¿Desaparecerán las contraseñas?
Tras más de 70 años no hemos visto mucha evolución en la manera en que utilizamos las contraseñas. Hoy, hablaremos sobre varias propuestas con el potencial de cambiar la forma en que nos identificamos en internet. ¿Serán reemplazadas? ¿Qué implicaciones tendría?
Desde que Fernando Corbató implementó la primera contraseña informática en 1960, hasta el día de hoy no había surgido ninguna otra tecnología con la suficiente adopción para reemplazarla.
A través del tiempo, las contraseñas se volvieron cada vez más inseguras debido al aumento de estafas de phishing, filtraciones de datos y la mala práctica de reutilizarlas. Para fortalecer la seguridad digital se implementó la verificación de 2 factores, siendo Google en 2011 el primer sitio web en ofrecer esta característica. Además, surgieron los administradores de contraseñas como una opción para evitar el reciclaje de estas. Sin embargo, los passwords no han dejado de tener las mismas debilidades.
¿Qué debilidades tienen las contraseñas?
El hecho de ser contraseñas en sí mismas no involucran ninguna debilidad o riesgo, PERO, esto no significa que no existan. Lo que sucede es algo conocido como debilidad en cadena y que principalmente empieza con el factor humano.
El principio de la cadena depende del usuario, específicamente en el momento de la creación de una contraseña. Muchas personas suelen utilizar frases o palabras fáciles de recordar y probablemente fáciles de adivinar, las cuales son susceptibles a ataques de fuerza bruta por parte de piratas informáticos. Luego le sigue la responsabilidad del servicio donde se esté registrando dicho usuario.
Todavía en la década de 2010, cuando estalló la burbuja del robo de contraseñas, la adopción del protocolo HTTP seguro o HTTPS era muy reducida y los servicios solían guardar las contraseñas de los usuarios en texto plano. Así, los ciberdelincuentes podían interceptar las conexiones de los usuarios y robar sus contraseñas de una manera relativamente sencilla. Hoy no tenemos ese problema, pero las brechas de seguridad son más sofisticadas y menos ventiladas, por lo que las empresas deben garantizar que sus servicios sean seguros.
Esto no termina aquí, luego están los ataques de ingeniería social, que consisten en engañar al usuario para que le dé sus datos al atacante de forma voluntaria sin darse cuenta, regularmente haciéndose pasar por un servicio legítimo, falsificando su sitio web. Dentro de estos están el phishing, el spam, etc.
Pero… ¿Existe alguna tecnología capaz de reemplazar las contraseñas?
El potencial de la biometría
La biometría consiste en analizar las características físicas o del comportamiento propias de una persona con el objetivo de autenticar su identidad. Estas características comúnmente son rostro, voz y huellas dactilares.
Entre los beneficios de la biometría está el nivel de seguridad y de precisión que garantiza. A diferencia de las contraseñas, los datos biométricos no se pueden olvidar, intercambiar o robar, y no se pueden falsificar.
Hemos visto cómo la utilización de datos biométricos se ha ido implementando poco a poco en los dispositivos móviles, como el desbloqueo con huellas dactilares y el reconocimiento facial, pero la aplicación de estos nunca ha sido un sustituto sino una verificación de emergencia o una verificación de doble factor. Es decir, las contraseñas siguen ahí.
Autenticación sin contraseña: FIDO/W3C
Amazon, Google, Meta, Apple, Microsoft, Samsung, PayPal, Intel y en total más de 40 de las empresas líderes en tecnología, junto con la W3C, el consorcio que gestiona los estándares de la web, se aliaron en FIDO: Fast IDentity Online.
¿Qué es FIDO?
FIDO es una alianza formada en 2012 a la que se han unido distintas empresas del sector a través de los años. Trabajan en desarrollar sistemas de autenticación que prometen reemplazar el uso de contraseñas y por datos biométricos para autenticar a los usuarios en los servicios de internet, haciendo de esta manera las cuentas de los usuarios más seguras.
¿Cómo funciona?
El sistema debe estar implementado en el servicio móvil o web al que se quiere acceder para que pueda ser usado.
En un teléfono:
- El usuario navega a ejemplo.com en un navegador e inicia sesión en una cuenta existente con cualquier método que haya estado utilizando (posiblemente un método heredado, como una contraseña), o puede crea una nueva cuenta.
- El teléfono pregunta: "¿Desea registrar este dispositivo con ejemplo.com?"
- El usuario está de acuerdo y acepta.
- El teléfono solicita al usuario un gesto de autorización previamente configurado (PIN, biométrico, etc.).
- El sitio web muestra el mensaje "Registro completo".
Fuente: https://www.w3.org/TR/webauthn-2/#sctn-usecase-authentication
El sistema está listo para ser empleado, solo falta la adopción de los servicios de internet. Esta tecnología funciona con cifrado de llaves públicas y llaves privadas, haciendo de las contraseñas un aspecto técnico que el usuario no verá ni por el que tendrá que preocuparse. Para iniciar sesión solo necesitará desbloquear el dispositivo mediante un PIN, la autenticación facial o la huella dactilar, y confirmar la sesión desde el móvil. Al hacerlo, un desbloqueo verificará que eres tú. ¡Así de fácil!
El apoyo de Google, Apple y Microsoft nos dice que los principales servicios como Gmail, YouTube, iCloud, Xbox y los dispositivos iOS, Android y Windows pronto empezarán a utilizar esta tecnología.
Este nuevo sistema promete ser sencillo y la compatibilidad con cualquier sistema operativo lo hace más simple: ve al sitio web, introduce tu identificador y confirma la solicitud desde tu smartphone.
Sé que te preguntas: ¿Y si me roban mi smartphone?
En un mundo realista no existen soluciones perfectas, pero tendrían que alinearse varias cosas en el universo para que un robo del dispositivo afecte las cuentas del usuario común, ya que deberá ser un experto en criptografía y ciberseguridad o contratar a alguien que tenga los conocimientos suficientes para hackear un smartphone y poder desbloquearlo.
Esto dependerá también de qué tan importante sea para el delincuente desbloquear dicho dispositivo. Más bien, esta situación podría afectar a personajes sobresalientes y muy conocidos de la sociedad.
Entonces… Al fin, ¿desaparecerán las contraseñas?
Tomando en cuenta todo lo que se ha hecho hasta el día de hoy, las alianzas a FIDO y la estandarización del WebAuthn, así como la API que permite el acceso a esta tecnología, lo único que falta es que la implementen en sus servicios. Clientes de Microsoft como Avadane y FEITIAN son de los primeros en tener implementada la autenticación FIDO. Apple, Microsoft y Google; proveedores de los principales servicios que usamos a diario, se encuentran trabajando en esto.
Para terminar, una reflexión de Alex Simons, vicepresidente corporativo de Gestión de Programas de Identidad de Microsoft.
El mundo estará finalmente libre de contraseñas cuando los usuarios vivan este cambio con total naturalidad. Para que una solución sea viable, debe ser más segura, fácil de usar y rápida que las contraseñas y los métodos de autenticación multifactor actuales.