Las grandes tecnológicas resetean el acceso al mundo digital
Los gigantes del sector tratan de minimizar las limitaciones de la biometría para crear un nuevo estándar de autenticación que ponga fin a las contraseñas, la puerta de entrada del 80% de los ataques cibernéticos
Seguro que en más de una ocasión ha intentado acceder a algún servicio online y ha sido incapaz de recordar la contraseña. Nos recomiendan que utilicemos combinaciones complejas, diferentes para cada una de nuestras cuentas, que las renovemos con cierta frecuencia… pero en una sociedad digital en la que estamos dados de alta en numerosas plataformas (correo electrónico, redes sociales, aplicaciones bancarias y un largo etcétera), la memorización de las credenciales se convierte en un auténtico quebradero de cabeza. En términos de seguridad, además, esta primera barrera entre los usuarios y los ciberdelincuentes es relativamente fácil de franquear si somos víctimas de un engaño e introducimos las claves en páginas web fraudulentas preparadas para robarlas. Este escenario que tanta incomodidad genera tiene los días contados o, al menos, eso es lo que pretenden las grandes tecnológicas, con Apple, Microsoft y Google a la cabeza, que el pasado mes de mayo oficializaron en un comunicado conjunto su apoyo a un estándar común de inicio de sesión sin contraseña.
Es cierto que desde hace años podemos conectarnos a determinados servicios mediante biometría, como la huella dactilar. El primer acceso requiere la introducción manual de usuario y contraseña, junto a un registro de la huella y, a partir de ese momento, el sistema recuerda el usuario y habilita como contraseña la huella. Sin embargo, los tres colosos estadounidenses quieren ir más allá y están liderando la transición hacia un mundo donde las claves sean un recuerdo del pasado en favor de otros métodos que incrementen las garantías al tiempo que simplifiquen la operativa para los internautas. Al igual que las principales empresas del sector y algunas agencias gubernamentales, las firmas mencionadas forman parte de la Alianza FIDO, creada en 2013 con el propósito de cambiar la autenticación online para hacerla más fácil y fiable frente a amenazas, ya que, según sus datos, las contraseñas constituyen el 80% de las brechas de seguridad que suceden en el mundo.
Filtración de claves
El problema que se han propuesto solucionar no es menor. Solo en nuestro país quedaron al descubierto 114 millones de contraseñas durante el año pasado o, lo que es lo mismo, 2,4 claves filtradas per cápita, lo que nos sitúa en un nivel de riesgo medio, según un informe elaborado por NordPass. El fenómeno, lejos de amainar, crece a ritmo alarmante: hay 921 ataques de contraseña cada segundo, casi el doble de frecuencia en los últimos doce meses, según los datos de registro de autenticación de Microsoft Azure Active Directory 2022, difundidos el pasado mayo. Los ‘hackers’ hacen negocio a costa de unos internautas que pecan de confiados. Una reciente encuesta de Acens, filial de Telefónica Tech, revela que el 93% de las personas usa la misma clave para acceder a diferentes servicios online, algo que multiplica los potenciales daños.
Para minimizar este tipo de incidentes, la mayoría de las plataformas online cuentan con la autenticación de doble factor, que añade una capa de seguridad extra. Existen varias opciones, siendo la más habitual el envío de un código al móvil por mensaje de texto. Este proceso, eso sí, tampoco está exento de peligros. «Si se produce la suplantación de la tarjeta SIM, por ejemplo, la notificación la recibe el que está intentando perpetrar el fraude», advierte Pere Blay Serrano, director del Máster en Ciberseguridad
de VIU-Universidad Internacional de Valencia.
Estándar FIDO
Los actores del sector tecnológico son conscientes y entienden que el siguiente paso es evolucionar a sistemas biométricos, como la huella dactilar o la cara. «No es una solución perfecta, pero se gana en seguridad respecto a lo anterior», resume, convencido de que el futuro de las contraseñas pasa por su desaparición: «Dado que la cantidad de bases de datos explotadas y las brechas de seguridad que sufren las empresas de servicios de internet van en aumento, la preocupación por el acceso seguro y la protección de los datos se está tomando más en serio, buscando alternativas para dificultar las cosas a los ciberdelincuentes».
