Las grandes tecnológicas resetean el acceso digital y aceleran hacia un futuro sin contraseñas

Es cierto que desde hace años podemos conectarnos a determinados servicios mediante biometría, como la huella dactilar. El primer acceso requiere la introducción manual de usuario y contraseña, junto a un registro de la huella y, a partir de ese momento, el sistema recuerda el usuario y habilita como contraseña la huella. Sin embargo, los tres colosos estadounidenses quieren ir más allá y están liderando la transición hacia un mundo donde las claves sean un recuerdo del pasado en favor de otros métodos que incrementen las garantías al tiempo que simplifiquen la operativa para los internautas. Al igual que las principales empresas del sector y algunas agencias gubernamentales, las firmas mencionadas forman parte de la Alianza FIDO, creada en 2013 con el propósito de cambiar la autenticación online para hacerla más fácil y fiable frente a amenazas, ya que, según sus datos, las contraseñas constituyen el 80% de las brechas de seguridad que suceden en el mundo.

El problema que se han propuesto solucionar no es menor. Solo en nuestro país quedaron al descubierto la friolera de 114 millones de contraseñas durante el año pasado o, lo que es lo mismo, 2,4 claves filtradas per cápita, lo que nos sitúa en un nivel de riesgo medio, según un informe elaborado por NordPass. El fenómeno, lejos de amainar, crece a ritmo alarmante: hay 921 ataques de contraseña cada segundo, casi el doble de frecuencia en los últimos doce meses, según los datos de registro de autenticación de Microsoft Azure Active Directory 2022, difundidos el pasado mayo. Los 'hackers' hacen negocio a costa de unos internautas que pecan de confiados. Una reciente encuesta de Acens, filial de Telefónica Tech, revela que el93% de las personas usa la misma clave para acceder a diferentes servicios online, algo que multiplica los potenciales daños, puesto que si una de las cuentas se ve comprometida, los piratas informáticos probarán esas mismas credenciales en el resto de los perfiles.

Para minimizar este tipo de incidentes, la mayoría de las plataformas online cuentan con la autenticación de doble factor, que añade una capa de seguridad extra. Existen varias opciones, siendo la más habitual el envío de un código al móvil por mensaje de texto. Este proceso, eso sí, tampoco está exento de peligros. «Si se produce la suplantación de la tarjeta SIM, por ejemplo, la notificación la recibe el que está intentando perpetrar el fraude», advierte Pere Blay Serrano, director del Máster en Ciberseguridad de VIU-Universidad Internacional de Valencia.

Los actores del sector tecnológico son conscientes de ello y entienden que el siguiente paso es evolucionar a sistemas biométricos, como la huella dactilar o la cara. «No es una solución perfecta, pero se gana en seguridad respecto a lo anterior», resume, convencido de que el futuro de las contraseñas pasa por su desaparición: «Dado que la cantidad de bases de datos explotadas y las brechas de seguridad que sufren las empresas de servicios de internet van en aumento, la preocupación por el acceso seguro y la protección de los datos se está tomando más en serio, buscando alternativas para dificultar las cosas a los ciberdelincuentes».

Es ahí donde entra en juego el estándar FIDO, cuya diferencia respecto a los demás enfoques es que prescinde totalmente de las contraseñas, que no existirían ni siquiera como método alternativo de inicio de sesión o de recuperación de cuenta. «La finalidad es desterrar el empleo de las credenciales (usuario/contraseña) para la autentificación de los usuarios. Para ello se promueve el aprovechamiento de dispositivos de uso común como los 'smartphones', utilizándolos para identificarnos en aquellos servicios online que lo requieran», explica Josep Albors, director de investigación y concienciación de ESET España.

Se trata, en palabras de este experto, de un estándar destinado a proporcionar inicios de sesión seguros, rápidos y cómodos para los usuarios, pudiendo recurrir a diferentes aproximaciones como la identificación biométrica (huellas, cara, ojos, etc.), la autenticación mediante códigos temporales de un solo uso o cualquier otra posibilidad que se considere segura y eficaz. Según dijo Andrew Shikiar, director ejecutivo de la alianza, las versiones anteriores del estándar requerían que las personas ingresaran una contraseña inicial para cada cuenta antes de no necesitar más claves, pero la nueva generación quita la exigencia.

En la práctica, el estándar FIDO utiliza el sistema criptográfico de clave pública/privada, extendido en varias ramas relacionadas con la informática desde hace años, según indica Albors. «Este sistema de claves se crea para cada servicio online que se quiera acceder, dispositivo y cuenta del usuario, almacenándose la clave privada en el dispositivo mientras que la pública se envía al servicio online que se desea acceder. Cuando el usuario quiere acceder a ese servicio online, debe demostrar que es un acceso legítimo mostrando la clave privada almacenada en el dispositivo y que se desbloquea al usar el método de identificación seleccionado previamente, por ejemplo, la huella dactilar. Si ambas claves coinciden, se permite el inicio de sesión», detalla Albors.

