As¨ª est¨¢n trabajando los gigantes tecnol¨®gicos para librarnos de las contrase?as

En los ¨²ltimos a?os, se ha producido un aumento alarmante de la cantidad de contrase?as que una persona debe recordar. Mientras que los empleados de peque?as y medianas empresas llegan a usar hasta 85 claves, seg¨²n un informe de Lastpass, los de grandes compa?¨ªas utilizan unas 25 de media. ...

En los ¨²ltimos a?os, se ha producido un aumento alarmante de la cantidad de contrase?as que una persona debe recordar. Mientras que los empleados de peque?as y medianas empresas llegan a usar hasta 85 claves, seg¨²n un informe de Lastpass, los de grandes compa?¨ªas utilizan unas 25 de media. Gigantes tecnol¨®gicos como Apple y Google intentan desarrollar soluciones para que los usuarios no tengan que memorizar todas estas credenciales y cerciorarse de que sean seguras. Pero, ?desaparecer¨¢n realmente las contrase?as tal y como las conocemos hoy en d¨ªa?

Con su ¨²ltimo sistema operativo para el iPhone, Apple ha estrenado las llaves de acceso. O, en palabras de la compa?¨ªa, ¡°un reemplazo de las contrase?as¡±. ¡°Son m¨¢s r¨¢pidas para iniciar sesi¨®n, m¨¢s f¨¢ciles de usar y mucho m¨¢s seguras¡±, se?ala la empresa. Este nuevo sistema permite al usuario acceder a cualquier aplicaci¨®n o servicio mediante Face ID o Touch ID ¡ªlos sistemas de reconocimiento facial y de identificaci¨®n por huella dactilar de Apple¡ª. Es decir, sin introducir ninguna clave a mano.

Entre las ventajas de las llaves de acceso, Apple menciona que son m¨¢s resistentes al phishing (una t¨¦cnica para hacerse con los datos personales y bancarios de un usuario haci¨¦ndose pasar por una empresa o instituci¨®n que conoce). Josep Albors, director de investigaci¨®n y concienciaci¨®n de ESET Espa?a, considera que este sistema es m¨¢s seguro que las contrase?as tradicionales. ¡°Evita que introduzcamos nuestras credenciales en sitios fraudulentos preparados para robarlas, ya que la identificaci¨®n como usuarios es gestionada de forma cifrada punto a punto entre nuestro dispositivo y el servicio online al que queramos acceder¡±, se?ala.

?C¨®mo funcionan las llaves de acceso de Apple?

Cuando el usuario crea una de estas llaves de acceso, el sistema operativo genera un par de claves criptogr¨¢ficas ¨²nicas para asociarlas con una cuenta de la aplicaci¨®n o el sitio web. Garrett Davidson, ingeniero del equipo de experiencia de autenticaci¨®n de la compa?¨ªa, explica que una de estas claves es p¨²blica y se almacena en los servidores de Apple, mientras que la otra es secreta y permanece en su dispositivo en todo momento. ¡°El servidor nunca aprende cu¨¢l es tu clave privada y tus dispositivos la mantienen segura¡±, afirma.

Despu¨¦s, cuando el usuario intenta iniciar sesi¨®n en una de sus cuentas, el sitio web o el servidor de la aplicaci¨®n le env¨ªan un ¡°desaf¨ªo¡± al dispositivo. La clave privada es la ¨²nica que puede resolverlo. La clave p¨²blica se usa despu¨¦s para verificar si la soluci¨®n es v¨¢lida, pero no puede descifrar el desaf¨ªo por s¨ª misma. ¡°Esto significa que el servidor puede estar seguro de que tiene la clave privada correcta, sin saber cu¨¢l es realmente la clave privada¡±, explica Davidson.

Las llaves de acceso se encriptan y se sincronizan en todos los dispositivos de Apple mediante el llavero de iCloud. Si se utiliza un dispositivo que no es compatible con este sistema de almacenamiento en la nube, se genera un c¨®digo QR que habr¨ªa que escanear con el iPhone. Aunque este m¨¦todo de inicio de sesi¨®n a priori parece bastante prometedor, en la actualidad no todas las aplicaciones lo admiten.

Los problemas de las claves tradicionales

Acabar con las contrase?as es uno de los principales desaf¨ªos de las grandes tecnol¨®gicas para solventar algunos problemas de seguridad en la web. La alianza FIDO, que tiene como objetivo abandonar las credenciales tradicionales, involucra a compa?¨ªas como Apple, Google y Microsoft. La propuesta de Microsoft, seg¨²n Albors, es muy efectiva al sustituir las contrase?as por c¨®digos num¨¦ricos que se generan mediante una app instalada en el m¨®vil, ¡°aunque la de Apple gana respecto a comodidad y experiencia de usuario¡±. La compa?¨ªa de Mountain View tambi¨¦n lleva preparando ¡°el escenario para un futuro sin contrase?as durante m¨¢s de una d¨¦cada¡±.

