{"id":24833,"date":"2022-05-30T07:40:27","date_gmt":"2022-05-30T13:40:27","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=24833"},"modified":"2022-05-30T07:41:53","modified_gmt":"2022-05-30T13:41:53","slug":"passkey-future-without-passwords","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/passkey-future-without-passwords\/24833\/","title":{"rendered":"\u00bfUn futuro sin contrase\u00f1as?"},"content":{"rendered":"

Este a\u00f1o, el D\u00eda Mundial de las Contrase\u00f1as, que usualmente es conmemorado en mayo, coincidi\u00f3 con nuevas noticias con relaci\u00f3n a tres empresas tecnol\u00f3gicas de las m\u00e1s grandes: Google, Microsoft y Apple anunciaron<\/a> planes para desarrollar una nueva tecnolog\u00eda que sustituir\u00e1\u00a0 las contrase\u00f1as.<\/p>\n

La FIDO Alliance, en colaboraci\u00f3n con el World Wide Web Consortium (W3C), est\u00e1 desarrollando el est\u00e1ndar que, determinar\u00e1 el dise\u00f1o y la funcionalidad de la era moderna de Internet, b\u00e1sicamente. Cambiar las contrase\u00f1as por una autenticaci\u00f3n con el smartphone<\/em> es un paso gigante o, al menos, eso parece si observa desde el punto de vista del usuario.<\/p>\n

No obstante, debemos tomar en cuenta que la \u201cdespedida de las contrase\u00f1as\u201d ha sido un debate que est\u00e1 sobre la mesa desde hace una d\u00e9cada. Los intentos anteriores de dar por finalizado este m\u00e9todo de autenticaci\u00f3n tan poco fiable no han llevado a ninguna parte: las contrase\u00f1as contin\u00faan viviendo entre nosotros. Este art\u00edculo analiza las ventajas del nuevo est\u00e1ndar FIDO\/W3C. Pero, recordemos antes la ra\u00edz del problema: \u00bfqu\u00e9 hay de malo con las contrase\u00f1as?<\/p>\n

El problema con las contrase\u00f1as<\/h2>\n

La primera desventaja de las contrase\u00f1as es que suelen ser muy f\u00e1ciles de robar. En los primeros a\u00f1os de Internet, cuando casi todas las comunicaciones entre computadoras suced\u00edan sin cifrar, las contrase\u00f1as se transmit\u00edan en texto sin formato. Cuando aparecieron y se popularizaron los puntos de acceso en redes p\u00fablicas -cafeter\u00edas, bibliotecas y medios de transporte- esto se transform\u00f3 en un problema grande: los atacantes pod\u00edan interceptar las contrase\u00f1as sin cifrar y los usuarios ni se percataban.<\/p>\n

Este tema de las contrase\u00f1as robadas estall\u00f3 de manera definitiva entre principios y mediados de la d\u00e9cada de 2010, despu\u00e9s de varios hackeos que tuvieron gran repercusi\u00f3n en importantes servicios de Internet, con el robo masivo de direcciones de correo electr\u00f3nico y contrase\u00f1as de usuarios. De hecho, es bastante probable que todas tus contrase\u00f1as de hace diez a\u00f1os se encuentren diambulando en alg\u00fan lugar del dominio p\u00fablico. \u00bfPuedes creerlo? Consulta el servicio HaveIBeenPwned<\/a>, tal vez te lleves una sorpresa.<\/p>\n

\"Comprobaci\u00f3n

HaveIBeenPwned te permite comprobar si tus contrase\u00f1as se han filtrado. Si una contrase\u00f1a tiene una d\u00e9cada de antig\u00fcedad o m\u00e1s, la respuesta es casi seguro que s\u00ed<\/p><\/div>\n

Hoy en d\u00eda, claro que es menos probable que contrase\u00f1as sin cifrar sean filtradas. Hace tiempo que la mayor\u00eda de los servicios de Internet se percataron de que almacenar informaci\u00f3n importante de un usuario sin cifrar, tarde o temprano termina en desastre. Por esto es que lo usual es que las contrase\u00f1as est\u00e9n codificadas, o sea, que se almacenen de forma cifrada.<\/p>\n

El problema radica en que, si la contrase\u00f1a es muy simple, puede extraerse de una base de datos cifrada probando todas las combinaciones posibles o mediante un ataque de diccionario<\/a>. Conseguir una contrase\u00f1a cifrada que sea algo como \u201ccontrase\u00f1a\u201d o \u201c123123\u201d es muy simple, lo que nos lleva al segundo problema relacionado con las contrase\u00f1as: para que sean f\u00e1ciles de recordar, mucha gente utiliza combinaciones muy d\u00e9biles que son f\u00e1ciles de extraer de una base de datos, aunque esta se encuentre cifrada.<\/p>\n

