2FA
Este año, el Día Mundial de las Contraseñas, que tradicionalmente se celebra en mayo, ha coincidido con la aparición de noticias relacionadas con tres grandes empresas tecnológicas: Google, Microsoft y Apple anunciaron planes para el desarrollo de una nueva tecnología que sustituya a las contraseñas.
La FIDO Alliance, en colaboración con el World Wide Web Consortium (W3C), está desarrollando el estándar que, básicamente, determina el diseño y la funcionalidad de la era moderna de Internet. Sustituir las contraseñas por la autenticación mediante el smartphone es un gran paso o, al menos, lo parece desde el punto de vista del usuario.
No obstante, hay que tener en cuenta que la “muerte de las contraseñas” es un debate que está sobre la mesa desde hace una década. Los intentos anteriores de acabar con este método de autenticación tan poco fiable no han llevado a ninguna parte: las contraseñas siguen estando con nosotros. Este artículo analiza las ventajas del nuevo estándar FIDO/W3C. Pero, vamos a recordar la raíz del problema: ¿qué tienen de malo las contraseñas?
El problema con las contraseñas
La primera desventaja de las contraseñas es que son bastante fáciles de robar. En los primeros años de Internet, cuando casi todas las comunicaciones entre ordenadores estaban sin cifrar, las contraseñas se transmitían en texto sin formato. Con la aparición y el auge de los puntos de acceso en redes públicas -en cafeterías, bibliotecas y medios de transporte- esto se convirtió en un gran problema: los atacantes podían interceptar las contraseñas no cifradas sin que los usuarios se percataran.
Pero, la burbuja de las contraseñas robadas estalló definitivamente entre principios y mediados de la década de 2010, tras una serie de hackeos de gran repercusión en servicios importantes de Internet, con el robo masivo de direcciones de correo electrónico y contraseñas de usuarios. De hecho, es muy probable que todas tus contraseñas de hace diez años estén flotando en algún lugar del dominio público. ¿No te lo crees? Consulta el servicio HaveIBeenPwned y puede que te lleves alguna sorpresa.
HaveIBeenPwned te permite comprobar si tus contraseñas se han filtrado. Si una contraseña tiene una década de antigüedad o más, la respuesta es casi seguro que sí
A día de hoy, por supuesto, es menos probable que se filtren contraseñas no cifradas. Hace tiempo que la mayoría de los servicios de Internet se dieron cuenta de que almacenar información delicada del usuario sin cifrar te aboca al desastre. Por ello, lo normal es que las contraseñas estén codificadas, es decir, que se almacenen de forma cifrada.
El problema es que, si la contraseña es sencilla, puede extraerse de una base de datos cifrada probando todas las combinaciones posibles o mediante un ataque de diccionario. Conseguir una contraseña cifrada que sea algo como “secreto” o “123123” es muy sencillo, lo que nos lleva al segundo problema relacionado con las contraseñas: para que sean sencillas de memorizar, mucha gente utiliza combinaciones muy débiles que son fáciles de extraer de una base de datos, aunque esté cifrada.
Este deseo de crear contraseñas sencillas y cómodas para nosotros pone de manifiesto el tercer problema: usar la misma contraseña para diferentes cuentas y servicios. Un ejemplo bastante claro: una filtración de datos de algún foro online, en el que ni siquiera recuerdas haberte registrado, puede suponer la pérdida de tu cuenta principal de correo electrónico por haber utilizado la misma contraseña.
Contraseñas… y algo más
Esta situación, como hemos dicho, no es, ni mucho menos, nueva, por lo que la mayoría de los servicios ya no dependen de una sola contraseña, sino que utilizan algún tipo de autenticación multifactor. Al iniciar sesión en servicios de Internet, redes sociales, cuentas bancarias, etc., se suele pedir un código de un solo uso después de introducir las credenciales correspondientes. Este código se envía en un mensaje de texto o llega a la aplicación bancaria de tu teléfono o a una aplicación especial para la autenticación multifactor del usuario, como Google Authenticator. Los sistemas más complejos utilizan una llave de hardware que se inserta en un puerto USB del ordenador o se conecta al smartphone mediante Bluetooth o NFC.
