{"id":27199,"date":"2022-05-26T16:24:26","date_gmt":"2022-05-26T14:24:26","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27199"},"modified":"2022-05-26T16:24:26","modified_gmt":"2022-05-26T14:24:26","slug":"passkey-future-without-passwords","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/passkey-future-without-passwords\/27199\/","title":{"rendered":"\u00bfUn futuro sin contrase\u00f1as?"},"content":{"rendered":"

Este a\u00f1o, el D\u00eda Mundial de las Contrase\u00f1as, que tradicionalmente se celebra en mayo, ha coincidido con la aparici\u00f3n de noticias relacionadas con tres grandes empresas tecnol\u00f3gicas: Google, Microsoft y Apple anunciaron<\/a> planes para el desarrollo de una nueva tecnolog\u00eda que sustituya a las contrase\u00f1as.<\/p>\n

La FIDO Alliance, en colaboraci\u00f3n con el World Wide Web Consortium (W3C), est\u00e1 desarrollando el est\u00e1ndar que, b\u00e1sicamente, determina el dise\u00f1o y la funcionalidad de la era moderna de Internet. Sustituir las contrase\u00f1as por la autenticaci\u00f3n mediante el smartphone<\/em> es un gran paso o, al menos, lo parece desde el punto de vista del usuario.<\/p>\n

No obstante, hay que tener en cuenta que la \u201cmuerte de las contrase\u00f1as\u201d es un debate que est\u00e1 sobre la mesa desde hace una d\u00e9cada. Los intentos anteriores de acabar con este m\u00e9todo de autenticaci\u00f3n tan poco fiable no han llevado a ninguna parte: las contrase\u00f1as siguen estando con nosotros. Este art\u00edculo analiza las ventajas del nuevo est\u00e1ndar FIDO\/W3C. Pero, vamos a recordar la ra\u00edz del problema: \u00bfqu\u00e9 tienen de malo las contrase\u00f1as?<\/p>\n

El problema con las contrase\u00f1as<\/h2>\n

La primera desventaja de las contrase\u00f1as es que son bastante f\u00e1ciles de robar. En los primeros a\u00f1os de Internet, cuando casi todas las comunicaciones entre ordenadores estaban sin cifrar, las contrase\u00f1as se transmit\u00edan en texto sin formato. Con la aparici\u00f3n y el auge de los puntos de acceso en redes p\u00fablicas -en cafeter\u00edas, bibliotecas y medios de transporte- esto se convirti\u00f3 en un gran problema: los atacantes pod\u00edan interceptar las contrase\u00f1as no cifradas sin que los usuarios se percataran.<\/p>\n

Pero, la burbuja de las contrase\u00f1as robadas estall\u00f3 definitivamente entre principios y mediados de la d\u00e9cada de 2010, tras una serie de hackeos de gran repercusi\u00f3n en servicios importantes de Internet, con el robo masivo de direcciones de correo electr\u00f3nico y contrase\u00f1as de usuarios. De hecho, es muy probable que todas tus contrase\u00f1as de hace diez a\u00f1os est\u00e9n flotando en alg\u00fan lugar del dominio p\u00fablico. \u00bfNo te lo crees? Consulta el servicio HaveIBeenPwned<\/a> y puede que te lleves alguna sorpresa.<\/p>\n

\"Comprobaci\u00f3n

HaveIBeenPwned te permite comprobar si tus contrase\u00f1as se han filtrado. Si una contrase\u00f1a tiene una d\u00e9cada de antig\u00fcedad o m\u00e1s, la respuesta es casi seguro que s\u00ed<\/p><\/div>\n

A d\u00eda de hoy, por supuesto, es menos probable que se filtren contrase\u00f1as no cifradas. Hace tiempo que la mayor\u00eda de los servicios de Internet se dieron cuenta de que almacenar informaci\u00f3n delicada del usuario sin cifrar te aboca al desastre. Por ello, lo normal es que las contrase\u00f1as est\u00e9n codificadas, es decir, que se almacenen de forma cifrada.<\/p>\n

El problema es que, si la contrase\u00f1a es sencilla, puede extraerse de una base de datos cifrada probando todas las combinaciones posibles o mediante un ataque de diccionario<\/a>. Conseguir una contrase\u00f1a cifrada que sea algo como \u201csecreto\u201d o \u201c123123\u201d es muy sencillo, lo que nos lleva al segundo problema relacionado con las contrase\u00f1as: para que sean sencillas de memorizar, mucha gente utiliza combinaciones muy d\u00e9biles que son f\u00e1ciles de extraer de una base de datos, aunque est\u00e9 cifrada.<\/p>\n

