Qué son las passkey: el método que supera a las contraseñar tradicionales en seguridad
Google, Apple y Microsoft están apostando por esta nueva forma de autenticación que implica eliminar las contraseñas; pero, ¿sabés por qué y para qué sirven?
- 6 minutos de lectura'
Las contraseñas han sido importantes para nuestra seguridad en línea. Sin embargo, a pesar de su utilidad, presentan ciertas limitaciones como la dificultad para recordar sus múltiples combinaciones en distintas cuentas o su la vulnerabilidad ante los cibercriminales. En este contexto, las passkeys o claves de acceso emergen como una nueva forma de autenticación, ofreciendo una alternativa más sencilla y segura para proteger nuestra identidad online.
Google, que implementa esta tecnología desde 2022, reveló que las claves de acceso (o “passkeys”) han sido utilizadas para autenticar a los usuarios en más de mil millones de ocasiones, abarcando más de 400 millones de cuentas de Google. Y es que la empresa ha adoptado esta medida de seguridad como método predeterminado de inicio de sesión para sus usuarios. Pero no es la única, gigantes tecnológicos como Apple y Microsoft también están avanzando hacia la eliminación de las contraseñas tradicionales.
Ahora bien, adentrémonos en esta tecnología que se presenta como la más segura en comparación con las contraseñas tradicionales. Leandro Cuozzo, analista de seguridad de Kaspersky, respondió algunos interrogantes.
Qué es una passkey y cómo funciona
Se trata de una metodología de autenticación relativamente nueva, diseñada para sustituir las contraseñas, según explicó el especialista. Estas llaves permiten autenticar a los usuarios en sitios web o aplicaciones sin necesidad de utilizar contraseñas. ¿Cómo es esto posible? Las passkeys utilizan la criptografía asimétrica, que consiste en dos llaves: una pública y una privada. La primera es guardada por el sitio web o la aplicación, y la otra es guardada de manera segura en el dispositivo del usuario.
“Entonces la aplicación o el servicio nos envía un mensaje encriptado y nosotros como poseemos la clave privada podemos desencriptar y en ese momento se realiza la autenticación”, sostuvo Cuozzo.
Es decir, cuando deseas autenticarte, el sitio web envía un mensaje encriptado con la llave pública. Solo la llave privada, que vos posees, puede desencriptar ese mensaje. Y la manera de desbloquearlo es utilizando datos biométricos (como tu huella dactilar o reconocimiento facial) o un PIN. Este proceso desbloquea el “contenedor” donde se almacena tu llave privada.
“También está la opción de desbloqueo mediante llaves físicas como pendrives o USB sticks. En lugar de utilizar un PIN o datos biométricos, simplemente insertas el USB al momento del desbloqueo de la passkey y se te solicita presionarlo”, agregó el experto. De esta forma, solo vos podés acceder a tu cuenta, haciendo que el proceso sea más seguro y protegido contra hackers.
En qué se diferencian: passkey vs. contraseña
“Para el usuario final, usar passkey es mucho más sencillo”, señaló el analista de Kaspersky. Y es que con esta tecnología no pasamos por la tediosa tarea de recordar las contraseñas asociadas a nuestras cuentas, solo necesitamos los datos biométricos para acceder a los sitios.
Y sobre todo, lo más importante es su capacidad de brindar mayor seguridad cibernética. “Al no usarse contraseñas, no hay posibilidad de caer en estafas de phishing”, puntualizó Leandro. Además, cada passkey está asociada únicamente a un sitio, lo que impide ser víctima de esta modalidad de ciberataque, ya que los sitios fraudulentos no tendrán el mismo dominio que el sitio original.
A modo de ejemplo, el especialista señaló que “si intentas acceder a un sitio falso como ‘bancoequi.com’ en lugar del legítimo ‘banco.com’, el navegador no detectará ninguna passkey asociada. Y de esta manera, los atacantes no pueden robar la passkey”.
En cambio, con las contraseñas tradicionales, los usuarios deben recordar múltiples para diferentes servicios, lo que puede llevar a prácticas inseguras como reutilizar contraseñas. Estas son vulnerables a ataques de phishing, donde los atacantes crean sitios web falsos para robar credenciales, y a filtraciones, donde las bases de datos de contraseñas pueden ser hackeadas y expuestas.
Un ejemplo de ello es que Kaspersky detectó el año pasado en Perú “15 millones de ataques de phishing, lo que equivale a aproximadamente 40.000 ataques por día o unos 28 ataques por minuto”, detalló el especialista, quien agregó: “El año pasado también se filtraron unas 3.4 millones de credenciales, ubicando a Perú en el puesto global número 15 de los países más atacados”.
¿Fin de las contraseñas?
“Sabemos que las contraseñas van a morir, pero no sabemos cuándo. Sin embargo, ya el camino para reemplazarlas, comenzó”, respondió el experto en ciberseguridad. Él sostiene que Google, Microsoft y Apple consideran a las contraseñas como un problema de seguridad significativo, que a pesar de los intentos para mejorar su seguridad, continúan siendo una vulnerabilidad importante.
“Estas compañías están promoviendo enérgicamente las passkeys y otros métodos de autenticación sin contraseñas, conocidos como ‘passwordless’”, agregó.
Asimismo, Cuozzo señaló que para que las passkeys se adopten de manera generalizada, se deben abordar dos situaciones: una relacionada con las organizaciones y otra con los usuarios. En el caso de las organizaciones, las claves de acceso no pueden utilizarse en todos los casos, ya que son tecnologías de autenticación web que requieren servicios y aplicaciones basados en la web. Si un servicio no está basado en ella, las passkeys no podrán ser aplicadas, por lo que “requiere un esfuerzo en adaptar esos servicios para poder autenticarse a estos sistemas”.
Por otro lado, “por parte de los usuarios finales, también hay una combinación de desconocimiento de la tecnología y desconfianza. Muchos están habituados al uso de contraseñas o gestores de contraseñas (...) cosa que no es segura, yo lo desaconsejo totalmente”, comentó. Además, sostuvo que no toda la población cuenta con dispositivos capaces de soportar la identificación biométrica, como huellas dactilares o Face ID. Por lo tanto, tomará tiempo hasta que los usuarios adopten dispositivos más nuevos con estas tecnologías.
¿Las passkeys son invulnerables?
“Si alguien te dice que es una tecnología 100% segura, estaría faltando la verdad. Todas las tecnologías tienen algunas fallas, y si no las tienen en la forma en que fueron concebidas, pueden tener fallas en su implementación”, declaró Leandro Cuozzo.
El especialista señala que, por ahora, no hay ataques conocidos, pero probablemente surjan en el futuro, ya que los cibercriminales están enfocados en las nuevas tecnologías. Esto también depende del nivel de adopción, si las passkeys se vuelven las más utilizadas, los atacantes las estudiarán para vulnerarlas.