jueves, 10 de noviembre de 2022

Apple, Google y Microsoft se van a cargar las contraseñas y es lo mejor que puede ocurrir



El sistema FaceID de Apple. (Reuters/Edgar Su)



Antes de finales de año, varios navegadores funcionarán ya para todo el mundo con un nuevo sistema que no te pedirá ninguna clave para acceder a tu banco o tu 'e-mail'. Es el fin definitivo de las contraseñas



Se trata de una de las invenciones tecnológicas más antiguas y, tras muchos intentos por jubilarla, ahora sí está más cerca de desaparecer. La contraseña, ideada en los años 60 por el profesor del MIT de raíces españolas Fernando Corbató, es el sistema que seguimos usando décadas después para identificarnos a cada paso en internet. Una iniciativa impulsada por Apple, Google y Microsoft propone una alternativa radical: cargárselas. La idea, conocida como Passkey, lleva tiempo cociéndose, pero recientemente ha recibido un impulso extra que promete eliminar uno de los grandes engorros de nuestro día a día.

Imagina no tener que teclear una contraseña cada vez que entres en tu cuenta bancaria online, en tu e-mail o en multitud de servicios online, desde Amazon a tu factura mensual de la luz. Imagina no tener que recordar una docena de claves diferentes o arriesgar a que te hackeen si usas siempre la misma. Eso es justo lo que llevan proponiendo desde 2013 algunas de las grandes tecnológicas bajo la conocida como Fido Alliance. Hasta ahora, el avance ha sido escaso, pero cada vez más compañías se están subiendo al barco.

La última en hacerlo ha sido PayPal, que ya permite usar este sistema en EEUU (lo extenderá a Europa en 2023) cada vez que envíes o recibas un pago con tu iPhone. Google lo acaba de habilitar en las versiones de prueba de Chrome y Android, y se espera que antes de final de año ya esté disponible para todo el mundo en los principales navegadores y en iOS y Android.

"Hay que extirpar las contraseñas a toda costa. La adopción generalizada del Passkey va a tardar, pero todo lo que sea quitarle al usuario la posibilidad de liarla va a ser uno de los mayores beneficios de los últimos años", explica a este diario el especialista en Ciberseguridad Román Ramírez, exjefe de Arquitectura Tecnológica de Ferrovial durante una década. "Passkey no solo es más rápido y sencillo para el usuario, tiene también una criptografía robusta mucho más compleja de reventar".


placeholderEl ingeniero del MIT Fernando Corbató (julio de 1926-julio de 2019) 'padre' de la contraseña. (MIT)
El ingeniero del MIT Fernando Corbató (julio de 1926-julio de 2019) 'padre' de la contraseña. (MIT)

El funcionamiento de este sistema se basa en que el navegador que uses (Chrome, Firefox, Edge...) y el dispositivo con el que accedas a una web (móvil, portátil, tableta...) se comuniquen directamente de forma cifrada para identificarte. En lugar de obligarte a teclear una clave cada vez que entres en tu cuenta bancaria o en tu e-mail, el móvil o portátil almacenan una clave privada biométrica (tu cara, tu huella dactilar) que intercambian con la clave pública de la página que estás visitando. Lo hacen de forma automática y cifrada, es decir, la única manera de interceptar esa comunicación sería robándote el dispositivo y forzándote a identificarte con la cara o la huella. Es un sistema muy similar a las populares llaves externas físicas como Yubikey o Feitian, solo que, en lugar de esa llave, usas tu móvil o portátil. Y, más importante aún, supone la muerte definitiva de las contraseñas tal y como las conocemos. Y eso es una gran noticia.

"Esto va a suponer un verdadero antes y después en ciberseguridad. Primero, porque se han puesto de acuerdo ya muchas tecnológicas, empezando por las Big Tech. Y, segundo, porque está basado en estándares reales que ya existen y funcionan", explica Sergio de los Santos, jefe de Innovación y Laboratorio en la unidad de Ciberseguridad de Telefónica.

Para este experto, uno de los puntos fuertes de Passkey es que es resistente a los ataques de phishing con páginas web que parecen auténticas, pero no lo son, diseñadas para robarte tus datos personales o bancarios. El sistema actual para evitar esto, la autenticación en dos pasos, en el que introduces tu contraseña y un código enviado a tu móvil, es fácilmente manipulable. "Yo puedo crear una página exactamente igual a la de tu banco y redirigirte a la auténtica de forma automática para entrar y transferir todo tu dinero sin que te enteres. Eso ya se está haciendo para saltarse el segundo factor de autenticación. Con Passkey es imposible, el sistema solo funcionaría con la página real. Digamos que el ojo humano falla, no nos damos cuenta de que la web que visitamos es falsa; el software sí lo sabe", señala De los Santos.


placeholderFoto: Reuters.
Foto: Reuters.

Google y Microsoft ya han comenzado a practicar con una idea similar desde hace tiempo y permiten entrar en muchas páginas web con tu cuenta de Google o Microsoft, en lugar de tecleando cada vez la contraseña y nombre de usuario. Sin embargo, no se trata de una comunicación cifrada ni tampoco hay una clave privada almacenada en tu dispositivo. "Para el usuario será parecido, podrá ir navegando de web en web sin tener que meter claves, como si estuviera logueado siempre con Google, pero el sistema por debajo es mucho más seguro e infranqueable", explica Ramírez.

Si, para entendernos, tu dispositivo actúa de llave (clave privada) y la web que visitas de candado (clave pública), la pregunta del millón es qué ocurre si pierdes la llave, si pierdes o te roban el móvil. "Es la gran cuestión que aún está sobre la mesa. Yo siempre uso una llave Yubikey externa para identificarme, y hace poco se me rompió y no podía entrar en mis cuentas de Google. Fue un lío monumental, tuve que enviar copias de documentos, del DNI, etc. Al final, esto dependerá de cada empresa, que será la que decida qué tienes que aportar para demostrar que tú eres quien dice ser en caso de que pierdas o te roben el móvil o el portátil", dice Ramírez. Habrá que ver cómo se establece ese proceso de recuperación, pero la realidad es que las contraseñas están a punto de morir y nadie las va a echar de menos.




Por
Manuel Ángel Méndez
08/11/2022 - 05:00 Actualizado: 08/11/2022 - 15:54
Apple, Google y Microsoft se van a cargar las contraseñas y es lo mejor que puede ocurrir (elconfidencial.com)
www.elconfidencial.com/tecnologia/2022-11-08/contrasenas-passkeys-google-apple-microsoft-chrome-android_3516663/