Es ahí donde entra en juego el estándar FIDO, cuya diferencia respecto a los demás enfoques es que prescinde totalmente de las con
medios de confirmación, complementarios entre sí, para que el acceso se conceda solo y exclusivamente al usuario legítimo», agrega Machado. Todavía es pronto para saber cuál de las aproximaciones se adoptará a nivel masivo, pero sí está clara la apuesta por un estándar.
«Es esencial para garantizar una interoperabilidad que redunde en una mayor simplicidad para los departamentos de TI, flexibilidad para las organizaciones y una mejor experiencia de usuario. Desde Microsoft colaboramos en el desarrollo de estándares en este campo», asegura Machado. A favor de la Alianza FIDO juega también que entre sus miembros están las mayores tecnológicas del planeta y su carácter abierto. «Cualquiera se puede adherir y utilizarlo. Las empresas que están ahora dentro tendrán una ventaja inicial, pero como cualquiera se puede unir, va a ser
Apple, Microsoft y Google han mostrado, en un comunicado conjunto, su apoyo al estándar común FIDO
muy sencillo para los demás», apunta Eusebio Nieva, director técnico de Check Point Software para España y Portugal.
Más protección
Un mundo sin contraseñas traería consigo un refuerzo de la protección frente a las ciberamenazas. «Hay tres niveles de garantía de los autenticadores y se lograría el máximo, AAL3. Es un método antiphishing, de manera que nadie pueda asaltar al usuario para que meta una contraseña ni robarla», resalta Nieva. El sistema no es infalible, pero sí pone piedras en el camino de los ‘hackers’. «Las huellas o la cara son atacables, pero a día de hoy hacerlo es mucho más complicado que lanzar un ‘phishing’», sintetiza Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación de la Universidad Abierta de Cataluña (UOC). Los expertos
921
Son los ataques de contraseña producidos por segundo, casi el doble de frecuencia en los últimos doce meses, según los datos de registro de autenticación de Microsoft Azure Active Directory 2022, difundidos en mayo. Los ciberataques costarán ocho billones de dólares a nivel global en 2022 coinciden en que el sistema de contraseñas que ha dominado la red es ineficaz, por lo que celebran su reemplazo.
Las empresas del sector tienen claro que es una tendencia sin marcha atrás. «Desde Microsoft llevamos años hablando de que el futuro no tiene contraseñas», resaltan. Su responsable de Ciberseguridad en España sostiene que el 89% de las intrusiones en aplicaciones web implican algún tipo de abuso de credenciales, ya sea por su robo o por fuerza bruta. Por lo tanto, su absoluta eliminación facilita la vida al usuario, pone coto a los ataques basados en ingeniería social y lleva la seguridad un paso más allá.
Posibles contras
A pesar de que las fuentes aplauden el fin de las contraseñas, algunos expertos creen que hay aspectos que vigilar. Jordi Serra, de la UOC, alerta de que «si se produce un agujero de seguridad y se obtienen los datos, solo tenemos diez dedos y una cara. Así como las contraseñas son infinitas, en la biometría hay un límite». Josep Albors (ESET España) refrenda que al tener un sistema de identificación único, si se compromete, no podremos cambiar ese método: «Habría que ver qué soluciones se proponen». Blay Serrano, de la VIU, recuerda que no toda la población puede adquirir dispositivos con sensores o la potencia de procesador requerida para poner en marcha un reconocimiento facial, con lo cual la transición necesitará un tiempo hasta que esas tecnologías estén al alcance de todos los bolsillos. Escollos que no impedirán que el deseo de las tecnológicas se convierta en realidad en un corto plazo.
«En un periodo de dos a seis años nos habremos olvidado de las contraseñas», dice este último experto. No difiere de la estimación de Eusebio Nieva, de Check Point, que piensa que de aquí a cinco años habrá más de un 70% de los entornos con esta autenticación. Carlos Manchado, de Microsoft, uno de los ‘players’ que abandera la revolución, afirma que la adopción dependerá de la hoja de ruta de cada organización y su velocidad estará influenciada por el recrudecimiento de unos ataques que cada vez son más frecuentes y causan mayor impacto en las empresas. Aporta un dato: en 2022, los ciberataques supondrán un coste de ocho billones de dólares a nivel global. Un panorama preocupante que el sector quiere mejorar diciendo adiós a las contraseñas que nos han acompañado (y amargado) durante tantos años.