En el futuro, no habrá contraseñas, porque sigues regalando las tuyas

Alex Weinert, director of identity security at Microsoft, says the company sees more than 1,000 password attacks per second in its systems.
Microsoft y otros cientos de empresas tecnológicas están colaborando para cerrar este agujero del tamaño de un camión en la seguridad de Internet haciendo algo contrario a la intuición: Para la mayoría de nosotros, en la mayoría de las circunstancias, proponen eliminar las contraseñas por completo. FOTO: CHONA KASINGER/ BLOOMBERG NEWS

La capacidad de tu smartphone para escanear tu cara y leer tu huella digital son la clave para mejorar la seguridad en línea. Esta es una de las razones por las que los lectores biométricos se están abriendo paso en los computadores portátiles, de sobremesa y en una gran variedad de otros dispositivos.


Las contraseñas han sido durante mucho tiempo el eje de la maquinaria que protege nuestras cuentas en línea. Sin embargo, cada vez más se consideran un eslabón débil, que algunas empresas quieren eliminar por completo.

Seguir los consejos actuales sobre cómo iniciar sesión de forma segura en nuestras cuentas puede ser como intentar estar al día de cuántas hojas tiene la última maquinilla de afeitar desechable. Las orientaciones han cambiado a lo largo de los años, desde contraseñas sencillas y memorizables hasta cadenas impronunciables de caracteres personalizadas para cada cuenta y almacenadas en gestores de contraseñas. Más recientemente, se nos ha advertido de que cada inicio de sesión necesita una segunda prueba de identidad, conocida como autenticación de dos factores (o de dos pasos), normalmente un número enviado por mensaje de texto o correo electrónico.

Ahora está claro -antes de que la mayoría de la gente haya empezado a utilizar la autenticación de dos pasos- que incluso eso no es más que otro obstáculo para los hackers que quieren entrar en nuestras cuentas personales y de trabajo. Incluso los piratas informáticos relativamente poco sofisticados pueden arrendar sistemas por horas que superan estas defensas. Según un informe de la empresa de ciberseguridad Group-IB, uno de estos ataques provocó el robo de las credenciales de acceso de casi 10.000 personas en 130 organizaciones este verano, a pesar de que esas cuentas estaban protegidas por la autenticación de dos factores.

Hace poco escribí sobre cómo las grandes empresas tecnológicas están adoptando enfoques de seguridad de “confianza cero”, y estas tendencias están relacionadas. Las empresas y sus redes ya no pueden confiar en que, cuando introducimos nuestra contraseña y el código de dos pasos, seamos quienes decimos ser.

Esto se debe, en parte, a que los seres humanos son confiados -incluso crédulos- y a que los esfuerzos por explotar ese rasgo aumentan constantemente. El número de sitios web únicos utilizados para los llamados ataques de ‘phishing’, diseñados para engañar a las personas para que revelen sus contraseñas, alcanzó un máximo histórico en el segundo trimestre de 2022, superando el millón de sitios, según un informe del Anti-Phishing Working Group, una organización sin fines de lucro de la industria tecnológica. Esta cifra cuadruplica el número de dominios únicos utilizados en ataques de phishing a principios de 2020.

Medido de otra manera: “Ahora estamos viendo más de 1.000 ataques a contraseñas por segundo en nuestros sistemas”, comentó Alex Weinert, director de seguridad de identidad en Microsoft.

Por eso, Microsoft, Apple, Amazon, Google y otros cientos de empresas tecnológicas están colaborando para cerrar este agujero del tamaño de un camión en la seguridad de Internet, haciendo algo contrario a la intuición: Para la mayoría de nosotros, en la mayoría de las circunstancias, proponen eliminar las contraseñas por completo.

Lo que significa realmente “sin contraseña”

Los sistemas de inicio de sesión que se basan en información legible para el ser humano -contraseñas, códigos push y similares- son todos pirateables, independientemente de la cantidad de información secreta que utilicemos para asegurarlos o de la gran empresa tecnológica que sea responsable, dijo Ofer Maor, director de tecnología y cofundador de la empresa de respuesta a incidentes de ciberseguridad Mitiga.

