top of page

Apple, Google y Microsoft se acercan más a eliminar las contraseñas y el phishing



Por primera vez, después de muchos años de promesas sin cumplir, al fin se ve más cercana la posibilidad de un mundo sin contraseña y es que Apple, Microsoft y Google están a punto de poner a disposición del público una nueva alternativa viable sin contraseña en forma de un estándar adaptado permitiendo utilizar claves de acceso entre plataformas y servicios.


Anteriormente, los esquemas de autenticación sin contraseña sufrían de una serie de problemas y una de las principales deficiencias era la falta de un mecanismo viable de recuperación cuando alguien perdía el control de los números de teléfono o los tokens físicos y los teléfonos vinculados a una cuenta.


Otra limitación era que la mayoría de las soluciones no eran realmente sin contraseña. En su lugar, ofrecían a los usuarios la posibilidad de iniciar sesión con un escáner facial o una huella dactilar, pero estos sistemas acababan recurriendo a una contraseña, lo que significaba que la suplantación de identidad, la reutilización de contraseñas y el olvido de estas, todas las razones por las que el público odiaba las contraseñas, no desaparecían.


Nuevo enfoque


La diferencia esta vez es que Apple, Google y Microsoft parecen estar en sintonía y con una solución bien definida y además, más fácil que nunca para los usuarios y menos costosa de implementar para grandes servicios como Github y Facebook. Adicionalmente, ha sido cuidadosamente diseñada y revisada por expertos en autenticación y seguridad.


Hoy en día los métodos de autenticación multifactor por sus siglas en inglés (MFA) han hecho importantes avances en los últimos cinco años. Google, por ejemplo, permite descargar una aplicación para iOS o Android que utiliza el usuario como segundo factor al iniciar sesión en cuenta de Google desde un nuevo dispositivo. Basado en el protocolo CTAP (Autenticador para el Cliente, por sus siglas en inglés), este sistema utiliza Bluetooth para garantizar que el teléfono está cerca del nuevo dispositivo y que éste está, de hecho, conectado a Google y no a un sitio que se hace pasar por Google. Esto significa que es inviolable. La norma garantiza que el secreto criptográfico almacenado en el teléfono no puede ser extraído.


Google también ofrece un Programa de Protección Avanzada que requiere claves físicas en forma de adaptadores independientes o teléfonos de usuario final para autenticar los inicios de sesión desde nuevos dispositivos.


La gran limitación en este momento es que la MFA y la autenticación sin contraseña se despliegan de forma diferente (si es que lo hacen) por cada proveedor de servicios. Algunos proveedores, como la mayoría de los bancos y servicios financieros, siguen enviando contraseñas de un solo uso a través de mensajes de texto o correo electrónico. Al reconocer que no son medios seguros para transportar secretos sensibles a la seguridad, muchos servicios han pasado a un método conocido como TOTP (abreviatura en inglés de "time-based one-time password" o contraseña de un solo uso basado en el tiempo) para permitir la adición de un segundo factor, que efectivamente aumenta la contraseña.


Las claves de seguridad física, los TOTP y en menor medida, la autenticación de dos factores a través de mensajes de texto y correo electrónico representan un importante avance, pero siguen existiendo tres limitaciones fundamentales. En primer lugar, los TOTP generados a través de aplicaciones de autenticación y enviados por texto o correo electrónico son susceptibles de ser suplantados, al igual que las contraseñas normales. En segundo lugar, cada servicio tiene su propia plataforma cerrada de MFA. Esto significa que, incluso cuando se utilizan formas de MFA no sujeta a phishing (como las claves físicas independientes o las basadas en el teléfono) el usuario necesita una clave distinta para Google, Microsoft y cualquier otra propiedad de Internet. Para empeorar las cosas, cada plataforma de sistema operativo tiene diferentes mecanismos para implementar la MFA; ocasionando, que estos problemas den paso a un tercero: la pura inutilidad para la mayoría de los usuarios finales el costo y la complejidad no triviales a los que se enfrenta cada servicio al intentar ofrecer la MFA.

bottom of page