Fin de las Contraseñas

Este elemento es una expansión del contenido de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema. [aioseo_breadcrumbs]

Las contraseñas llegan a su fin

Después de años de insinuaciones tentadoras de que un futuro sin contraseñas está a la vuelta de la esquina, es probable que todavía no te sientas más cerca de esa liberación digital. Sin embargo, tras diez años de trabajo, la FIDO Alliance, una asociación del sector que trabaja específicamente en la autenticación segura, cree haber identificado por fin la pieza que faltaba en el rompecabezas.

En mayo de 2022, la organización publicó un libro blanco que expone la visión de FIDO para resolver los problemas de usabilidad que han perseguido a las funciones sin contraseña y, aparentemente, han impedido su adopción generalizada. Los miembros de FIDO han colaborado en la elaboración del documento, y abarcan a fabricantes de chips como Intel y Qualcomm, a destacados desarrolladores de plataformas como Amazon y Meta, a instituciones financieras como American Express y Bank of America, y a los desarrolladores de los principales sistemas operativos: Google, Microsoft y Apple.

El documento es conceptual, no técnico, pero después de años de inversión para integrar lo que se conoce como los estándares sin contraseña FIDO2 y WebAuthn en Windows, Android, iOS, etc., todo depende ahora del éxito de este siguiente paso.

“La clave del éxito de FIDO es que esté disponible de forma inmediata: tenemos que ser tan omnipresentes como las contraseñas”, afirma Andrew Shikiar, director ejecutivo de la FIDO Alliance. “Las contraseñas forman parte del ADN de la propia web, y estamos intentando suplantar eso. No usar una contraseña debería ser más fácil que usarla”.

En la práctica, sin embargo, incluso los esquemas sin contraseña más fluidos no están del todo bien. Parte del reto reside simplemente en la enorme inercia que han acumulado las contraseñas. Las contraseñas son difíciles de usar y gestionar, lo que lleva a la gente a tomar atajos como reutilizarlas en distintas cuentas y crea problemas de seguridad a cada paso. En última instancia, sin embargo, son el demonio que se conoce. Educar a los consumidores sobre las alternativas sin contraseña y conseguir que se sientan cómodos con el cambio ha resultado difícil.

Sin embargo, más allá de la aclimatación de la gente, FIDO quiere llegar al corazón de lo que todavía hace que los esquemas sin contraseña sean difíciles de navegar. Y el grupo ha llegado a la conclusión de que todo se reduce al procedimiento para cambiar o añadir dispositivos. Si el proceso de configuración de un nuevo teléfono, por ejemplo, es demasiado complicado y no hay una forma sencilla de iniciar sesión en todas las aplicaciones y cuentas, o si hay que recurrir a las contraseñas para restablecer la propiedad de esas cuentas, la mayoría de los usuarios concluirán que es demasiado complicado cambiar el statu quo.

El estándar FIDO sin contraseña ya se basa en los escáneres biométricos de un dispositivo (o en un PIN maestro que usted seleccione) para autenticarle localmente sin que ninguno de sus datos viaje por Internet hasta un servidor web para su validación. El concepto principal que FIDO cree que resolverá en última instancia el problema de los nuevos dispositivos es que los sistemas operativos implementen un gestor de “credenciales FIDO”, que es algo similar a un gestor de contraseñas integrado. En lugar de almacenar literalmente las contraseñas, este mecanismo almacenará claves criptográficas que pueden sincronizarse entre dispositivos y están protegidas por el bloqueo biométrico o de código de acceso del dispositivo.

En la Conferencia Mundial de Desarrolladores de Apple del pasado verano, la compañía anunció su propia versión de lo que describe FIDO, una función de iCloud conocida como “Passkeys in iCloud Keychain”, que según Apple es su “contribución a un mundo post-contraseña”.

“Las Passkeys son credenciales de WebAuthn con la increíble seguridad que proporciona el estándar, combinada con la usabilidad de estar respaldada, sincronizada y funcionando en todos tus dispositivos”, explicó Garrett Davidson, un ingeniero del equipo de experiencia de autenticación de aplicaciones de Apple en la conferencia de junio. “Las almacenamos en el llavero de iCloud. Al igual que todo lo que hay en tu llavero de iCloud, están encriptados de extremo a extremo, por lo que ni siquiera Apple puede leerlos… Y son muy fáciles de usar. En la mayoría de los casos, basta con un solo toque o clic para iniciar sesión”.