“En los últimos meses, todo lo que nos llegó comenzó con una elusión de la autenticación de dos factores”, aseguró Maor. Empresas grandes o pequeñas, “no importa, todas caen en los mismos ataques adversary-in-the-middle y push-fatigue”.

Adversary-in-the-middle es la jerga del sector para referirse a los ataques de phishing que engañan a los usuarios para que introduzcan su contraseña y un segundo factor -como un código enviado a través de una alerta push o un mensaje de texto- en un sitio web falso que parece real. Y la fatiga push es lo que ocurrió en el reciente hackeo de Uber Technologies. Un contratista con acceso a los sistemas de Uber se cansó de recibir spam de alertas push que solicitaban autorización para acceder a una cuenta, y finalmente aprobó una.

Ahora bien, en un sistema sin contraseña, las cosas son diferentes. No se transmite ninguna información legible para el ser humano entre ningún dispositivo e Internet. Toda la comunicación está encriptada. Tu identidad se verifica cuando tu dispositivo -por ejemplo, un smartphone- envía un código de un solo uso que sólo ese teléfono podría haber generado. De este modo, tu dispositivo se convierte en tu contraseña.

La razón por la que nadie puede robar tu teléfono y entrar en tus cuentas es, por supuesto, que está protegido con algún tipo de biometría, como tu cara o tu huella digital. Esta es una de las razones por las que los lectores biométricos se están abriendo paso en los computadores portátiles, de sobremesa y en una gran variedad de otros dispositivos.

Un sistema de este tipo elimina la posibilidad de un ataque de suplantación de identidad, explicó Andrew Shikiar, director ejecutivo de la Alianza FIDO, abreviatura de “Fast Identity Online”. Lo hace eliminando por completo el eslabón débil -el humano- del proceso de inicio de sesión. La Alianza FIDO, un grupo de empresas de tecnología de consumo, lleva más de una década colaborando en sistemas de inicio de sesión sin contraseña -en realidad, basados en dispositivos-. Miembros de la Alianza como Apple, Google y Microsoft afirman que están a punto de implantarlos en el mundo real.

“Lo bueno de FIDO es que es la primera vez que, según tengo entendido, partimos de la idea de cómo debe funcionar la autenticación en el mundo de la nube”, afirmó Weinert, de Microsoft. “La gente que ha trabajado en el estándar, que procede de muchas empresas, ha reflexionado sobre lo que significa hacerla inofensiva e imposible de adivinar”, agregó.

La autenticación basada en dispositivos que puede eliminar las contraseñas no es nueva. Desde hace más de una década, algunas empresas con sistemas especialmente seguros, hacen que los usuarios conecten un dispositivo basado en USB a sus computadores de trabajo, que no se conectarían a las redes corporativas o gubernamentales sin ellos. Aun así, sólo el 16% de las empresas ofrece a sus empleados la opción de iniciar sesión sin contraseña, según un informe de principios de este año de Hypr, que vende este tipo de sistemas.

Okta Chief Executive Todd McKinnon says the ubiquity of biometric sensors in our devices now makes the broad rollout of passwordless systems possible.
El director ejecutivo de Okta, Todd McKinnon, afirma que la omnipresencia de los sensores biométricos en nuestros dispositivos hace posible ahora el amplio despliegue de sistemas sin contraseña. FOTO: DAVID PAUL MORRIS/BLOOMBERG NEWS

Lo que está haciendo posible el amplio despliegue de los sistemas sin contraseña es, principalmente, que los sensores biométricos que pueden reconocernos se han vuelto casi omnipresentes, indicó Todd McKinnon, director general de la empresa de gestión de identidades Okta.

“Hace diez años no tenías Touch ID, ni Face ID, ni Windows Hello”, añadió Okta. “Hace diez años tenías una cosa rara que conectabas a la entrada USB. ¿Va a usar eso un usuario normal?”, sostuvo.

Además, todos llevamos en todo momento dispositivos capaces de realizar los cálculos criptográficos necesarios para establecer una conexión segura con los sistemas de Internet, dijo Maor, de Mitiga. La combinación de ambos -dispositivos siempre a mano y biometría para acceder fácilmente a ellos- hace que los sistemas de inicio de sesión sin contraseña no sólo sean posibles, sino convenientes, aseguró.

