Este contenido fue hecho con la asistencia de una inteligencia artificial y contó con la revisión del editor/periodista.
MADRID, 15 Ago. (Portaltic/EP) –
La autenticación en entornos digitales es crucial para identificar a los usuarios y resguardar sus datos. Sin embargo, ante la diversidad de alternativas de seguridad, el futuro anticipa un mundo sin contraseñas, apostando por las ‘passkeys’ o llaves de acceso.
Las contraseñas son de los métodos de seguridad y autenticación más antiguos y empleados en el ámbito digital, esto es, una clave secreta compuesta por una serie de caracteres que permiten a los usuarios identificarse para acceder a un sistema, servicio o dispositivo.
A pesar de que es una alternativa de seguridad sencilla de usar, su simpleza también se vuelve una desventaja, ya que es uno de los principales objetivos de los múltiples métodos de ataque malicioso como el ‘phishing’, los ‘malwares’ o cualquier brecha de datos, que hacen que pueda ser robada o expuesta, volviéndose inútil.
“Los atacantes emplean herramientas muy avanzadas, incluso con inteligencia artificial (IA) para adivinarlas o robarlas”, ha indicado el director técnico de Check Point Software para España y Portugal, Eusebio Nieva en declaraciones a Europa Press.
A esto se añade que los usuarios cometen errores comunes con sus contraseñas, como usar claves débiles con combinaciones simples como ‘12345’, reutilizar la contraseña para varias cuentas o usar variantes obvias que, incluso, incorporan información personal.
Además, la mayoría de los usuarios no actualizan las contraseñas con regularidad e, incluso, las comparten con otras personas. Esto hace que no sean suficientes por sí solas en el contexto actual, considerando la evolución de las ciberamenazas, que cada vez son más rápidas y eficaces.
Como resultado, cada vez es más fuerte la tendencia a dejar de usarlas e intercambiarlas por otros servicios. Prueba de ello es que gigantes tecnológicos como Microsoft están eliminando este formato, que ha dejado de usar para las cuentas nuevas de los usuarios.
Por tanto, entran en juego otras opciones de autenticación y seguridad como son los gestores de contraseñas, las claves de acceso y la autenticación multifactor (MFA). “La dependencia exclusiva de contraseñas ya no es recomendable. Aunque aún están presentes en muchos sistemas, su eficacia como única medida de protección ha disminuido considerablemente debido al incremento en técnicas de robo de credenciales”, ha valorado Nieva.
Una alternativa de seguridad adicional son los gestores de contraseñas, aplicaciones pensadas para almacenar y gestionar de forma segura las contraseñas de los usuarios. Así, funcionan como una especie de caja fuerte digital que está protegida por una única contraseña maestra.
Este sistema emplea cifrado de alto nivel y permite generar y almacenar credenciales únicas para cada sitio, reduciendo el riesgo de reutilización. Esto lo hace un método “muy seguro”, ya que, incluso si alguien obtiene acceso a los archivos almacenados en sus servidores, “no podrá leer las contraseñas sin la clave adecuada”, ha explicado a Europa Press el investigador principal de Seguridad de Kaspersky, Marc Rivero.
Además, Rivero ha resaltado que los gestores de contraseñas suelen operar con un modelo de cifrado de extremo a extremo, por lo que solo los usuarios tienen acceso a su contraseña maestra y no los servicios proveedores.
Sin embargo, tienen un punto débil, y es que su seguridad depende de que el usuario proteja la contraseña maestra, use una contraseña fuerte y única y tenga como apoyo la autenticación de dos factores (2FA), ha especificado Rivero.
La 2FA es otro método de seguridad que necesita dos formas de verificación para acceder a una cuenta. Es decir, además de la contraseña, el usuario debe proporcionar un segundo factor, como puede ser un código enviado al ‘smartphone’, una ‘app’ de autenticación o una huella digital. Según Rivero, “añade una capa adicional de protección” y hace que “la seguridad aumente significativamente”.
Otro método de protección disponible es la autenticación multifactor que, al igual que la autenticación 2FA, requiere dos o más factores de verificación para acceder a una cuenta.
Entre las varias opciones de multifactor disponibles, las más fiables son, de mayor a menor robustez, las llaves o ‘tokens’ físicos, las aplicaciones de autenticación multifactor como puede ser Google Authenticator o Microsoft Authenticator y, por último, los mensajes enviados por SMS, según ha detallado a Europa Press el director de Investigación y Concienciación de ESET España, Josep Albors.
En el caso de los SMS, Albors ha advertido de que es un método que “hace años que se aconseja dejar de usar”. Esto se debe a que es un método que “resulta trivial” para los ciberdelincuentes, que cada vez interceptan de forma más sencilla el código en un dispositivo infectado, con técnicas como el ‘SIM Swapping’.
Asimismo, la MFA también presenta vulnerabilidades, como enfrentarse a ataques de ingeniería social para lograr que el usuario proporcione voluntariamente el código de autenticación a los ciberdelincuentes, ha recordado Albors, por ejemplo, con páginas web falsas.
Otra de las alternativas más novedosas son las llaves de acceso o ‘passkeys’, que emplean tecnologías como la biometría, esto es, la huella dactilar o el reconocimiento facial, así como un PIN local para verificar la identidad del usuario, eliminando la necesidad de usar contraseñas.
Como ha explicado a este medio el director global de Operaciones de Consumo en Panda Security, Hervé Lambert, las ‘passkeys’ son actualmente “uno de los métodos más seguros para autenticarse” y se basan en la criptografía asimétrica, esto es, cuando el usuario tiene una clave privada guardada de forma segura en su dispositivo y el servicio ‘online’ tiene la clave pública asociada. Esto las hace “inútiles” ante los ataques de phishing, “ya que no hay nada que robar visualmente”.
Por poner algún pero, este método aún no está implementado en todos los servicios ni navegadores y, además, depende de dispositivos compatibles y actualizados, ha apuntado Lambert.
Ante tanta opción de método de protección, es oportuno recordar cuándo es mejor usar cada servicio. Al respecto, el directivo de Panda Security ha subrayado que las contraseñas solo se deben usar “cuando no haya otra alternativa”.
Cabe recordar que la contraseña ideal debe tener una longitud mínima de doce caracteres, empleando números, letras mayúsculas y minúsculas y símbolos, para resistir un ataque de fuerza bruta de forma razonable.
La MFA, por su parte, es “imprescindible” en cuentas críticas como ’email’, redes sociales o banca ‘online’. Sin embargo, Lambert ha concluido que las ‘passkeys’ son “ideales siempre que estén disponibles”, especialmente para plataformas que ya las soportan (como Google o Apple), ya que son más seguras y fáciles de usar.
La tendencia más clara de cara al futuro de la autenticación digital es el abandono paulatino de las contraseñas, en favor de la adopción de métodos como las ‘passkeys’. Pero también están en auge tecnologías como la autenticación adaptativa, que analiza el contexto (ubicación, dispositivo, IP, comportamiento del usuario) para determinar si un acceso es legítimo y aplicar medidas adicionales si se detecta un riesgo, ha añadido Lambert.
A esto se le suma “el uso creciente de IA para detectar patrones anómalos en tiempo real y aplicar autenticación adaptativa. Todo apunta hacia una autenticación más transparente para el usuario, pero más robusta y contextual para los sistemas”, ha valorado, por su parte, el directivo de CheckPoint, Eusebio Nieva.
Agregar Comentario