Las contraseñas se han convertido en la mayor frustración de nuestra vida digital.
A pesar de saber que cada inicio de sesión debe tener una contraseña segura con al menos 12 caracteres que consten de mayúsculas, minúsculas, números y símbolos, la comodidad puede vencer a la seguridad para cualquiera que no tenga memoria fotográfica.
El engorro de mantener docenas de contraseñas únicas para cada sitio y smartphone inevitablemente hace que muchos de nosotros utilicemos en secreto una contraseña para varios sitios.
Sin embargo, cuando tu tienda online favorita sufre una violación de datos, los hackers intentarán utilizar tus credenciales en los sitios favoritos de los fans, como Amazon, Netflix, Paypal, etc.
Si introduce su dirección de correo electrónico en el sitio web Have I Been Pwned, se alarmará al ver cuántas violaciones de datos están asociadas a su dirección de correo electrónico.
Esto a menudo lleva a los usuarios a añadir autenticación multifactor y un gestor de contraseñas que hará todo el trabajo pesado por ellos. Pero incluso estos métodos pueden tener sus inconvenientes.
Puntos clave
- Las contraseñas, por mucho que nos esforcemos, a menudo conducen a la reutilización, la frustración y el compromiso, ya que los usuarios tienden a priorizar la comodidad sobre la seguridad.
- Aunque los gestores de contraseñas ofrecen una solución, las recientes violaciones de plataformas populares como LastPass demuestran la necesidad de un nuevo enfoque de la autenticación online.
- Las claves de acceso, que utilizan la biometría o los PIN de los dispositivos y que defienden empresas como Apple, Google y Microsoft, suponen una revolución potencial en la seguridad online al eliminar la dependencia de las contraseñas tradicionales.
- Sin embargo, su adopción generalizada se enfrenta a problemas de interoperabilidad, privacidad y seguridad de los datos.
¿Son los gestores de contraseñas tan seguros como creemos?
El gestor de contraseñas LastPass ha sufrido una serie de brechas desde 2015 que han expuesto correos electrónicos de usuarios y contraseñas maestras, y una brecha sustancial en 2022 comprometió datos de clientes e información de bóvedas de usuarios.
La revelación del robo de copias de seguridad cifradas y del posible acceso a claves de cifrado en estas violaciones subraya una tendencia preocupante en materia de ciberseguridad.
Por otra parte, el hábito generalizado de reutilizar las contraseñas fue culpado de los ataques al gestor de contraseñas de Norton LifeLock. En conjunto, estas tendencias dibujan un panorama bastante inquietante.
¿Serán seguros los gestores de contraseñas en 2024? La respuesta dependerá totalmente de cómo los utilices. Si tu contraseña habitual para cada cuenta es algo tan simplista como «123456» y has optado por no utilizar la autenticación multifactor, la solidez de tu almacén de contraseñas resulta irrelevante.
La realidad es que, con unas credenciales tan predecibles, es sólo cuestión de tiempo que alguien no autorizado las descifre: la seguridad de un gestor de contraseñas depende en gran medida de la responsabilidad y prudencia con que lo utilice el individuo.
En resumen, necesitamos un nuevo enfoque.
De las contraseñas a las claves de acceso: El futuro de la autenticación segura
Las claves de acceso representan un cambio revolucionario en la autenticación en línea, señalando el posible fin de la era de las contraseñas tradicionales que tanto nos gusta odiar.
Estas innovadoras soluciones sin contraseña aprovechan la biometría o los PIN de los dispositivos, ofreciendo una forma más segura de acceder a las cuentas online.
A diferencia de las contraseñas convencionales, las claves de acceso no dependen de credenciales potencialmente débiles y frecuentemente reutilizadas. Proporcionan una defensa sólida contra las vulnerabilidades que plagan los sistemas basados en contraseñas.
Comprender la mecánica de las claves de acceso es crucial para apreciar su potencial para transformar la seguridad en línea. Una clave de acceso implica una combinación de una clave criptográfica privada, almacenada localmente en el dispositivo del usuario, y una clave criptográfica pública, en poder del proveedor de servicios.
Al acceder a una cuenta con claves de acceso activadas, el servidor interpela al autenticador del usuario (como un teléfono o un ordenador).