Apple está realizando avances en este sentido gracias a sus 'passkeys' (llaves de acceso), disponibles en iOS16 y MacOS Ventura, de forma que el usuario escanea sus datos biométricos con Face ID o Touch ID. Microsoft, otra de las corporaciones más involucradas en el reto de abandonar las contraseñas, tiene una propuesta algo diferente, aunque regida igualmente por el estándar FIDO. «Las opciones son muy variadas. Usuarios particulares y empresariales ya pueden utilizar la aplicación Microsoft Authenticator instalada en su móvil para utilizar códigos de acceso de un solo uso o notificaciones para aprobación, junto a la lectura de huella digital, reconocimiento facial o PIN», señala Carlos Machado, responsable de Ciberseguridad de Microsoft en España.

La compañía también pone a disposición de los usuarios Windows Hello, que aglutina diferentes medidas de seguridad, como el reconocimiento facial, la lectura de huella dactilar o el uso de PIN, para iniciar sesión en el ordenador y en los servicios esenciales de Microsoft. «En todos los casos se trata de establecer diferentes medios de confirmación, complementarios entre sí, para que el acceso se conceda solo y exclusivamente al usuario legítimo», agrega Machado. Todavía es pronto para saber cuál de las aproximaciones se adoptará a nivel masivo, pero sí está clara la apuesta por un estándar.

«Es esencial para garantizar una interoperabilidad que redunde en una mayor simplicidad para los departamentos de TI, flexibilidad para las organizaciones y una mejor experiencia de usuario. Desde Microsoft colaboramos en el desarrollo de estándares en este campo», asegura Machado. A favor de la Alianza FIDO juega también que entre sus miembros están las mayores tecnológicas del planeta y su carácter abierto. «Cualquiera se puede adherir y utilizarlo. Las empresas que están ahora dentro tendrán una ventaja inicial, pero como cualquiera se puede unir, va a ser muy sencillo para los demás», apunta Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

Un mundo sin contraseñas traería consigo un refuerzo de la protección frente a las ciberamenazas. «Hay tres niveles de garantía de los autenticadores y se lograría el máximo, AAL3, que antes solo se utilizaba en grandes entornos de defensa. Es un método anti-phishing, de manera que nadie pueda asaltar al usuario para que meta una contraseña ni robarla», resalta Nieva. El sistema no es infalible, pero sí pone piedras en el camino de los 'hackers'. «Las huellas o la cara son atacables, pero a día de hoy hacerlo es mucho más complicado que lanzar un 'phishing'», sintetiza Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación de la Universidad Abierta de Cataluña (UOC). Los expertos coinciden en que el sistema de contraseñas que ha dominado la red es ineficaz, por lo que celebran su reemplazo.

Las empresas del sector tienen claro que es una tendencia sin marcha atrás. «Desde Microsoft llevamos años hablando de que el futuro no tiene contraseñas», resaltan. Su responsable de Ciberseguridad en España sostiene que el 89% de las intrusiones en aplicaciones web implican algún tipo de abuso de credenciales, ya sea por su robo o por fuerza bruta. Por lo tanto, su absoluta eliminación facilita la vida al usuario, pone coto a los ataques basados en ingeniería social y lleva la seguridad un paso más allá.

A pesar de que las fuentes aplauden el fin de las contraseñas, algunos expertos creen que hay aspectos que vigilar. Jordi Serra, de la UOC, alerta de que «si se produce un agujero de seguridad y se obtienen los datos, solo tenemos diez dedos y una cara. Así como las contraseñas son infinitas, en la biometría hay un límite». En esta línea, Josep Albors (ESET España) refrenda que al tener un sistema de identificación único, si se compromete alguna vez, no podremos cambiar ese método: «Habría que ver qué soluciones se proponen para que, en caso de que ocurra, evitar que muchas personas queden fuera del sistema de autenticación precisamente porque no pueden cambiar algo que es un rasgo inequívoco suyo». Blay Serrano, de la VIU, recuerda que no toda la población puede adquirir dispositivos con sensores o la potencia de procesador requerida para poner en marcha un reconocimiento facial, con lo cual la transición necesitará un tiempo hasta que esas tecnologías estén al alcance de todos los bolsillos. Escollos que no impedirán que el deseo de las tecnológicas se convierta en realidad en un corto plazo.

«El reconocimiento facial y la huella dactilar han tardado poco en aterrizar y hacerse de uso popular. Sospecho que pasará igual. En un periodo de dos a seis años ya nos habremos olvidado de las contraseñas», dice este último experto. No difiere apenas de la estimación de Eusebio Nieva, de Check Point, que piensa que de aquí a cinco años habrá más de un 70% de los entornos con esta autenticación, a menos que se detecte desde una fase temprana algún problema de seguridad en los protocolos. Carlos Manchado, de Microsoft, uno de los 'players' que abandera la revolución, afirma que la adopción dependerá de la hoja de ruta de cada organización y su velocidad estará influenciada por el recrudecimiento de unos ataques que cada vez son más frecuentes y causan mayor impacto en las empresas. Aporta un dato: solo este año 2022, los ciberataques supondrán un coste de ocho billones de dólares a nivel global. Un panorama preocupante que el sector quiere mejorar diciendo adiós a las contraseñas que nos han acompañado (y amargado) durante tantos años.