A Fondo
Las contraseñas son todavía muy empleadas, pero van perdiendo terreno
Desde hace años se intenta sustituir las contraseñas por otros métodos de autenticación que son más fáciles, que no necesariamente más seguros dependiendo del caso. Aquí nos encontramos a grandes corporaciones como Google, Apple y Microsoft que intentan que sustituyamos las contraseñas por la huella dactilar, la cara, el iris, los vasos sanguíneos de la mano, llaves USB y más recientemente las passkeys. Sin embargo, la transición está siendo bastante lenta, así que a día de hoy las contraseñas siguen siendo muy utilizadas, a pesar de que van perdiendo terreno poco a poco.
En los últimos años hemos visto cómo tecnologías como Windows Hello, Face ID y Touch ID se han vendido como medios más seguros que las tradicionales contraseñas, pero la realidad es que, en opinión de muchos (entre ellos este servidor), solo aportan comodidad si no son reforzadas con al menos otro método de autenticación.
Los métodos de autenticación biométricos pueden ser seguros… si los refuerzas
En el caso de la huella dactilar, obtenerla es tan simple como robar el smartphone y ponerse a investigar debido a que el usuario ha ido dejando su clave de acceso impresa en el mismo dispositivo. Emplear como método de autenticación un dato que vas dejado por todas partes no es precisamente la idea más inteligente.
La cara no es tan sencilla de obtener, pero hoy en día hasta hay smartphones de gama baja capaces de hacer fotografías de bastante calidad, así que uno debería de estar esquivando las cámaras de foto todo el tiempo para evitar la replicación de su cara de alguna forma. Aquí nos estamos dejando en el tintero plataformas las de vídeo, que en caso de mostrar la cara son otra fuente de información para los actores maliciosos. Situación parecida es la que hay en torno al iris, que también puede replicado a partir de imágenes, cosa que no es el caso de la retina, por si alguien se confunde.
Algo mejor es la situación de los vasos sanguíneos de la mano como medio de autenticación biométrica. Si bien no es perfecto, replicar eso requiere de medios tan potentes que habría que secuestrar al usuario para obtener con presión todos los datos necesarios, ya que el partir de material obtenido de redes sociales y plataformas de vídeo es imposible replicar una parte de la mano que no está a la vista.
Mucho mejor lo tienen las llaves en formato hardware. Por ejemplo, la llave YubiKey 5 NFC es compatible con los principales algoritmos de cifrado, los cuales abarcan RSA 4096, ECC p256 y ECC p384, y además es compatible con Windows, macOS, Linux, Android y iOS, por lo que ofrece un potente soporte multiplataforma. Las llaves se encargan de proporcionar una autenticación segura y resistente ante los temidos ataques de phishing. Si bien es cierto que los navegadores web intentan contribuir a la detección del phishing, no siempre lo logran y es mejor pensar que los actores maliciosos van siempre dos pasos por delante.
Y más recientemente se están dando a conocer las passkeys o claves de paso, que en realidad son diferentes esquemas para almacenar información de autenticación en hardware. Pretenden ser fáciles de usar y son resistentes al phishing y a otros métodos similares para robar cuentas de usuario. Basadas en los estándares de FIDO Alliance y la W3C, reemplazan las típicas contraseñas con claves criptográficas de emparejamiento, mejorando así la seguridad a la vez que agiliza la autenticación. Por ejemplo, en el ecosistema de Apple pueden ser empleadas junto a Face ID o Touch ID (de ahí que mencionemos la combinar los métodos de autenticación con otros métodos) para así tener un acceso seguro y sin contraseña.
Como vemos, los nuevos métodos de autenticación combinan soluciones realmente muy cuestionables con otras que sí ofrecen un marco competente. Esto probablemente termine siendo confuso para un usuario con conocimientos muy básicos, que puede terminar por pasarlos a todos por el mismo aro. En esas situaciones lo lógico es tomar el listón más bajo, así que la percepción global del conjunto apuntaría a ser más bien negativa.
Las contraseñas van perdiendo terreno, pero siguen resistiendo
La falta de conocimientos y la compleja situación en torno a los métodos de autenticación modernos podrían ser las razones de por qué las contraseñas siguen siendo la principal vía acceder a sistemas y servicios. La preponderancia de las contraseñas es algo que ha sido reflejado por FIDO Alliance después de encuestar a 10.000 consumidores de Reino Unido, Francia, Alemania, Estados Unidos, Singapur, Japón, Corea del Sur, India y China.