Este deseo de crear contrase\u00f1as sencillas y c\u00f3modas para nosotros deja entrever el problema n\u00famero tres: usar la misma contrase\u00f1a para diferentes cuentas y servicios. Un ejemplo muy claro: una filtraci\u00f3n de datos de alg\u00fan foro online, en el que ni siquiera te acuerdas haberte registrado, puede significar la p\u00e9rdida de tu cuenta principal de correo electr\u00f3nico por haber utilizado la misma contrase\u00f1a.<\/p>\n

\"\u00bfProblemas<\/a>
\nContrase\u00f1as\u2026 y algo m\u00e1s<\/h2>\n

Como ya dijimos, esta situaci\u00f3n no es para nada nueva, por lo que la mayor\u00eda de los servicios ya no dependen de una contrase\u00f1a \u00fanica, sino que utilizan alg\u00fan tipo de autenticaci\u00f3n multifactor. Al iniciar sesi\u00f3n en sitios y servicios de Internet como redes sociales, cuentas bancarias, etc., se suele pedir un c\u00f3digo de un solo uso despu\u00e9s de introducir los datos correspondientes. Este c\u00f3digo se env\u00eda por mensaje de texto o llega a la aplicaci\u00f3n bancaria de tu tel\u00e9fono o a una aplicaci\u00f3n especial para la autenticaci\u00f3n multifactor<\/a> del usuario, como Google Authenticator. Los sistemas m\u00e1s complejos utilizan una llave de hardware<\/em> que se inserta en un puerto USB de la computadora o se conecta al smartphone <\/em>mediante Bluetooth o NFC.<\/p>\n

Existen casos en que una contrase\u00f1a no es necesaria. Por ejemplo, cuando te registras en una cuenta de Microsoft, se te env\u00eda una contrase\u00f1a de un solo uso por mail<\/em>. Por defecto, la aplicaci\u00f3n de mensajer\u00eda Telegram utiliza la autenticaci\u00f3n mediante c\u00f3digos de un solo uso que env\u00eda mensajes de texto, sin necesidad de una contrase\u00f1a tal cual (aunque es recomendable utilizar una como medida extra de seguridad).<\/p>\n

No obstante, en la mayor\u00eda de los casos, las contrase\u00f1as contin\u00faan siendo una forma de autentificar seguridad, pero, confiar \u00fanicamente en las contrase\u00f1as de texto (la forma m\u00e1s com\u00fan y comprensible de verificaci\u00f3n en dos pasos para el usuario) no es una gran idea<\/a> por diversas razones. En conclusi\u00f3n, ya hace un tiempo que comprendimos que las contrase\u00f1as no son parte del futuro y, ahora, por fin, parece que ese futuro est\u00e1 a punto de alcanzarnos.<\/p>\n

Autenticaci\u00f3n sin contrase\u00f1a ideada por FIDO\/W3C<\/h2>\n

En pocas palabras, la nueva forma de autenticaci\u00f3n sin contrase\u00f1a hace que la contrase\u00f1a (o, mejor dicho, la llave maestra, conformada por un par de claves de cifrado, privadas y p\u00fablicas) sea un elemento meramente t\u00e9cnico que el usuario ya no puede ver. Esto permite el uso de claves fuertes, \u00fanicas y con un cifrado potente. A su vez, esto hace el trabajo m\u00e1s dif\u00edcil para los ciberdelincuentes, y garantiza que, si se piratea una cuenta, no se pierda nada m\u00e1s, sea imposible que los phishers<\/em> se enteren de este \u201csecreto\u201d.<\/p>\n

Para los usuarios, ser\u00e1 como si estuvieran confirmando un inicio de sesi\u00f3n en cualquier red social, una cuenta de correo electr\u00f3nico o un servicio bancario en l\u00ednea desde su smartphone<\/em>. Ser\u00e1 como se hacen los pagos con un smartphone <\/em>en la actualidad: se desbloquea el dispositivo mediante el PIN, la autenticaci\u00f3n facial o la huella dactilar, y se confirma la \u201ctransacci\u00f3n\u201d, solo que, en lugar de pagar, se estar\u00e1 iniciando la sesi\u00f3n en la cuenta. Al hacerlo, un desbloqueo verificar\u00e1 que eres t\u00fa. \u00a1As\u00ed de f\u00e1cil y sencillo!<\/p>\n

