La autenticación en los entornos digitales es esencial para identificar a los usuarios y mantener protegidos sus datos, sin embargo, ante la variedad de opciones de seguridad disponibles, el futuro augura un mundo sin contraseñas que apuesta por las ‘passkeys’o claves de acceso.

Las contraseñas son uno de los métodos de seguridad y autenticación más antiguos y más utilizados en el entorno digital, esto es, una clave secreta compuesta por una serie de caracteres que permiten a los usuarios identificarse para acceder a un sistema, servicio o dispositivo.

A pesar de que se trata de una opción de seguridad fácil de usar, su sencillez también se convierte en una desventaja, ya que es uno de los principales objetivos para los múltiples métodos de ataque malicioso como el ‘phishing’, los ‘malwares’ o cualquier brecha de datos, que hacen que pueda ser robada o expuesta, volviéndose inservible.

«Los atacantes utilizan herramientas muy avanzadas, incluso con inteligencia artificial (IA) para adivinarlas o robarlas», ha apuntado el director técnico de Check Point Software para España y Portugal, Eusebio Nieva en declaraciones a Europa Press.

A esto se le suma que los usuarios cometen errores comunes con sus contraseñas, como utilizar claves débiles con combinaciones simples como ‘12345’, reutilizar la contraseña para varias cuentas o utilizar variantes obvias que, incluso, incorporan información personal.

Además, la mayoría de los usuarios no actualiza las contraseñas con regularidad e, incluso, las comparte con otras personas. Esto hace que no sean suficientes por sí mismas en el contexto actual, teniendo en cuenta la evolución de las ciberamenazas, que cada vez son más rápidas y eficaces.

Como resultado, cada vez es más fuerte la tendencia de dejar de utilizarlas e intercambiarlas por otros servicios. Prueba de ello es que gigantes tecnológicos como Microsoft están eliminando este formato, que ha dejado de utilizar para las cuentas nuevas de los usuarios.

Por tanto, entran en juego otras opciones de autenticación y seguridad como son los gestores de contraseñas, las claves de acceso y la autenticación multifactor (MFA). «La dependencia exclusiva de contraseñas ya no es recomendable. Si bien aún están presentes en muchos sistemas, su eficacia como única medida de protección ha disminuido considerablemente debido al incremento en técnicas de robo de credenciales», ha valorado Nieva.

HIGIENE DIGITAL: GESTORES DE CONTRASEÑA Y AUTENTICACIÓN MULTIFACTOR

Una opción de seguridad adicional son los gestores de contraseña, aplicaciones ideadas para almacenar y gestionar de forma segura las contraseñas de los usuarios. Así, funcionan como una especie de caja fuerte digital que está protegida por una única contraseña maestra.

Este sistema utiliza cifrado de alto nivel y permite generar y almacenar credenciales únicas para cada sitio, reduciendo el riesgo de reutilización. Esto lo hace un método «muy seguro», ya que, incluso si alguien obtiene acceso a los archivos almacenados en sus servidores, «no podrá leer las contraseñas sin la clave adecuada», ha explicado a Europa Press el investigador principal de Seguridad de kaspersky, Marc Rivero.

Además, Rivero ha subrayado que los gestores de contraseñas suelen operar con un modelo de cifrado de extremo a extremo, por lo que solo los usuarios tienen acceso a su contraseña maestra y no los servicios proveedores.

Sin embargo, tienen un punto débil, y es que su seguridad depende de que el usuario proteja la contraseña maestra, utilice una contraseña fuerte y única y tenga como apoyo la autenticación de dos factores (2FA), ha especificado Rivero.

La 2FA es otro método de seguridad que requiere dos formas de verificación para acceder a una cuenta. Es decir, además de la contraseña, el usuario tiene que proporcionar un segundo factor, como puede ser un código enviado al ‘smartphone’, una ‘app’ de autenticación o una huella digital. Según Rivero, «añade una capa adicional de protección» y hace que «la seguridad aumente significativamente».