Profundizando en los datos de la encuesta, el 51% de los usuarios iniciaron sesión en su banco en línea empleando una contraseña en los últimos 60 días, mientras que el 28% empleó una contraseña de un solo uso (OTP) enviada al dispositivo móvil y un 14% utilizó un gestor de contraseñas. Otros métodos han sido las aplicaciones de autenticación de Microsoft y Google, llaves como las de YubyKey y Google Titan, códigos QR, la función de autompletar del navegador y el permanecer con la sesión iniciada.
A pesar de que las contraseñas dominan de forma clara sobre el resto, la realidad muestra un panorama bastante diversificado y en el que el uso de las contraseñas se redujo un 5% para los servicios financieros, un 7% para las cuentas relacionadas con el trabajo, un 8% para las redes sociales y un 9% para dispositivos domésticos inteligentes (los dispositivos “inteligentes” para el hogar son otro frente muy goloso para los actores maliciosos).
FIDO Alliance insiste en el peligro de las contraseñas al decir que, “por ejemplo, el 70% de las personas tuvo que recuperar una contraseña al menos una vez en un mes determinado”. Aquí quizá sea importante destacar cómo afecta esto a las tiendas minoristas y proveedores de servicios, ya que el 59% de los usuarios renunciaron a acceder a algún servicio en línea en un mes determinado y el 43% dejó de comprar debido a que no recordaba la contraseña.
Las contraseñas de un solo uso suenan a algo bueno, pero la realidad es que dependen de la vía por la que son usadas. Si se quiere tener seguridad, lo suyo es apoyar dicho método en una aplicación, pero en la actualidad todavía se emplean y mucho los SMS, que desde hace muchos años están considerados como un medio poco seguro por las facilidades que ofrecen para ser manipulados desde muchos frentes, incluido el proveedor de servicios telefónicos. Las contraseñas de un solo uso enviadas mediante SMS todavía siguen siendo utilizadas en servicios financieros, cuentas de los puestos de trabajo, redes sociales, plataformas de vídeo y más.
Los resultados de la encuesta no son los mejores desde la perspectiva de FIDO Alliance, pero entre tanta “oscuridad” es posible encontrar que el 39% de los encuestados estaban muy o algo familiarizados con la idea de las passkeys, que, como ya hemos dicho, pretenden ofrecer una vía de autenticación mucho más segura y fácil que las contraseñas.
Un futuro sin contraseñas es posible, pero no tan rápido
Como vemos, las contraseñas siguen siendo el método de autenticación más utilizado, pero si la actual tendencia continúa dentro de poco se situarán por debajo del 50%.
Aunque algunos métodos de autenticación modernos tienen ventajas evidentes sobre las contraseñas, su problema podría radicar en el hecho de haber convivido con otros sistemas que son una broma, lo que puede hacer que les cueste convencer a aquellos que siguen aferrados a las contraseñas como método único de autenticación.
Imagen de portada: Unsplash
Blizzard cancela la BlizzCon 2024
Google Gemini ya es compatible con Android 10 y Android 11
Canonical publica Ubuntu 24.04 LTS
Qué son los planes de impresión de HP Instant Ink y cómo funcionan
Google trabaja en la actualización del Chromecast 4K
Empiezan los Días Naranjas en PcComponentes, no te pierdas las mejores ofertas
10 sitios web para descargar libros electrónicos gratuitos
Novedades VOD 16/24: ‘Rebel Moon’, la película que deja marcas
Zilog finaliza la producción de los Z80, un chip mítico
‘Ereban: Shadow Legacy’, juego de sombras
Cómo instalar el soporte multimedia en Ubuntu, Linux Mint, Fedora y Flatpak
Empiezan los Días Naranjas en PcComponentes, no te pierdas las mejores ofertas
Blizzard cancela la BlizzCon 2024
Elon Musk pregunta por traer de vuelta a Vine y la respuesta es la esperada
Elgato Neo, una nueva familia para todos
Se filtran imágenes del Google Pixel 9 Pro
Max revela sus precios para España