Es m\u00e1s, el est\u00e1ndar que est\u00e1 desarrollando FIDO tiene una caracter\u00edstica extra en forma de autenticaci\u00f3n por Bluetooth en diversos dispositivos. Por ejemplo, el inicio de sesi\u00f3n de una cuenta en una laptop es m\u00e1s r\u00e1pido si el dispositivo \u201creconoce\u201d un smartphone <\/em>de confianza cerca. Este sistema de autenticaci\u00f3n funcionar\u00e1 para la mayor\u00eda de los usuarios, con excepci\u00f3n quiz\u00e1s, de aquellos que sigan utilizando un tel\u00e9fono de botones. Con el apoyo de los tres gigantes de Internet, parece que esta funci\u00f3n se convertir\u00e1 en universal en poco tiempo. \u00bfEsto es positivo en t\u00e9rminos de seguridad? Veamos los pros y los contras de esta tecnolog\u00eda novedosa.<\/p>\n

Ventajas de la autenticaci\u00f3n sin contrase\u00f1a<\/h2>\n

El apoyo de Google, Apple y Microsoft a la autenticaci\u00f3n sin contrase\u00f1a nos hace pensar que tanto los servicios principales (Gmail, YouTube, iCloud, Xbox) como todos los dispositivos iOS, Android y Windows pronto comenzar\u00e1n a utilizar esta tecnolog\u00eda. Debido a que el sistema est\u00e1ndar est\u00e1 unificado y abierto, la autenticaci\u00f3n deber\u00eda funcionar de forma id\u00e9ntica en cualquier dispositivo. Adem\u00e1s, se garantiza la opci\u00f3n de cambiar de un dispositivo a otro. \u00bfHas intentado cambiar tu iPhone por un Samsung Galaxy? No hay problema: puedes designar el nuevo smartphone<\/em> como tu dispositivo de verificaci\u00f3n de inicio de sesi\u00f3n.<\/p>\n

La ventaja primordial de este nuevo m\u00e9todo es que hace que el phishing <\/em>se vuelva<\/em> m\u00e1s dif\u00edcil. El usual robo de contrase\u00f1as consiste en crear un sitio web falso de cualquier tema y atraer a la v\u00edctima. All\u00ed, el usuario introduce sus datos (a veces incluso se tiene en cuenta la verificaci\u00f3n en dos pasos), y ya est\u00e1 todo hecho: el atacante tiene acceso a la cuenta del banco. Adem\u00e1s de autenticar al usuario, la nueva norma comprueba la autenticidad del servicio en s\u00ed. El simple hecho de enviar una solicitud de autenticaci\u00f3n en un recurso web ajeno no funcionar\u00e1. Y las filtraciones de contrase\u00f1as tampoco supondr\u00e1n una amenaza para los usuarios.<\/p>\n

Por \u00faltimo, este nuevo sistema promete ser sencillo e intuitivo. Si es implementada de manera correcta, el reemplazo de las contrase\u00f1as, incluso en cuentas que ya existen, deber\u00eda ser muy sencillo. Esto, aunado a la compatibilidad con cualquier sistema operativo de los smartphones <\/em>(ya que requerir\u00e1 la instalaci\u00f3n de ninguna aplicaci\u00f3n) lo hace todo muy sencillo: visita el sitio que quieras, introduce tus datos y confirma tu identidad desde tu smartphone<\/em>.<\/p>\n

Problemas que no se resolver\u00e1n con el sistema de autenticaci\u00f3n sin contrase\u00f1a<\/h2>\n

Esto no deber\u00eda ser considerado como un problema esencialmente, pero seguro que mucha gente se hace la misma pregunta: \u00bfy si alguien obtiene mi smartphone<\/em> \u201cde confianza\u201d y aprueba el acceso a todas mis cuentas? La respuesta es muy simple: en un modelo de seguridad realista, no hay soluciones perfectas. Cualquier cosa puede ser hackeada: la \u00fanica cuesti\u00f3n es cu\u00e1ntos recursos est\u00e1 dispuesto a gastar el ciberdelincuente para ello. A final de cuentas, aunque almacenes contrase\u00f1as de 128 caracteres aleatorios \u00fanicamente en tu cabeza, existen formas comprobadas de robarlas.<\/p>\n

Seguramente habr\u00e1 intentos de hackear smartphones<\/em> individuales para accesar a las cuentas. Pero estos hackeos ser\u00e1n individuales, dirigidos a targets espec\u00edficos, con perfiles altos, lo que podr\u00edamos definir como una especie de \u201cataques de lujo\u201d. Cuando se trata del mercado de masas, o sea, las amenazas cotidianas del mundo real, el robo de contrase\u00f1as est\u00e1 mucho m\u00e1s extendido que el robo de smartphones <\/em>y el uso de su contenido. Y justo, esta nueva tecnolog\u00eda est\u00e1 pensada para resolver espec\u00edficamente este problema.<\/p>\n