Entre las desventajas de las credenciales tradicionales, Fernando Su¨¢rez, presidente del Consejo General de Colegios Oficiales de Ingenier¨ªa en Inform¨¢tica (CCII), se?ala que los usuarios deben generar una para cada servicio ¡ªo al menos, eso es lo recomendable¡ª y memorizarla o guardarla en un gestor de claves. Pero no siempre lo hacen. Una encuesta de Google indica que el 13% de los estadounidenses usa la misma clave para todas sus cuentas y el 52%, para varios servicios (aunque no para todos).

A ello se suma que las claves m¨¢s utilizadas son ¡°las m¨¢s sencillas¡±: de ¡°123456¡å a ¡°qwerty¡± pasando por ¡°password¡± (contrase?a, en espa?ol), ¡°111111¡åo ¡°i love you¡± (te quiero, en espa?ol), seg¨²n recoge el gestor de credenciales Nordpass. ¡°Sustituirlas por sistemas biom¨¦tricos, basados en caracter¨ªsticas f¨ªsicas propias de cada individuo, permite autenticar su identidad de un modo r¨¢pido y confiable¡±, afirma Su¨¢rez.

Nuria Andr¨¦s, estratega de ciberseguridad en Proofpoint para Espa?a y Portugal, se?ala que las contrase?as conforman una primera barrera cr¨ªtica entre el usuario, el atacante y un ciberataque exitoso. ¡°Incluso en el mejor de los escenarios, en el que una persona accede a un servicio web con una contrase?a ¨²nica y bastante segura, es posible lanzar un ataque dirigido que revele esas claves y las deje en manos de ciberdelincuentes¡±, se?ala.

Las limitaciones de un mundo sin contrase?as

Frente al potencial de las llaves de acceso de Apple para acabar con algunos problemas de seguridad de las contrase?as, a¨²n es pronto para valorar sus posibles limitaciones. ¡°A bote pronto, uno de los problemas inherentes de los sistemas de autenticaci¨®n que utilizan la identificaci¨®n biom¨¦trica es que esta no puede ser cambiada¡±, comenta Albors. Esta es la desventaja de utilizar algo que posees de forma ¨²nica, como la cara o las huellas dactilares, frente a algo que conoces, como las contrase?as. Adem¨¢s, el experto se?ala que, en casos excepcionales, alguien podr¨ªa acceder a la cuenta de un usuario si es capaz de realizar la identificaci¨®n facial. Un equipo de investigadores de la Universidad de Tel Aviv en Israel afirma haber descubierto la forma de eludir un gran porcentaje de los sistemas de reconocimiento facial.

Su¨¢rez le encuentra dos posibles desventajas al nuevo sistema de Apple. Para empezar, los sistemas biom¨¦tricos no son infalibles. ¡°Es necesaria una contrase?a o un PIN para usar de forma alternativa en el caso de que la biometr¨ªa no funcione por una rotura de la c¨¢mara o cualquier otra causa¡±, comenta. Adem¨¢s, ¡°al almacenar la clave privada en el propio dispositivo, si lo perdemos, el acceso a los servicios basado en esta tecnolog¨ªa no es inmediato¡±.

?El fin de las contrase?as?

Pese a que desde hace a?os varias compa?¨ªas han anunciado la desaparici¨®n de las contrase?as tradicionales, a¨²n hoy es una promesa sin cumplir. Jordi Serra, profesor de los Estudios de Inform¨¢tica, Multimedia y Telecomunicaci¨®n de la Universidad Abierta de Catalu?a (UOC), coincide en que la propuesta de Apple no est¨¢ a¨²n suficientemente implementada. ¡°Es un paso m¨¢s adelante para poder quitar las contrase?as a corto plazo, pero a¨²n pasar¨¢ un tiempo para que estos sistemas se hagan m¨¢s utilizables y seguros¡±, afirma.

M¨¢s de la mitad de los especialistas en tecnolog¨ªas de la informaci¨®n desear¨ªan proteger sus cuentas mediante un m¨¦todo alternativo a las contrase?as y consideran que el uso de sistemas biom¨¦tricos incrementar¨ªa la seguridad de sus organizaciones, seg¨²n un informe del Instituto Ponemon. Albors cree que las credenciales tradicionales van a desaparecer inevitablemente porque son ineficaces para proteger la autenticaci¨®n debido a la gran cantidad de servicios online y la tendencia de los usuarios a generar claves f¨¢ciles y reutilizarlas. El cu¨¢ndo a¨²n es una inc¨®gnita: ¡°Aunque esta fecha cada vez se encuentra m¨¢s cerca, depende de la aceptaci¨®n de las diferentes soluciones que actualmente se ofrecen¡±.

Puedes seguir a EL PA?S TECNOLOG?A en Facebook y Twitter o apuntarte aqu¨ª para recibir nuestra newsletter semanal.