En algunos casos, no se necesita ninguna contraseña. Por ejemplo, cuando te registras en una cuenta de Microsoft, se te envía una contraseña de un solo uso por correo electrónico. Por defecto, la aplicación de mensajería Telegram utiliza la autenticación mediante códigos de un solo uso enviados en mensajes de texto, sin necesidad de una contraseña como tal (aunque se recomienda una como medida de seguridad adicional).
Sin embargo, en la mayoría de los casos, las contraseñas siguen siendo una forma de autenticación de seguridad, pero, confiar únicamente en las contraseñas de texto (la forma más común y comprensible de verificación en dos pasos para el usuario) no es una gran idea por varias razones. En resumen, hace tiempo que entendemos que las contraseñas no son parte del futuro y, ahora, por fin, parece que ese futuro está a la vuelta de la esquina.
Autenticación sin contraseña ideada por FIDO/W3C
Para simplificarlo, la nueva norma de autenticación sin contraseña hace que la contraseña (o más bien la llave maestra, que es un par de claves de cifrado, privadas y públicas) sea un elemento puramente técnico que el usuario ya no ve. Esto permite el uso de claves fuertes y únicas y un potente cifrado. Esto, a su vez, hace el trabajo más difícil a los ciberdelincuentes, y garantiza que, si se piratea una cuenta, no se pierda nada más, y hace imposible que los phishers se enteren de este “secreto”.
Para los usuarios, será como si estuvieran confirmando un inicio de sesión en una red social, una cuenta de correo electrónico o un servicio bancario en línea desde su smartphone. Será como se hacen los pagos con un smartphone hoy en día: se desbloquea el dispositivo mediante el PIN, la autenticación facial o la huella dactilar, y se confirma la “transacción”, solo que, en lugar de pagar, se estará iniciando la sesión en la cuenta. Al hacerlo, un desbloqueo verificará que eres tú. ¡Así de fácil y rápido!
Es más, el estándar que está desarrollando FIDO tiene una característica adicional en forma de autenticación por Bluetooth en múltiples dispositivos. Por ejemplo, el inicio de sesión de una cuenta en un ordenador portátil es más rápido si el dispositivo “reconoce” un smartphone de confianza cerca. Este sistema de autenticación funcionará para la gran mayoría de los usuarios excepto, quizás, para aquellos que sigan utilizando un teléfono de teclas. Con el apoyo de los tres gigantes de Internet, tiene toda la pinta de que esta función pasará a ser universal a corto plazo. ¿Esto es positivo en términos de seguridad? Vamos a ver los pros y los contras de esta nueva tecnología.
Ventajas de la autenticación sin contraseña
El apoyo de Google, Apple y Microsoft a la autenticación sin contraseña nos hace pensar que tanto los principales servicios (Gmail, YouTube, iCloud, Xbox) como todos los dispositivos iOS, Android y Windows pronto empezarán a pasarse a esta tecnología. Dado que el sistema estándar está unificado y abierto, la autenticación debería funcionar de forma idéntica en cualquier dispositivo. Además, se garantiza la opción de cambiar de un dispositivo a otro. ¿Has cambiado tu iPhone por un Samsung Galaxy? No hay problema: puedes designar el nuevo smartphone como tu dispositivo de verificación de inicio de sesión.
La principal ventaja de este nuevo método es que hace más difícil el phishing. El robo de contraseñas tradicional consiste en crear un sitio web bancario o de otro tipo falso y atraer a la víctima a él. Allí, el usuario introduce sus credenciales (a veces incluso se tiene en cuenta la verificación en dos pasos), y ya está todo hecho: el atacante tiene acceso a la cuenta bancaria. Además de autenticar al usuario, la nueva norma comprueba la autenticidad del propio servicio. El simple hecho de enviar una solicitud de autenticación en un recurso web ajeno no funcionará. Tampoco las filtraciones de contraseñas supondrán una amenaza para los usuarios.
