Las contraseñas son un asco. Son difíciles de recordar, pero peor aún es jugar a adivinar los códigos de tus cuentas más importantes. Ahí es donde entran en juego las passkeys. En los últimos dos años, la llamada «guerra contra las contraseñas» ha despegado contra titanes como Google, Microsoft y Apple impulsando un futuro sin contraseñas que la Alianza FIDO, un consorcio creado para «ayudar a reducir la excesiva dependencia mundial de las contraseñas», lleva más de una década intentando hacer realidad.
Te guste o no, en algún momento se te pedirá que crees una passkey, y es probable que ya lo hayas hecho. Eso es bueno, ya que las claves de acceso no solo son mucho más fáciles de usar que una contraseña tradicional, sino que también son mucho más seguras. Aquí tienes todo lo que necesitas saber sobre su uso.
¿Qué es una contraseña?
Las passkeys ofrecen una forma de confirmar que eres quien dices ser sin tener que recordar una contraseña larga y complicada, y de una manera que es resistente a los ataques comunes a las contraseñas como el phishing y los ataques de diccionario. «Las passkeys están pensadas para sustituir por completo a las contraseñas y a las formas obsoletas de autenticación de dos factores», explica a WIRED Andrew Shikiar, director ejecutivo y CEO de la Alianza FIDO. Representan un avance poco habitual en ciberseguridad; no solo son más fáciles de usar que los métodos anteriores, sino también más seguras.
eBay vía Jacob Roach
Conceptualmente, las passkeys pueden adoptar muchas formas, pero lo más habitual es que interactúes con ellas en un dispositivo propio. Por ejemplo, imagina que quieres acceder a tu cuenta de Google en un dispositivo nuevo. En lugar de introducir una contraseña, una clave de acceso te permite acceder a tu cuenta con un dispositivo que ya hayas verificado. Puedes utilizar tu teléfono como passkey, lo que te permitirá acceder a tu cuenta de Google de forma instantánea sin tener que introducir nunca una contraseña. Las mejores implementaciones de passkeys ni siquiera necesitan un nombre de usuario.
Las passkeys resultan más seguras y prácticas que las contraseñas porque funcionan de una forma fundamentalmente distinta. En el mundo de la ciberseguridad, las contraseñas son lo que se llama un «secreto compartido». Tú conoces el secreto y el servicio al que te conectas también. El problema es que tienes que recordar ese secreto y no lo controlas totalmente, ya que tienes que compartirlo con el servicio que estés utilizando. Una filtración de datos y un poco de tiempo de descifrado es todo lo que se necesita para acabar con una cuenta comprometida, y ni siquiera has hecho nada malo.
Las passkeys utilizan criptografía de clave pública. En lugar de hacer coincidir un secreto compartido, la criptografía de clave pública funciona haciendo coincidir un par de claves: una clave pública que cualquiera puede ver y una clave privada a la que solo tú tienes acceso. Es más segura porque solo tú tienes acceso a tu clave privada, y es más fácil porque esa clave está vinculada a algún dispositivo de tu propiedad y suele estar protegida con datos biométricos.
Los partidos contrarios al oficialismo aseguran que esta legislación representa una amenaza para la privacidad y una vía para legalizar el espionaje gubernamental.
¿Las passkeys son seguras?
Las passkeys son seguras, incluso más que una contraseña larga y aleatoria. Cuando inicias sesión con una contraseña, envías un puñado de información al servicio al que te estás conectando, incluida tu clave pública, que se almacena como una representación de ti como usuario. Esta información por sí sola no hace nada.
En el dispositivo donde creaste la passkey, tendrás que participar en un «desafío» para desbloquear tu clave privada, normalmente alguna forma de autenticación biométrica. Si tienes éxito, se firma y se envía de vuelta al servicio al que intentas acceder. A continuación, se coteja con la clave pública y, si coincide, se te da acceso. Lo más importante es que esta autenticación se realiza en tu dispositivo, no en un servidor lejano.
Con una contraseña, un atacante tiene muchas posibilidades de robarla. Las filtraciones de datos pueden sacar a la luz tu contraseña, e incluso si está encriptada, puede ser descifrada. Los esquemas de phishing son un vector de ataque fácil para los hackers que buscan robar contraseñas. Además, si utilizas un servicio con prácticas de seguridad poco seguras, tu contraseña podría quedar expuesta como texto plano en una brecha; hay docenas y docenas de ejemplos de que esto ya ha ocurrido antes.
Claves de acceso frente a 2FA y MFA
Las passkeys son complicadas porque van en contra de las convenciones de seguridad que existen desde hace años, es decir, la autenticación de dos factores (2FA) o la autenticación multifactor (MFA). Aunque no es necesario introducir un código de texto o copiar algo de una aplicación de autenticación, las passkeys utilizan intrínsecamente la autenticación multifactor. Simplemente ocurre tan rápido que es fácil pasarlo por alto.
MFA consiste en añadir capas adicionales de protección más allá de tu contraseña. En lugar de tu contraseña, necesitas esta y un código que te envíen por SMS. Las passkeys ya funcionan así. Tienes que hacer coincidir el par de claves pública-privada, pero también tienes que autenticar que tienes acceso a esa passkey, normalmente con datos biométricos. No se trata de «algo que sabes y algo que posees», como suele describirse la 2FA, pero siguen siendo dos capas de autenticación.
DERECHOS DE AUTOR
Esta información pertenece a su autor original y fue recopilada del sitio https://es.wired.com/articulos/como-funcionan-las-passkeys-y-como-utilizarlas
