente técnico que el usuario ya no puede ver. Esto permite el uso de claves fuertes, únicas y con un cifrado potente. A su vez, esto hace el trabajo más difícil para los ciberdelincuentes, y garantiza que, si se piratea una cuenta, no se pierda nada más, sea imposible que los phishers se enteren de este “secreto”.

Para los usuarios, será como si estuvieran confirmando un inicio de sesión en cualquier red social, una cuenta de correo electrónico o un servicio bancario en línea desde su smartphone. Será como se hacen los pagos con un smartphone en la actualidad: se desbloquea el dispositivo mediante el PIN, la autenticación facial o la huella dactilar, y se confirma la “transacción”, solo que, en lugar de pagar, se estará iniciando la sesión en la cuenta. Al hacerlo, un desbloqueo verificará que eres tú. ¡Así de fácil y sencillo!

Es más, el estándar que está desarrollando FIDO tiene una característica extra en forma de autenticación por Bluetooth en diversos dispositivos. Por ejemplo, el inicio de sesión de una cuenta en una laptop es más rápido si el dispositivo “reconoce” un smartphone de confianza cerca. Este sistema de autenticación funcionará para la mayoría de los usuarios, con excepción quizás, de aquellos que sigan utilizando un teléfono de botones. Con el apoyo de los tres gigantes de Internet, parece que esta función se convertirá en universal en poco tiempo. ¿Esto es positivo en términos de seguridad? Veamos los pros y los contras de esta tecnología novedosa.

Ventajas de la autenticación sin contraseña

El apoyo de Google, Apple y Microsoft a la autenticación sin contraseña nos hace pensar que tanto los servicios principales (Gmail, YouTube, iCloud, Xbox) como todos los dispositivos iOS, Android y Windows pronto comenzarán a utilizar esta tecnología. Debido a que el sistema estándar está unificado y abierto, la autenticación debería funcionar de forma idéntica en cualquier dispositivo. Además, se garantiza la opción de cambiar de un dispositivo a otro. ¿Has intentado cambiar tu iPhone por un Samsung Galaxy? No hay problema: puedes designar el nuevo smartphone como tu dispositivo de verificación de inicio de sesión.

La ventaja primordial de este nuevo método es que hace que el phishing se vuelva más difícil. El usual robo de contraseñas consiste en crear un sitio web falso de cualquier tema y atraer a la víctima. Allí, el usuario introduce sus datos (a veces incluso se tiene en cuenta la verificación en dos pasos), y ya está todo hecho: el atacante tiene acceso a la cuenta del banco. Además de autenticar al usuario, la nueva norma comprueba la autenticidad del servicio en sí. El simple hecho de enviar una solicitud de autenticación en un recurso web ajeno no funcionará. Y las filtraciones de contraseñas tampoco supondrán una amenaza para los usuarios.

Por último, este nuevo sistema promete ser sencillo e intuitivo. Si es implementada de manera correcta, el reemplazo de las contraseñas, incluso en cuentas que ya existen, debería ser muy sencillo. Esto, aunado a la compatibilidad con cualquier sistema operativo de los smartphones (ya que requerirá la instalación de ninguna aplicación) lo hace todo muy sencillo: visita el sitio que quieras, introduce tus datos y confirma tu identidad desde tu smartphone.

Problemas que no se resolverán con el sistema de autenticación sin contraseña

Esto no debería ser considerado como un problema esencialmente, pero seguro que mucha gente se hace la misma pregunta: ¿y si alguien obtiene mi smartphone “de confianza” y aprueba el acceso a todas mis cuentas? La respuesta es muy simple: en un modelo de seguridad realista, no hay soluciones perfectas. Cualquier cosa puede ser hackeada: la única cuestión es cuántos recursos está dispuesto a gastar el ciberdelincuente para ello. A final de cuentas, aunque almacenes contraseñas de 128 caracteres aleatorios únicamente en tu cabeza, existen formas comprobadas de robarlas.

Seguramente habrá intentos de hackear smartphones individuales para accesar a las cuentas. Pero estos hackeos serán individuales, dirigidos a targets específicos, con perfiles altos, lo que podríamos definir como una especie de “ataques de lujo”. Cuando se trata del mercado de masas, o sea, las amenazas cotidianas del mundo real, el robo de contraseñas está mucho más extendido que el robo de smartphones y el uso de su contenido. Y justo, esta nueva tecnología está pensada para resolver específicamente este problema.

Recordemos que ya surgieron dudas similares con la introducción de la biometría. En aquellos días, muchas personas se preocupaban porque alguien le robara la huella dactilar (en la versión más cruel: cortándole el dedo) y desbloqueara su smartphone. Troy Hunt, creador del mencionado HaveIBeenPwned, escribió un artículo entero el año pasado sobre este tema: en un modelo de seguridad realista, la biometría es más fuerte que las contraseñas.

Pero el verdadero problema que el acceso sin contraseña no va a solucionar el robo o pérdida de los smartphones. Y es que la nueva norma permite transferir el sistema de autenticación de un dispositivo a otro. La forma más fácil de hacerlo es cuando se cuenta con dos dispositivos, por ejemplo, un teléfono antiguo y otro nuevo. Si pierdes el antiguo, tendrás que utilizar algún método de copia de seguridad para demostrar que eres tú. Aun así, todavía no está claro qué métodos de copia de seguridad puede ser; lo más probable es que dependa de la configuración del servicio en cuestión.

En conclusión, es necesario preguntarnos lo siguiente: ¿este nuevo sistema no hará que los usuarios dependan más de la funcionalidad de sus cuentas que tienen en Google o Apple? ¿El bloqueo de una cuenta de Google conllevará la pérdida de acceso a todos los recursos en línea en general? Incluso si asumimos que el estándar es abierto, los sistemas operativos de los smartphones no lo son, y no estamos hablando de su infraestructura.

Un futuro brillante

Hasta el más escéptico tendrá problemas para argumentar que el sistema de contraseñas es superior al sistema de autenticación sin contraseña. El anticuado concepto de contraseña necesita una revisión desde hace unos años. El estándar sin contraseñas de FIDO promete mejorar muchas cosas, pero también depende bastante de los implementadores como Google, Apple o Microsoft. Si lo hacen bien, nuestras vidas digitales serán un tanto más sencillas y seguras. Pero no creemos que ocurrirá de la noche a la mañana: las contraseñas están tan arraigadas en nuestro día a día que se necesitarán varios años para erradicarlas por completo, incluso contando con un nuevo sistema mejorado.

¿Problemas con tus contraseñas?

Consejos