Google va a ayudar a los españoles a dejar de ser unos torpes e ingenuos con su contraseñas cuando se meten en internet, gracias a su inciciativa en la creación de claves de acceso o Passkeys. Esto nos va a venir bien en un país, España, el tercer país más ciberatacado, en el que las contraseñas más usadas en 2023 son, todavía y a pesar de los constantes hackeos, phishings y fraudes, «12345», «123456», «123456789», «111111», «000000», «barcelona», «666666», «password», «tequiero», «realmadrid», «holahola» o «tuputamadre».
Cabe recordar que el tiempo que el ciber crimen emplea en descifrar cualquiera de ellas es inferior a un segundo, y que si usamos la misma para varias cuentas o accesos, si nos la vulneran en una sola, acceden a todas. A escala global, se incumplen 207 cuentas por cada 100 personas en promedio según un informe de la empresa de ciberseguridad Surfshark. Sin embargo, en España este número sube a 385 por cada 100 personas. Estadísticamente hablando, un español promedio se ha visto afectado por violaciones de datos alrededor de 4 veces, asegura el informe.
las Passkeys; son claves de acceso que reemplazan de manera más segura a las contraseñas y el resto de factores de autentificación; no se pueden reutilizar, no se filtran y protegen deL phishing
A mediados del pasado año Google, Apple y Microsoft anunciaron que se aliaban para acabar con las contraseñas, esas que nos nos gusta recordar, o las más simples muy expuestas a las filtraciones. Las gigantes tecnológicas presentaban su propuesta, las Passkeys; son claves de acceso que reemplazan de manera más segura a las contraseñas y el resto de factores de autentificación, porque no se pueden reutilizar, no se filtran y protegen a los usuarios de los ataques de phishing, por ejemplo. El 12 de octubre de 2022 Google anunció que ya empezaban a estar en marcha en Android y Chrome.
LAS NUEVAS CLAVES DE ACCESO
Se trata de un nuevo estándar de inicio de sesión creado por la Alianza FIDO (Fast IDentity Online) que permitirá a personas de todo el mundo ingresar a un «futuro sin contraseña». Un año después, y a partir del pasado 10 de octubre, Google ha anunciado que nos podemos registrar para obtener claves de acceso utilizando el mensaje «omitir contraseña cuando sea posible» en nuestra cuenta de Google.
Las claves de acceso son una nueva función en PCs y teléfonos móviles que nos permiten iniciar sesión de forma segura en nuestras cuentas en la web, mediante el uso de datos biométricos como una huella digital o un escaneo facial, o un PIN de bloqueo de pantalla. Se trata de claves cifradas a partir de criptografía que usan los dispositivos como llaves de seguridad. «Ya no tendrá que recordar contraseñas para cada una de sus cuentas en aplicaciones y sitios web: las claves de acceso se encargan de completar de forma segura la autenticación con un servicio en su nombre», nos dice Google casi con entusiasmo.
Una clave de acceso es una credencial FIDO que funciona mediante criptografía de clave pública y la prueba de que posee la credencial solo se muestra en nuestra cuenta online cuando desbloqueamos nuestro teléfono. Para iniciar sesión en un sitio web o aplicación solo tendremos que desbloquear nuestro teléfono, y nuestra cuenta ya no necesitará una contraseña. Si intentamos iniciar sesión en nuestro ordenador, bastará con tener cerca nuestro smartphone, que deberemos desbloquear, y ya tendremos acceso al pc o el portátil.
Es un poco parecido a lo que ocurre ahora cuando los bancos te piden la doble autenticación para operar, y sin tu teléfono al lado, o si lo tienes sin batería, no puedes hacer nada, ni pagar con la tarjeta de crédito o débito, ni ordenar una transferencia… nada. Se necesitan los dos dispositivos.