Si pierdes tu viejo iPhone, por ejemplo, y vas a sacar de la caja uno nuevo, el proceso de transferencia puede realizarse simplemente a través de cualquier flujo de configuración que Apple ofrezca en ese momento. Si pierdes tu iPhone y decides cambiarte a Android, o te mueves entre otros dos ecosistemas digitales, el proceso puede no ser tan sencillo. Pero el libro blanco de FIDO también incluye otro componente, una propuesta de adición a su especificación que permitiría que uno de tus dispositivos existentes, como tu portátil, actuara como un token de hardware en sí mismo, similar a los dongles de autenticación Bluetooth independientes, y proporcionara autenticación física a través de Bluetooth. La idea es que esto siga siendo prácticamente a prueba de phishing, ya que Bluetooth es un protocolo basado en la proximidad y puede ser una herramienta útil, según se necesite, para desarrollar diferentes versiones de esquemas verdaderamente sin contraseña que no tengan que conservar una contraseña de respaldo.

El director de productos de Google que se ocupa de la identidad y la seguridad y colabora en los proyectos de FIDO, afirma que el plan de llave de paso se desprende lógicamente de la imagen de un futuro sin contraseñas en los teléfonos inteligentes o en los múltiples dispositivos.

“Esta gran visión de ‘Vamos a ir más allá de la contraseña’, siempre hemos tenido este estado final en mente para ser honestos, sólo que se necesitó hasta que todo el mundo tuviera teléfonos móviles en sus bolsillos”, dice Brand. Google se unió a FIDO apenas unos meses después de su formación en 2013. “Esperemos que para los usuarios sea un pequeño cambio de comportamiento, pero la tecnología es un salto de gigante”.

Para FIDO, la mayor prioridad es un cambio de paradigma en la seguridad de las cuentas que haga que la suplantación de identidad sea cosa del pasado. Los atacantes se han convertido en maestros a la hora de engañar a los usuarios para que entreguen involuntariamente sus contraseñas, e incluso los códigos de autenticación de dos factores o los avisos de aprobación pueden ser explotados. Estas estafas facilitan el beneficio delictivo, pero también han desempeñado un papel en el espionaje y los ciberataques destructivos que han marcado la geopolítica y los acontecimientos mundiales.

Aunque FIDO haya encontrado por fin la fórmula mágica, las contraseñas no desaparecerán de la noche a la mañana por una serie de razones. La más importante es que no todas las personas poseen un teléfono inteligente, y mucho menos varios dispositivos que puedan respaldarse mutuamente en caso de pérdida o robo de uno de ellos. Además, pasarán años antes de que todo el mundo tenga acceso a nuevos dispositivos y versiones de sistemas operativos que soporten el impulso de FIDO sin contraseña. Mientras tanto, las empresas tecnológicas tendrán que mantener tanto los sistemas de acceso sin contraseña como los basados en ella. En su nuevo libro blanco y en otros lugares, FIDO está trabajando para apoyar esta transición, pero como ocurre con cualquier otra migración tecnológica (ejem, Windows XP), el camino será inevitablemente arduo.

Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):

Además, aunque la propuesta de FIDO supone una importante mejora de la seguridad respecto a las contraseñas en muchos aspectos, no es infalible. Su éxito dependerá de la seguridad de la implementación de cada sistema operativo. Es probable que ya estés demasiado familiarizado con la pesadilla de verte obligado a confiar en el esquema de autenticación de cada sitio web y servicio en el que tienes una cuenta, pero ninguna alternativa es perfecta. La visión de FIDO simplemente creará un conjunto diferente, aunque potencialmente mejor y más sensato, de debilidades y puntos de fallo. Como señala la propia FIDO, su plan para la adopción generalizada de la autenticación sin contraseña está pensado como una solución de uso general y puede que no siempre se ajuste a los requisitos de seguridad más extremos.

Y después de todo esto, la industria tecnológica todavía tendrá que convertir el libro blanco de FIDO en características reales que sean fáciles de usar y que conviertan a la gente en creyentes de la autenticación sin contraseña.

Esquemas como Passkey podrían funcionar y ser más seguros que las contraseñas tal y como están ahora. Pero si la interfaz de usuario para las transferencias entre dispositivos falla en algunos de ellos, lo será en todos, lo que seguiría desanimando su uso.

Después de casi una década de trabajo, a la gente que busca un alivio de las contraseñas le queda la esperanza de que, a estas alturas, FIDO sea demasiado grande para fracasar. Cuando se le pregunta si realmente es así, si el toque de difuntos para las contraseñas está sonando de verdad, por fin, director de productos de Google se pone serio, pero no duda en responder: “Siento que todo se está uniendo”, dice. “Esto debería ser duradero”.

Revisor de hechos: Brian

Recursos

Véase También

▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.