Este deseo de crear contrase\u00f1as sencillas y c\u00f3modas para nosotros pone de manifiesto el tercer problema: usar la misma contrase\u00f1a para diferentes cuentas y servicios. Un ejemplo bastante claro: una filtraci\u00f3n de datos de alg\u00fan foro online, en el que ni siquiera recuerdas haberte registrado, puede suponer la p\u00e9rdida de tu cuenta principal de correo electr\u00f3nico por haber utilizado la misma contrase\u00f1a.<\/p>\n\n

Contrase\u00f1as\u2026 y algo m\u00e1s<\/h2>\n

Esta situaci\u00f3n, como hemos dicho, no es, ni mucho menos, nueva, por lo que la mayor\u00eda de los servicios ya no dependen de una sola contrase\u00f1a, sino que utilizan alg\u00fan tipo de autenticaci\u00f3n multifactor. Al iniciar sesi\u00f3n en servicios de Internet, redes sociales, cuentas bancarias, etc., se suele pedir un c\u00f3digo de un solo uso despu\u00e9s de introducir las credenciales correspondientes. Este c\u00f3digo se env\u00eda en un mensaje de texto o llega a la aplicaci\u00f3n bancaria de tu tel\u00e9fono o a una aplicaci\u00f3n especial para la autenticaci\u00f3n multifactor<\/a> del usuario, como Google Authenticator. Los sistemas m\u00e1s complejos utilizan una llave de hardware<\/em> que se inserta en un puerto USB del ordenador o se conecta al smartphone <\/em>mediante Bluetooth o NFC.<\/p>\n

En algunos casos, no se necesita ninguna contrase\u00f1a. Por ejemplo, cuando te registras en una cuenta de Microsoft, se te env\u00eda una contrase\u00f1a de un solo uso por correo electr\u00f3nico. Por defecto, la aplicaci\u00f3n de mensajer\u00eda Telegram utiliza la autenticaci\u00f3n mediante c\u00f3digos de un solo uso enviados en mensajes de texto, sin necesidad de una contrase\u00f1a como tal (aunque se recomienda una como medida de seguridad adicional).<\/p>\n

Sin embargo, en la mayor\u00eda de los casos, las contrase\u00f1as siguen siendo una forma de autenticaci\u00f3n de seguridad, pero, confiar \u00fanicamente en las contrase\u00f1as de texto (la forma m\u00e1s com\u00fan y comprensible de verificaci\u00f3n en dos pasos para el usuario) no es una gran idea<\/a> por varias razones. En resumen, hace tiempo que entendemos que las contrase\u00f1as no son parte del futuro y, ahora, por fin, parece que ese futuro est\u00e1 a la vuelta de la esquina.<\/p>\n

Autenticaci\u00f3n sin contrase\u00f1a ideada por FIDO\/W3C<\/h2>\n

Para simplificarlo, la nueva norma de autenticaci\u00f3n sin contrase\u00f1a hace que la contrase\u00f1a (o m\u00e1s bien la llave maestra, que es un par de claves de cifrado, privadas y p\u00fablicas) sea un elemento puramente t\u00e9cnico que el usuario ya no ve. Esto permite el uso de claves fuertes y \u00fanicas y un potente cifrado. Esto, a su vez, hace el trabajo m\u00e1s dif\u00edcil a los ciberdelincuentes, y garantiza que, si se piratea una cuenta, no se pierda nada m\u00e1s, y hace imposible que los phishers<\/em> se enteren de este \u201csecreto\u201d.<\/p>\n

Para los usuarios, ser\u00e1 como si estuvieran confirmando un inicio de sesi\u00f3n en una red social, una cuenta de correo electr\u00f3nico o un servicio bancario en l\u00ednea desde su smartphone<\/em>. Ser\u00e1 como se hacen los pagos con un smartphone <\/em>hoy en d\u00eda: se desbloquea el dispositivo mediante el PIN, la autenticaci\u00f3n facial o la huella dactilar, y se confirma la \u201ctransacci\u00f3n\u201d, solo que, en lugar de pagar, se estar\u00e1 iniciando la sesi\u00f3n en la cuenta. Al hacerlo, un desbloqueo verificar\u00e1 que eres t\u00fa. \u00a1As\u00ed de f\u00e1cil y r\u00e1pido!<\/p>\n