El autenticador utiliza entonces la clave privada para responder, confirmando la identidad del usuario sin necesidad de una contraseña tradicional. Este proceso, conocido como «firma» de los datos, ofrece un método de autenticación más seguro y resistente al phishing, reduciendo drásticamente el riesgo de que se comprometan las credenciales.
Google es una de las grandes empresas tecnológicas a favor de las passkeys, y cuando las apoyaron el año pasado, lo anunciaron en su blog como «El principio del fin de la contraseña».
A pesar de la mayor seguridad de las claves de acceso, sigue el debate sobre si realmente sustituirán a las contraseñas.
El principal reto reside en su adopción e interoperabilidad en diferentes plataformas y dispositivos. Sólo unos pocos sitios web admiten claves de acceso, y gestionarlas en varios dispositivos puede ser complejo.
Además, aunque las passkeys eliminan la necesidad de recordar varias contraseñas y reducen significativamente el riesgo de ataques de phishing, depender de dispositivos específicos para la autenticación podría plantear problemas cuando el dispositivo no está disponible o es incompatible con otro sistema operativo.
Los retos de la transición a las claves de acceso
Aunque las claves de paso anuncian un avance significativo en la seguridad en línea, plantean retos que merecen consideración. La transición a las claves de acceso implica un compromiso entre la mejora de la seguridad y la flexibilidad de los sistemas de contraseñas tradicionales.
Por ejemplo, las claves de acceso, vinculadas a datos biométricos o a credenciales específicas de un dispositivo, restringen la posibilidad de compartir el acceso con personas de confianza, una práctica habitual en situaciones familiares o de emergencia. Esta limitación podría afectar a escenarios en los que los padres deben supervisar las actividades online de sus hijos o compartir el acceso a cuentas conjuntas.
Además, la tecnología suscita preocupaciones válidas sobre la privacidad y la seguridad de los datos. La entrega de datos biométricos únicos a los proveedores de servicios conlleva el temor a un uso indebido o a compartir datos sin autorización.
Además, la naturaleza específica del dispositivo de las claves de acceso plantea un riesgo de pérdida de acceso. En situaciones como el robo o el cambio de número de teléfono, los usuarios podrían encontrarse bloqueados en sus cuentas.
Aunque la mayoría de las plataformas ofrecen opciones de recuperación para las contraseñas perdidas, los mecanismos equivalentes para las claves de acceso, como las claves de recuperación, aún no se han implantado universalmente y requieren medidas proactivas por parte de los usuarios.
La eliminación completa de las contraseñas no se producirá de la noche a la mañana. Queda un largo camino por recorrer antes de que las empresas adopten plenamente las normas industriales de FIDO para el desarrollo de claves de acceso.
Aunque los sospechosos habituales, como Apple, Google y Microsoft, están adoptando y promoviendo la tecnología de claves de acceso, tardará tiempo en llegar a los cientos de sitios y aplicaciones que actualmente requieren una contraseña para iniciar sesión.
La limitada compatibilidad actual de las claves de acceso con sitios web y aplicaciones también significa que los usuarios deben mantener un enfoque híbrido de contraseñas tradicionales y claves de acceso, lo que complica el panorama de la seguridad digital. Aunque las claves de acceso representan un paso adelante en la seguridad de las identidades en línea, su implantación y aceptación requieren una navegación cuidadosa a través de estos nuevos retos.
Lo esencial
La aparición de las claves de acceso supone un cambio significativo respecto a las contraseñas tradicionales. Este nuevo enfoque de la autenticación segura ofrece un método más ágil, fácil de usar y seguro de proteger nuestras identidades en Internet.
Sustituir las contraseñas por las claves será un proceso lento y gradual que requiere un cambio en el comportamiento de los usuarios y una adaptación tecnológica.
Por ahora, adoptar las claves de acceso, especialmente para las cuentas sensibles, es un paso inteligente para reforzar la seguridad. Pero hasta que obtengan un apoyo universal y se conviertan en parte integrante de nuestra rutina digital, sigue siendo esencial mantener prácticas de seguridad sólidas, como activar la autenticación multifactor y utilizar contraseñas seguras. Las claves de acceso representan un futuro más prometedor en ciberseguridad, pero este futuro aún está en desarrollo.