Por último, este nuevo sistema promete ser sencillo e intuitivo. Si se implementa correctamente, el reemplazo de las contraseñas, incluso en las cuentas ya existentes, debería ser muy sencillo. Esto, unido a la compatibilidad con cualquier sistema operativo de los smartphones (que ni requerirá la instalación de ninguna aplicación) lo hace todo muy simple: ve al sitio que quieras, introduce tu identificador y confirma la solicitud desde tu smartphone.
Problemas que no se resolverán con el sistema de autenticación sin contraseña
En esencia, esto no debería considerarse como un problema, pero seguro que mucha gente se hace la siguiente pregunta: ¿y si alguien se hace con mi smartphone “de confianza” y aprueba el acceso a todas mis cuentas? La respuesta es muy sencilla: en un modelo de seguridad realista, no hay soluciones perfectas. Cualquier cosa puede ser hackeada: la única cuestión es cuántos recursos está dispuesto a gastar el ciberdelincuente para ello. Al fin y al cabo, aunque almacenes contraseñas de 128 caracteres aleatorios únicamente en tu cabeza, hay formas probadas de extraerlas.
Seguramente habrá intentos de hackear smartphones individuales para acceder a las cuentas. Pero esos hackeos serán individuales, dirigidos a objetivos de perfiles altos, lo que podríamos definir como una especie de “ataques de lujo”. Cuando se trata del mercado de masas, es decir, las amenazas cotidianas de la vida real, el robo de contraseñas está mucho más extendido que el robo de smartphones y el uso de su contenido digital. Y la nueva tecnología está destinada a resolver precisamente este problema.
Recordemos que ya surgieron dudas similares con la introducción de la biometría. Por aquel entonces, a mucha gente le preocupaba también que alguien le robara la huella dactilar (en la versión más cruel: cortándole el dedo) y desbloqueara su smartphone. Troy Hunt, creador del mencionado HaveIBeenPwned, escribió un artículo entero el año pasado sobre este tema: en un modelo de seguridad realista, la biometría es más fuerte que las contraseñas.
Pero el verdadero problema que el acceso sin contraseña no solucionará es la pérdida de los smartphones. Y es que la nueva norma permite transferir el sistema de autenticación de un dispositivo a otro. La forma más fácil de hacerlo es cuando se tienen dos dispositivos, por ejemplo, un teléfono antiguo y otro nuevo. Si pierdes el teléfono antiguo, tendrás que utilizar algún método de copia de seguridad para demostrar que eres tú. De todas formas, aún no está claro qué tipo de método de copia de seguridad puede ser; lo más probable es que dependa de la configuración del servicio en cuestión.
En resumen, debemos preguntarnos lo siguiente: ¿este nuevo sistema no hará que los usuarios dependan más de la funcionalidad de sus cuentas que tienen en Google o Apple? ¿El bloqueo de una cuenta de Google conllevará la pérdida de acceso a todos los recursos en línea en general? Incluso si asumimos que el estándar es abierto, los sistemas operativos de los smartphones (por no hablar de la infraestructura) no lo son.
Un futuro brillante
Incluso el más escéptico tendría problemas para argumentar que el sistema de contraseñas es mejor que el sistema de autenticación sin contraseña. El anticuado concepto de contraseña necesita una revisión desde hace tiempo. El estándar sin contraseñas de FIDO promete mejorar muchas cosas, pero mucho depende también de los implementadores como Google, Apple o Microsoft. Si lo hacen bien, nuestras vidas digitales serán un poco más fáciles y seguras. Pero no creemos que ocurra de la noche a la mañana: las contraseñas están tan arraigadas a nuestra vida que se necesitarán muchos años para borrarlas por completo, incluso contando con un nuevo sistema mejorado.
Consejos