Este contenido fue hecho con la asistencia de una inteligencia artificial y contó con la revisión del editor/periodista.
Las contraseñas son uno de los métodos de seguridad y autenticación más antiguos y más utilizados en el ámbito digital.
La autenticación en los entornos digitales es fundamental para identificar a los usuarios y resguardar sus datos. No obstante, ante la variedad de opciones de seguridad disponibles, el futuro vaticina un mundo sin contraseñas, apostando por las ‘passkeys’ o claves de acceso.
Las contraseñas, siendo uno de los métodos de seguridad y autenticación más antiguos y utilizados, son una clave secreta, conformada por una serie de caracteres, que permite a los usuarios identificarse para acceder a un sistema, servicio o dispositivo.
Si bien es una opción de seguridad fácil de usar, su sencillez también se convierte en una desventaja, ya que es uno de los principales blancos de múltiples métodos de ataque malicioso como el ‘phishing’, los ‘malwares’ o cualquier brecha de datos, que facilitan su robo o exposición, haciéndola inútil.
“Los atacantes emplean herramientas muy avanzadas, incluso con inteligencia artificial (IA) para adivinarlas o robarlas”, ha señalado el director técnico de Check Point Software para España y Portugal, Eusebio Nieva, en declaraciones a Europa Press.
A esto se suma que los usuarios cometen errores comunes con sus contraseñas, como utilizar claves débiles con combinaciones simples como ‘12345’, reutilizar la contraseña para varias cuentas o usar variantes obvias que, incluso, incorporan información personal.
Además, la mayoría de los usuarios no actualiza las contraseñas con regularidad e, inclusive, las comparte con otras personas. Esto hace que no sean suficientes por sí solas en el contexto actual, considerando la evolución de las ciberamenazas, que cada vez son más rápidas y eficaces.
Como resultado, cada vez es más fuerte la tendencia de dejar de utilizarlas y sustituirlas por otros servicios. Prueba de ello es que gigantes tecnológicos como Microsoft están eliminando este formato, que ha dejado de utilizar para las cuentas nuevas de los usuarios.
Por lo tanto, entran en juego otras opciones de autenticación y seguridad, tales como los gestores de contraseñas, las claves de acceso y la autenticación multifactor (MFA). “La dependencia exclusiva de contraseñas ya no es recomendable. Si bien aún están presentes en muchos sistemas, su eficacia como única medida de protección ha disminuido considerablemente debido al incremento en técnicas de robo de credenciales”, ha valorado Nieva.
Una opción de seguridad adicional son los gestores de contraseña, aplicaciones diseñadas para almacenar y administrar de forma segura las contraseñas de los usuarios. Así, funcionan como una especie de caja fuerte digital que está protegida por una única contraseña maestra.
Este sistema emplea cifrado de alto nivel y permite generar y almacenar credenciales únicas para cada sitio, disminuyendo el riesgo de reutilización. Esto lo convierte en un método “muy seguro”, ya que, incluso si alguien obtiene acceso a los archivos almacenados en sus servidores, “no podrá leer las contraseñas sin la clave adecuada”, explicó a Europa Press el investigador principal de Seguridad de Kaspersky, Marc Rivero.
Adicionalmente, Rivero ha subrayado que los gestores de contraseñas suelen operar con un modelo de cifrado de extremo a extremo, por lo que solo los usuarios tienen acceso a su contraseña maestra y no los servicios proveedores.
No obstante, tienen un punto débil, y es que su seguridad depende de que el usuario proteja la contraseña maestra, use una contraseña robusta y única, y se apoye en la autenticación de dos factores (2FA), especificó Rivero.
La 2FA es otro método de seguridad que exige dos formas de verificación para acceder a una cuenta. Es decir, además de la contraseña, el usuario tiene que proporcionar un segundo factor, como podría ser un código enviado al ‘smartphone’, una ‘app’ de autenticación o una huella digital. Según Rivero, “añade una capa adicional de protección” y hace que “la seguridad aumente significativamente”.
Otro método de protección disponible es la autenticación multifactor que, al igual que la autenticación 2FA, requiere dos o más factores de verificación para acceder a una cuenta.
Entre las diferentes opciones multifactor disponibles, las más confiables son, de mayor a menor solidez, las llaves o ‘tokens’ físicos, las aplicaciones de autenticación multifactor como Google Authenticator o Microsoft Authenticator y, por último, los mensajes enviados por SMS, tal y como detalla a Europa Press el director de Investigación y Concienciación de ESET España, Josep Albors.
En el caso de los SMS, Albors advirtió que es un método que “hace años se aconseja dejar de usar”. Esto se debe a que es un método que “resulta trivial” para los ciberdelincuentes, que interceptan cada vez con más facilidad el código en un dispositivo infectado, con técnicas como el ‘SIM Swapping’.
Asimismo, la MFA también presenta vulnerabilidades, como enfrentar ataques de ingeniería social para lograr que el usuario proporcione de manera voluntaria el código de autenticación a los ciberdelincuentes, recordó Albors, por ejemplo, con páginas web falsas.
Otra de las opciones más novedosas son las claves de acceso o ‘passkeys’, que emplean tecnologías como la biometría, esto es, la huella dactilar o el reconocimiento facial, así como un PIN local para verificar la identidad del usuario, eliminando la necesidad de utilizar contraseñas.
Tal y como explicó a este medio el director global de Operaciones de Consumo en Panda Security, Hervé Lambert, las ‘passkeys’ son en la actualidad “uno de los métodos más seguros para autenticarse” y se basan en la criptografía asimétrica, es decir, cuando el usuario tiene una clave privada almacenada de forma segura en su dispositivo y el servicio ‘online’ tiene la clave pública asociada. Esto las hace “inútiles” ante los ataques de phishing, “ya que no hay nada que robar visualmente”.
Como aspecto a tener en cuenta, este método aún no está implementado en todos los servicios ni navegadores y, además, depende de dispositivos compatibles y actualizados, señaló Lambert.
Ante tantas opciones de métodos de protección, conviene recordar cuándo es mejor utilizar cada servicio. Al respecto, el directivo de Panda Security subrayó que las contraseñas solo se deben emplear “cuando no haya otra alternativa”.
Cabe recordar que la contraseña ideal debe tener una longitud mínima de doce caracteres, utilizando números, letras mayúsculas y minúsculas y símbolos, para resistir un ataque de fuerza bruta de forma razonable.
La MFA, por su parte, es “imprescindible” en cuentas críticas como ’email’, redes sociales o banca ‘online’. No obstante, Lambert concluyó que las ‘passkeys’ son “ideales siempre que estén disponibles”, sobre todo para plataformas que ya las soportan (como Google o Apple), ya que son más seguras y fáciles de usar.
La tendencia más clara de cara al futuro de la autenticación digital es el abandono progresivo de las contraseñas, en favor de la adopción de métodos como las ‘passkeys’. Pero también están en auge tecnologías como la autenticación adaptativa, que analiza el contexto (ubicación, dispositivo, IP, comportamiento del usuario) para determinar si un acceso es legítimo y aplicar medidas adicionales si se detecta un riesgo, añadió Lambert.
A esto se suma “el uso creciente de IA para detectar patrones anómalos en tiempo real y aplicar autenticación adaptativa. Todo apunta hacia una autenticación más transparente para el usuario, pero más robusta y contextual para los sistemas”, valoró, por su parte, el directivo de CheckPoint, Eusebio Nieva.
Agregar Comentario