¿Podremos decir pronto adiós a las contraseñas?

Por Federico Dios, Pre-sales Senior Manager de Akamai Technologies

Federico Dios

 

¿Quién no se ha pasado un buen rato frente al ordenador pensando qué contraseña inventar para una nueva aplicación y al final ha terminado poniendo la de siempre?

Las contraseñas son una verdadera pesadilla para la vida de los usuarios y los equipos de seguridad. A pesar de que los expertos en seguridad nos han alertado miles de veces sobre no usar 123456 como contraseña, utilizar diferentes contraseñas para cuentas personales y profesionales, implementar reglas aún más rigurosas e invertir en herramientas de administración de contraseñas, estas combinaciones facilonas de letras, números y caracteres especiales permanecen y son un objetivo atractivo para los atacantes. Pero ahora, podríamos estar muy cerca de la extinción de las contraseñas tal como las conocemos para pasar a la autenticación sin contraseña.

Muchos de nosotros ahora estamos familiarizados con los conceptos relacionados con la autenticación multifactor, que generalmente involucra al menos dos de tres factores: algo que sabes (contraseña), algo que eres (huella digital u otro factor biométrico), algo que tienes (teléfono móvil u otro dispositivo físico).

La primera siempre ha sido la opción predeterminada: el primer método que utiliza cualquier desarrollador de aplicaciones o administrador de TI para permitir el acceso. Las contraseñas son algo con lo que nos sentimos familiarizados, aunque no porque nos gusten. Son vistos como un mal necesario. ¿A cuántas personas realmente les gusta usar, recordar y crear nuevas contraseñas todos los días? Considere los cientos de servicios que usamos y las redes a las que accedemos, o cuántos existen que tenemos bajo control y necesitamos administrar.

Recientemente verifiqué las contraseñas almacenadas en mi aplicación de administrador de contraseñas y conté 223 inicios de sesión diferentes para aplicaciones relacionadas con el trabajo, los viajes y las redes sociales. Entre ellos hay credenciales para servicios tales como los clubs de fidelidad de las compañías aéreas, mi proveedor de telefonía móvil, los detalles de mi nómina, servicios financieros, entre otros.

Pero si uso un administrador de contraseñas, donde todas las contraseñas son complejas y únicas, es de esperar que sean relativamente seguras. De lo contrario, existiría el peligro de que la contraseña que utilizo para la aplicación para pedir comida a domicilio sea la misma que la del proveedor de mi nómina, bróker de bolsa o correo electrónico corporativo. Si ese fuera el caso, entonces existiría un riesgo real de que, si una de esas credenciales queda expuesta, el resto de las cuentas con la misma contraseña estarán en riesgo. Sin embargo, los administradores de contraseñas, por muy efectivos que sean, nunca serán aceptados por la población en general, ya que muchos usuarios difícilmente verán el beneficio. También pueden ser bastante engorrosos y complicados para los usuarios menos expertos en tecnología.

El robo de credenciales es cada vez más frecuente, especialmente desde que se impuso el confinamiento en la mayoría de los países y más personas han estado trabajando desde casa, utilizando Internet con más frecuencia que antes para muchos servicios como compra online de comida, entretener a los niños con pelis en el ordenador, comprar ropa o regalos a través de plataformas online o cualquier otra cosa. Tanto es así que en haveibeenpwned.com, una web famosa donde se publican credenciales robadas para que los usuarios legítimos puedan verificar si sus credenciales han sido expuestas, ahora enumera casi 11.5 mil millones de cuentas. Cuando te das cuenta de que el número de usuarios de Internet es sólo de poco más de 4.5 mil millones, eso significa que se han expuesto alrededor de dos credenciales y media por cada usuario del planeta.

Los ciberdelincuentes saben que somos pésimos con las contraseñas, por lo que pueden difundir estas contraseñas en sitios web de todo el mundo con la esperanza de encontrar alguna que funcione. Si piensan en el hecho de que la tasa de éxito puede llegar al 1%, es evidente que se trata de una forma eficaz de comprometer cuentas en todo el mundo.

Es por eso por lo que los otros dos elementos -algo que tienes, algo que eres- se utilizan cada vez más para verificar a los usuarios que inician sesión con solo una contraseña. Es posible que reciba un mensaje de texto o un correo electrónico para verificar quién dice ser. Pero, de nuevo, este es un paso adicional engorroso por el que muchos servicios online no quieren hacer pasar a sus clientes: copiar y pegar un código de un SMS en un sitio web, que es la aspiración del propietario del sitio para garantizar una experiencia de usuario positiva.

Si queremos una buena experiencia de usuario para nuestros usuarios, ¿por qué seguimos solicitando contraseñas? Aparte de que son omnipresentes, conocemos los robos y los riesgos. En su lugar, podríamos usar uno de los otros dos factores: cuando entra en un sitio web en el que tiene una cuenta, se enviará una notificación a su teléfono móvil que solo necesita reconocer. No es necesario recordar una contraseña, y se incluye en la categoría "algo que tienes". Si requerimos que el reconocimiento sea una huella digital, entonces tenemos autenticación de dos factores: "algo que tienes" y "algo que eres". Esto funcionaría en aplicaciones web y aplicaciones móviles sin diferenciación.

La accesibilidad es, a menudo, un obstáculo importante cuando implementamos métodos alternativos a las contraseñas, pero éstas en sí mismas, y todas las páginas de restablecimiento / captcha que se utilizan a su alrededor, siempre se han considerado poco accesibles. Con una parte importante de la población afectada por la dislexia, por ejemplo, está claro que la posición actual de la contraseña está lejos de ser la ideal.

El reconocimiento facial, el escaneo de huellas dactilares o el reconocimiento de voz son todas alternativas que se pueden utilizar en lugar de una contraseña. Sin embargo, si alguno de estos elementos fuera comprometido de alguna forma, es difícil reemplazarlos y por ello los controles biométricos no se usan de forma extensa como alternativa a las contraseñas. La pandemia actual ha acelerado muchas tecnologías en los últimos 18 meses que hacen nuestras vidas más fáciles y seguras, como por ejemplo el increíble avance en sistemas de identificación a través de imagen que son capaces de determinar si se trata de una foto o de una persona, si se corresponde con el momento actual o es un vídeo, si se trata de un vídeo manipulado, entre otras cosas.

Si valoramos las alternativas de múltiple factor, ya disponemos de soluciones de última generación que implementan los mecanismos de autenticación FIDO2, acercándonos aún más a un escenario completamente passwordless.

Teniendo en cuenta que los métodos llamados passwordless han evolucionado mucho en este último tiempo, ¿por qué seguimos conviviendo con las contraseñas?