Es m\u00e1s, el est\u00e1ndar que est\u00e1 desarrollando FIDO tiene una caracter\u00edstica adicional en forma de autenticaci\u00f3n por Bluetooth en m\u00faltiples dispositivos. Por ejemplo, el inicio de sesi\u00f3n de una cuenta en un ordenador port\u00e1til es m\u00e1s r\u00e1pido si el dispositivo \u201creconoce\u201d un smartphone <\/em>de confianza cerca. Este sistema de autenticaci\u00f3n funcionar\u00e1 para la gran mayor\u00eda de los usuarios excepto, quiz\u00e1s, para aquellos que sigan utilizando un tel\u00e9fono de teclas. Con el apoyo de los tres gigantes de Internet, tiene toda la pinta de que esta funci\u00f3n pasar\u00e1 a ser universal a corto plazo. \u00bfEsto es positivo en t\u00e9rminos de seguridad? Vamos a ver los pros y los contras de esta nueva tecnolog\u00eda.<\/p>\n

Ventajas de la autenticaci\u00f3n sin contrase\u00f1a<\/h2>\n

El apoyo de Google, Apple y Microsoft a la autenticaci\u00f3n sin contrase\u00f1a nos hace pensar que tanto los principales servicios (Gmail, YouTube, iCloud, Xbox) como todos los dispositivos iOS, Android y Windows pronto empezar\u00e1n a pasarse a esta tecnolog\u00eda. Dado que el sistema est\u00e1ndar est\u00e1 unificado y abierto, la autenticaci\u00f3n deber\u00eda funcionar de forma id\u00e9ntica en cualquier dispositivo. Adem\u00e1s, se garantiza la opci\u00f3n de cambiar de un dispositivo a otro. \u00bfHas cambiado tu iPhone por un Samsung Galaxy? No hay problema: puedes designar el nuevo smartphone<\/em> como tu dispositivo de verificaci\u00f3n de inicio de sesi\u00f3n.<\/p>\n

La principal ventaja de este nuevo m\u00e9todo es que hace m\u00e1s dif\u00edcil el phishing<\/em>. El robo de contrase\u00f1as tradicional consiste en crear un sitio web bancario o de otro tipo falso y atraer a la v\u00edctima a \u00e9l. All\u00ed, el usuario introduce sus credenciales (a veces incluso se tiene en cuenta la verificaci\u00f3n en dos pasos), y ya est\u00e1 todo hecho: el atacante tiene acceso a la cuenta bancaria. Adem\u00e1s de autenticar al usuario, la nueva norma comprueba la autenticidad del propio servicio. El simple hecho de enviar una solicitud de autenticaci\u00f3n en un recurso web ajeno no funcionar\u00e1. Tampoco las filtraciones de contrase\u00f1as supondr\u00e1n una amenaza para los usuarios.<\/p>\n

Por \u00faltimo, este nuevo sistema promete ser sencillo e intuitivo. Si se implementa correctamente, el reemplazo de las contrase\u00f1as, incluso en las cuentas ya existentes, deber\u00eda ser muy sencillo. Esto, unido a la compatibilidad con cualquier sistema operativo de los smartphones <\/em>(que ni requerir\u00e1 la instalaci\u00f3n de ninguna aplicaci\u00f3n) lo hace todo muy simple: ve al sitio que quieras, introduce tu identificador y confirma la solicitud desde tu smartphone<\/em>.<\/p>\n

Problemas que no se resolver\u00e1n con el sistema de autenticaci\u00f3n sin contrase\u00f1a<\/h2>\n

En esencia, esto no deber\u00eda considerarse como un problema, pero seguro que mucha gente se hace la siguiente pregunta: \u00bfy si alguien se hace con mi smartphone<\/em> \u201cde confianza\u201d y aprueba el acceso a todas mis cuentas? La respuesta es muy sencilla: en un modelo de seguridad realista, no hay soluciones perfectas. Cualquier cosa puede ser hackeada: la \u00fanica cuesti\u00f3n es cu\u00e1ntos recursos est\u00e1 dispuesto a gastar el ciberdelincuente para ello. Al fin y al cabo, aunque almacenes contrase\u00f1as de 128 caracteres aleatorios \u00fanicamente en tu cabeza, hay formas probadas de extraerlas.<\/p>\n

Seguramente habr\u00e1 intentos de hackear smartphones<\/em> individuales para acceder a las cuentas. Pero esos hackeos ser\u00e1n individuales, dirigidos a objetivos de perfiles altos, lo que podr\u00edamos definir como una especie de \u201cataques de lujo\u201d. Cuando se trata del mercado de masas, es decir, las amenazas cotidianas de la vida real, el robo de contrase\u00f1as est\u00e1 mucho m\u00e1s extendido que el robo de smartphones <\/em>y el uso de su contenido digital. Y la nueva tecnolog\u00eda est\u00e1 destinada a resolver precisamente este problema.<\/p>\n