De la autenticación de dos factores a la de cualquier factor

Dependiendo del grado de seguridad que una organización quiera dar a sus sistemas, un inicio de sesión “sin contraseña” puede ser sólo el comienzo de un proceso que puede implicar, bueno, contraseñas. En varios puntos del proceso de inicio de sesión -empezando por el desbloqueo del propio celular- es posible pedir a los usuarios un PIN o una contraseña, o analizar su ubicación, para asegurarse de que no están intentando iniciar sesión desde un lugar que no tendría sentido para esa persona. También es posible analizar las acciones de un usuario para asegurarse de que no se está comportando de forma extraña, por ejemplo, intentando acceder a cosas que normalmente no haría.

Una de las razones por las que las organizaciones pueden hacer todo esto es para determinar si una persona está siendo coaccionada para acceder a su cuenta. Otra es que, a veces, los empleados se vuelven rebeldes, y un sistema de inicio de sesión puede formar parte de la neutralización de una amenaza interna. Por ello, Microsoft ya realiza análisis de comportamiento de los más de 100.000 millones de eventos de inicio de sesión diarios que manejan sus sistemas, explicó Weinert.

Alex Weinert, director of identity security at Microsoft, says the company sees more than 1,000 password attacks per second in its systems.
Alex Weinert, director de seguridad de identidades de Microsoft, afirma que la empresa ve más de 1.000 ataques a contraseñas por segundo en sus sistemas. FOTO: CHONA KASINGER/BLOOMBERG NEWS

Que en el futuro las empresas tengan que añadir más pasos de autenticación a cualquier proceso de inicio de sesión dependerá de la rapidez con la que los hackers informáticos descubran cómo derrotar estos nuevos sistemas de inicio de sesión más fuertes y sin contraseña. “Algunos de mis colegas, que son grandes fanáticos de la seguridad, escuchan a las empresas hablar de la autenticación de tres factores, de cuatro factores, etc.”, comentó Shikiar, de la FIDO Alliance. Pero lo que más importa, por ahora, es que la autenticación basada en dispositivos es mucho más segura que los sistemas actuales basados en contraseñas.

Pero los sistemas sin contraseña también crearán nuevos tipos de inconvenientes. Por ejemplo, ¿cómo se recupera una contraseña perdida si nunca se tuvo una, en primer lugar? Si este proceso es demasiado difícil, los empleados pueden quedar bloqueados en sus cuentas y no poder hacer su trabajo.

Por otro lado, si un proceso de recuperación de cuentas es demasiado fácil, puede convertirse en otra forma de hackear los sistemas. Muchas empresas están descubriendo que sus procesos de entrega de credenciales, en primer lugar son débiles, advirtió Weinert. “Para muchas empresas, se trata de llamar al servicio de asistencia y decir que es la persona”, agregó. Esto abre la posibilidad de que los atacantes puedan eludir incluso el sistema más seguro de inicio de sesión sin contraseña, simplemente convenciendo a un humano o a algún otro sistema para que inscriba sus propios dispositivos en el sistema de la empresa, sin necesidad de robar las credenciales.

La Alianza FIDO acaba de presentar su propuesta para agilizar el proceso por el que un dispositivo se convierte en el medio de inicio de sesión de una persona, lo que podría ayudar a frustrar esos ataques, comentó Shikiar. Esta propuesta consiste en automatizar la verificación de las imágenes de los documentos de identidad del gobierno, pero es sólo un primer paso. Si los hackers ya no pueden entrar por la puerta principal, por así decirlo, los intentos de entrar a través de los sistemas de recuperación de cuentas podrían convertirse en su próximo objetivo.

Maor, por su parte, cree que los sistemas de inicio de sesión sin contraseña son mejores que los que tenemos ahora, pero que el ingenio y la motivación de los hackers no tienen fondo. Por eso, los sistemas actuales de inicio de sesión “sin contraseña” podrían llevarnos algún día al punto de partida, introduciendo más secretos que sólo nosotros conocemos, es decir, las contraseñas.

“Llevo casi 30 años dedicándome a esto y la realidad es que en casi todas las soluciones que ideamos, el equilibrio entre seguridad y usabilidad hace que los hackers puedan entrar”, concluyó Maor.

Comenta

Por favor, inicia sesión en La Tercera para acceder a los comentarios.