Recordemos que ya surgieron dudas similares con la introducci\u00f3n de la biometr\u00eda. En aquellos d\u00edas, muchas personas se preocupaban porque alguien le robara la huella dactilar (en la versi\u00f3n m\u00e1s cruel: cort\u00e1ndole el dedo) y desbloqueara su smartphone<\/em>. Troy Hunt, creador del mencionado HaveIBeenPwned, escribi\u00f3 un art\u00edculo<\/a> entero el a\u00f1o pasado sobre este tema: en un modelo de seguridad realista, la biometr\u00eda es m\u00e1s fuerte que las contrase\u00f1as.<\/p>\n

Pero el verdadero problema que el acceso sin contrase\u00f1a no va a solucionar el robo o p\u00e9rdida de los smartphones<\/em>. Y es que la nueva norma permite transferir el sistema de autenticaci\u00f3n de un dispositivo a otro. La forma m\u00e1s f\u00e1cil de hacerlo es cuando se cuenta con dos dispositivos, por ejemplo, un tel\u00e9fono antiguo y otro nuevo. Si pierdes el antiguo, tendr\u00e1s que utilizar alg\u00fan m\u00e9todo de copia de seguridad para demostrar que eres t\u00fa. Aun as\u00ed, todav\u00eda no est\u00e1 claro qu\u00e9 m\u00e9todos de copia de seguridad puede ser; lo m\u00e1s probable es que dependa de la configuraci\u00f3n del servicio en cuesti\u00f3n.<\/p>\n

En conclusi\u00f3n, es necesario preguntarnos lo siguiente: \u00bfeste nuevo sistema no har\u00e1 que los usuarios dependan m\u00e1s de la funcionalidad de sus cuentas que tienen en Google o Apple? \u00bfEl bloqueo de una cuenta de Google conllevar\u00e1 la p\u00e9rdida de acceso a todos los recursos en l\u00ednea en general? Incluso si asumimos que el est\u00e1ndar es abierto, los sistemas operativos de los smartphones<\/em> no lo son, y no estamos hablando de su infraestructura.<\/p>\n

Un futuro brillante<\/h2>\n

Hasta el m\u00e1s esc\u00e9ptico tendr\u00e1 problemas para argumentar que el sistema de contrase\u00f1as es superior al sistema de autenticaci\u00f3n sin contrase\u00f1a. El anticuado concepto de contrase\u00f1a necesita una revisi\u00f3n desde hace unos a\u00f1os. El est\u00e1ndar sin contrase\u00f1as de FIDO promete mejorar muchas cosas, pero tambi\u00e9n depende bastante de los implementadores como Google, Apple o Microsoft. Si lo hacen bien, nuestras vidas digitales ser\u00e1n un tanto m\u00e1s sencillas y seguras. Pero no creemos que ocurrir\u00e1 de la noche a la ma\u00f1ana: las contrase\u00f1as est\u00e1n tan arraigadas en nuestro d\u00eda a d\u00eda que se necesitar\u00e1n varios a\u00f1os para erradicarlas por completo, incluso contando con un nuevo sistema mejorado.<\/p>\n

\"\u00bfProblemas<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Te contamos c\u00f3mo Google, Microsoft y Apple pueden unirse para acabar con las contrase\u00f1as.<\/p>\n","protected":false},"author":665,"featured_media":24834,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2738],"tags":[2127,26,70,92,5776,61,49,2126],"class_list":{"0":"post-24833","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-technology","8":"tag-2fa","9":"tag-apple","10":"tag-cifrado","11":"tag-contrasenas","12":"tag-fido","13":"tag-google","14":"tag-microsoft","15":"tag-verificacion-en-dos-pasos"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/passkey-future-without-passwords\/24833\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/passkey-future-without-passwords\/24205\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/passkey-future-without-passwords\/19687\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/passkey-future-without-passwords\/9926\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/passkey-future-without-passwords\/26530\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/passkey-future-without-passwords\/24488\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/passkey-future-without-passwords\/27199\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/passkey-future-without-passwords\/26732\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/passkey-future-without-passwords\/33222\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/passkey-future-without-passwords\/10716\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/passkey-future-without-passwords\/44418\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/passkey-future-without-passwords\/18936\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/passkey-future-without-passwords\/19485\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/passkey-future-without-passwords\/28746\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/passkey-future-without-passwords\/32556\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/passkey-future-without-passwords\/25066\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/passkey-future-without-passwords\/30568\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/passkey-future-without-passwords\/30317\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/2fa\/","name":"2FA"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/24833","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=24833"}],"version-history":[{"count":4,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/24833\/revisions"}],"predecessor-version":[{"id":24837,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/24833\/revisions\/24837"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/24834"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=24833"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=24833"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=24833"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}