En un mundo hiperconectado, las contraseñas no terminan de ser la mejor solución de seguridad. Esta es la visión de ESET, compañía especializada en antivirus y seguridad en Internet que acaba de presentar una alternativa al tradicional método de seguridad: las passkeys. Son un estándar del sector que los grandes nombres de la tecnología esperan que algún día sustituya a las contraseñas.
Reutilizar las mismas credenciales de inicio de sesión, fáciles de recordar en todas estas aplicaciones y sitios web, es uno de los errores más comunes. "Los intentos anteriores de mejorar o actualizar la experiencia y la seguridad de las contraseñas no han terminado de triunfar. Desarrollos como la autenticación de doble factor (2FA) contribuye significativamente a hacer más seguras las contraseñas, pero su adopción dista mucho de ser universal, ya que algunas personas consideran que el proceso de dos pasos es difícil de manejar", explica Josep Albors, director de Investigación y Concienciación de ESET España.
¿Pero cómo funcionan las passkeys? En primer lugar, aprovechan el poder de la criptografía de clave pública. Esta opción consiste en un par de claves criptográficas –una privada y otra pública– que se generan para proteger tu cuenta en un sitio web, una aplicación u otro servicio en línea. La clave privada se almacena en el dispositivo como una larga cadena de caracteres cifrados, mientras que la clave pública se carga en los servidores del servicio en línea correspondientes, por ejemplo, Google o incluso el sistema de gestión de contraseñas iCloud keychain de Apple.
Al iniciar sesión en la cuenta de Google desde el smartphone, Google genera una clave de acceso directamente. A continuación, cuando se intente acceder, se pide autentificar con el PIN, huella dactilar u otro mecanismo de bloqueo de pantalla del dispositivo. No hay necesidad de introducir o recordar ninguna contraseña, lo que inmediatamente hace que el proceso sea más seguro y fácil de usar. En el intento de inicio de sesión, el servidor envía un desafío criptográfico al dispositivo, pidiendo a la clave privada que lo resuelva y lo transmita de vuelta al servidor. Esta respuesta se utiliza para verificar que los pares de claves pública y privada coinciden, ya que ambos son necesarios para autenticarse.
"En ningún momento los datos biométricos salen del dispositivo, ni el servidor sabe cuál es la clave privada. De hecho, el usuario tampoco verá nunca la clave privada, ya que todo el mecanismo ocurre en segundo plano y sin exigir a penas esfuerzo", remarca Albors. Por tanto, cabe preguntarse si las passkeys son el "Santo Grial" de la facilidad de uso y la seguridad. La respuesta para Albors y ESET es que, como toda herramienta tecnológica, tiene sus ventajas y desventajas.
Si bien son resistentes a la suplantación de identidad y a la ingeniería social, evitan las consecuencias de una brecha de terceros, son fáciles de recordar y funcionan en varios dispositivos, existen algunos obstáculos que, en última instancia, impiden que por el momento las passkeys se adopten de manera masiva. El mayor inconveniente es la adopción por parte de la industria y la forma en que se sincronizan las passkeys.
Las passkeys sólo se sincronizan con dispositivos que ejecuten el mismo sistema operativo, ya que como se detallaba anteriormente, este tipo de claves se sincronizan por plataforma de sistema operativo. Eso significa que si se tiene un dispositivo iOS, pero también se usa Windows, por ejemplo, podría ser una experiencia un tanto frustrante, ya que se tendrían que escanear códigos QR y activar el Bluetooth para que las passkeys funcionaran en dispositivos con sistemas operativos diferentes. Esto hace que en realidad el proceso sea más complicado que la experiencia actual con las contraseñas.
"La adopción de este proceso de seguridad dista mucho de ser generalizada. Aunque algunas grandes empresas ya se han subido al carro, aún es pronto para hablar de un uso masivo", aclara Albors. Además de las grandes plataformas, se estima que todavía pasará algún tiempo antes de que la mayoría de sitios web y aplicaciones sean compatibles.