Según el buscador, se trata de un futuro más seguro, pero que plantea dudas. Para ello, uno de us expertos en seguridad, Christiaan Brand, se ha pasado un año investigando en qué puede fallar todo este nuevo sistema de identificación que nos recuerda a los planteados por los guionistas de la saga «Misión imposible». En opinión de Brand, las claves de acceso van a reemplazar a las contraseñas y a la torpeza de los españoles, e incluso van a acabar con las «curitas que la industria ha diseñado para compensar el hecho de que las contraseñas son tan vulnerables», como las preguntas de seguridad sobre nuestra mascota de niños, por ejemplo.
GOOGLE EXPLICA EL NUEVO SISTEMA
También apuntan desde el gigante de Cupertino que desaparecerán la autenticación multifactor, los mensajes SMS o las aplicaciones de autenticación, como el mismo Google Authenticator. El nuevo sistema será 40% más rápido que las contraseñas tradicionales. A partir de ahora, en los ajustes de Google aparecerá la opción «saltrar contraseña cuando sea posible», por lo que ya no será necesario ingresar los molestos elementos alfanuméricos de siempre.
A partir de que se generalice su utilización, una persona tiene la clave privada correspondiente en su dispositivo. La parte criptográfica de esto es que el sitio web puede confirmar que el dispositivo del usuario (que los datos biométricos confirman que está en su poder) tiene la clave de acceso. Debido a la criptografía, el servidor nunca aprende cuál es realmente la clave de acceso del usuario. Es la innovación de la confianza cero. «Ésa es la magia de la criptografía de clave pública. Puede validarte sin saber nada de ti. Simplemente confirma que eres quien dices ser», explican desde el buscador.
Con este «invento» de seguridad, las grandes tecnológicas han querido evitar el robo de contraseñas, saltarse la autenticación, que es imperfecta y requiere mucho tiempo para los usuarios
Parece que el teléfono móvil va a ser clave para que el sistema funcione. Autentican que se está en posesión de nuestro dispositivo y que somos nosotros quienes accedemos a nuestra cuenta. Si otra persona tiene nuestro teléfono no podrá hacer nada con él porque no tiene nuestro rostro o nuestra huella. No obstante, se pueden tener claves de acceso en varios dispositivos compartidos, por ejemplo, con la familia.
Con este «invento» de seguridad, las grandes tecnológicas han querido evitar el robo de contraseñas, saltarse la autenticación, que es imperfecta y requiere mucho tiempo para los usuarios, y esperan conseguir que, en el futuro, los niños recuerden los «intentos de phishing» como si fueran teatro de aficionados. Quien sabe si para entonces, los ciberdelincuentes traficanrán con huellas y caras flasas creadas en granjas de creación de parámetros biométricos creados con siliconas o nuevos materiales por descubrir. Siempre donde hay ley, acaba por haber trampa.
La iniciativa forma parte de un proyecto de la Alianza FIDO, un consorcio de diferentes grandes empresas de tecnología, agencias gubernamentales y proveedores de servicios, cuyo fin es acabar con las contraseñas. En ella también participan Microsoft y Apple, las cuales ya han ejecutado sus propias maneras de abordar el inicio de sesión sin contraseñas. En Windows, por ejemplo, se utiliza la app Microsoft Authenticator en el dispositivo, mientras que Apple permite desbloquear la Mac o el iPhone con el Apple Watch.
En definitiva, las contraseñas a menudo son el eslabón más débil de una estrategia de seguridad, pues dificulta que los usuarios las recuerden y, en consecuencia, opten por unas más simples y fáciles de recordar. Todos tendemos a reutilizar nuestras contraseñas, lo que debilita considerablemente la cadena de protección, y más cuando utilizamos sistemas y servicios que no demandan el uso de contraseñas robustas, lo que las hace muy fáciles de ser deducidas. Claramente, las contraseñas es un componente que próximamente va a desaparecer, aunque será todavía a largo plazo. Hay avanzar en su uso masivo y concientizar al usuario final de su efectividad.