Recordemos que ya surgieron dudas similares con la introducci\u00f3n de la biometr\u00eda. Por aquel entonces, a mucha gente le preocupaba tambi\u00e9n que alguien le robara la huella dactilar (en la versi\u00f3n m\u00e1s cruel: cort\u00e1ndole el dedo) y desbloqueara su smartphone<\/em>. Troy Hunt, creador del mencionado HaveIBeenPwned, escribi\u00f3 un art\u00edculo<\/a> entero el a\u00f1o pasado sobre este tema: en un modelo de seguridad realista, la biometr\u00eda es m\u00e1s fuerte que las contrase\u00f1as.<\/p>\n

Pero el verdadero problema que el acceso sin contrase\u00f1a no solucionar\u00e1 es la p\u00e9rdida de los smartphones<\/em>. Y es que la nueva norma permite transferir el sistema de autenticaci\u00f3n de un dispositivo a otro. La forma m\u00e1s f\u00e1cil de hacerlo es cuando se tienen dos dispositivos, por ejemplo, un tel\u00e9fono antiguo y otro nuevo. Si pierdes el tel\u00e9fono antiguo, tendr\u00e1s que utilizar alg\u00fan m\u00e9todo de copia de seguridad para demostrar que eres t\u00fa. De todas formas, a\u00fan no est\u00e1 claro qu\u00e9 tipo de m\u00e9todo de copia de seguridad puede ser; lo m\u00e1s probable es que dependa de la configuraci\u00f3n del servicio en cuesti\u00f3n.<\/p>\n

En resumen, debemos preguntarnos lo siguiente: \u00bfeste nuevo sistema no har\u00e1 que los usuarios dependan m\u00e1s de la funcionalidad de sus cuentas que tienen en Google o Apple? \u00bfEl bloqueo de una cuenta de Google conllevar\u00e1 la p\u00e9rdida de acceso a todos los recursos en l\u00ednea en general? Incluso si asumimos que el est\u00e1ndar es abierto, los sistemas operativos de los smartphones<\/em> (por no hablar de la infraestructura) no lo son.<\/p>\n

Un futuro brillante<\/h2>\n

Incluso el m\u00e1s esc\u00e9ptico tendr\u00eda problemas para argumentar que el sistema de contrase\u00f1as es mejor que el sistema de autenticaci\u00f3n sin contrase\u00f1a. El anticuado concepto de contrase\u00f1a necesita una revisi\u00f3n desde hace tiempo. El est\u00e1ndar sin contrase\u00f1as de FIDO promete mejorar muchas cosas, pero mucho depende tambi\u00e9n de los implementadores como Google, Apple o Microsoft. Si lo hacen bien, nuestras vidas digitales ser\u00e1n un poco m\u00e1s f\u00e1ciles y seguras. Pero no creemos que ocurra de la noche a la ma\u00f1ana: las contrase\u00f1as est\u00e1n tan arraigadas a nuestra vida que se necesitar\u00e1n muchos a\u00f1os para borrarlas por completo, incluso contando con un nuevo sistema mejorado.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Te contamos c\u00f3mo Google, Microsoft y Apple pueden unirse para acabar con las contrase\u00f1as.<\/p>\n","protected":false},"author":665,"featured_media":27200,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2019],"tags":[823,1396,28,184,123,3427,16,30],"class_list":{"0":"post-27199","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-technology","8":"tag-verificacion-en-dos-pasos","9":"tag-2fa","10":"tag-apple","11":"tag-cifrado","12":"tag-contrasenas","13":"tag-fido","14":"tag-google","15":"tag-microsoft"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/passkey-future-without-passwords\/27199\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/passkey-future-without-passwords\/24205\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/passkey-future-without-passwords\/19687\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/passkey-future-without-passwords\/9926\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/passkey-future-without-passwords\/26530\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/passkey-future-without-passwords\/24488\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/passkey-future-without-passwords\/24833\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/passkey-future-without-passwords\/26732\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/passkey-future-without-passwords\/33222\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/passkey-future-without-passwords\/10716\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/passkey-future-without-passwords\/44418\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/passkey-future-without-passwords\/18936\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/passkey-future-without-passwords\/19485\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/passkey-future-without-passwords\/28746\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/passkey-future-without-passwords\/32556\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/passkey-future-without-passwords\/25066\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/passkey-future-without-passwords\/30568\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/passkey-future-without-passwords\/30317\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/2fa\/","name":"2FA"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27199","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=27199"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27199\/revisions"}],"predecessor-version":[{"id":27204,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27199\/revisions\/27204"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/27200"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=27199"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=27199"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=27199"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}