Otro método de protección disponible es la autenticación multifactor que, al igual que la autenticación 2FA, requiere dos o más factores de verificación para acceder a una cuenta.

Entre las diversas opciones de multifactor disponibles, las más fiables son, de mayor a menor robustez, las llaves o ‘tokens’ físicos, las aplicaciones de autenticación multifactor como puede ser Google Authenticator o Microsoft Authenticator y, por último, los mensajes enviados por SMS, según ha detallado a Europa Press el director de Investigación y Concienciación de ESET España, Josep Albors.

En el caso de los SMS, Albors ha advertido de que es un método que «hace años que se aconseja dejar de usar». Esto se debe a que es un método que «resulta trivial» para los ciberdelincuentes, que cada vez interceptan de forma más sencilla el código en un dispositivo infectado, con técnicas como el ‘SIM Swapping’.

Asimismo, la MFA también presenta vulnerabilidades, como enfrentarse a ataques de ingeniería social para conseguir que el usuario proporcione voluntariamente el código de autenticación a los ciberdelincuentes, ha recordado Albors, por ejemplo, con páginas web falsas.

UN PASO MÁS EN LA SEGURIDAD CON LAS ‘PASSKEYS’

Otra de las opciones más novedosas son las calves de acceso o ‘passkeys’, que utilizan tecnologías como la biometría, esto es, la huella dactilar o el reconocimiento facial, así como un PIN local para verificar la identidad del usuario, eliminando la necesidad de usar contraseñas.

Como ha explicado a este medio el director global de Operaciones de Consumo en Panda Security, Hervé Lambert, las ‘passkeys’ son actualmente «uno de los métodos más seguros para autenticarse» y se basan en la criptografía asimétrica, esto es, cuando el usuario tiene una clave privada almacenada de forma segura en su dispositivo y el servicio ‘online’ tiene la clave pública asociada. Esto las hace «inútiles» ante los ataques de phishing, «ya que no hay nada que robar visualmente».

Por poner algún pero, este método aún no está implementado en todos los servicios ni navegadores y, además, depende de dispositivos compatibles y actualizados, ha apuntado Lambert.

CUÁNDO UTILIZAR CADA MÉTODO: ‘PASSKEYS’ VS CONTRASEÑAS

Ante tanta opción de método de protección, conviene recordar cuándo es mejor utilizar cada servicio. Al respecto, el directivo de Panda Security ha subrayado que las contraseñas solo se deben usar «cuando no haya otra alternativa».

Cabe recordar que la contraseña ideal debe tener una longitud mínima de doce caracteres, utilizando números, letras mayúsculas y minúsculas y símbolos, para resistir un ataque de fuerza bruta de forma razonable.

La MFA, por su parte, es «imprescindible» en cuentas críticas como ‘email’, redes sociales o banca ‘online’. Sin embargo, Lambert ha concluido que las ‘passkeys’ son «ideales siempre que estén disponibles», especialmente para plataformas que ya las soportan (como Google o Apple), ya que son más seguras y fáciles de usar.

UN FUTURO SIN CONTRASEÑAS

La tendencia más clara de cara al futuro de la autenticación digital es el abandono progresivo de las contraseñas, en favor de la adopción de métodos como las ‘passkeys’. Pero también están en auge tecnologías como la autenticación adaptativa, que analiza contexto (ubicación, dispositivo, IP, comportamiento del usuario) para determinar si un acceso es legítimo y aplicar medidas adicionales si se detecta un riesgo, ha añadido Lambert.

A esto se le suma «el uso creciente de IA para detectar patrones anómalos en tiempo real y aplicar autenticación adaptativa. Todo apunta hacia una autenticación más transparente para el usuario, pero más robusta y contextual para los sistemas», ha valorado, por su parte, el directivo de CheckPoint, Eusebio Nieva.