Passkeys, las llaves de acceso resistentes al phishing
Por Sergio Muniz, vicepresidente de Ventas para Gestión de Acceso e Identidad de Thales Latinoamérica.
Mientras celebramos el Mes de la Concientización sobre Ciberseguridad 2024 con el tema ‘Aseguremos nuestro mundo’, es crucial explorar tecnologías innovadoras para ayudarnos a lograr este objetivo. Uno de los avances que está revolucionando la seguridad en línea y la autenticación de usuarios son las passkeys. Estas claves de acceso representan significativamente un salto hacia la creación de un panorama digital más seguro, alineándose perfectamente con la misión de proteger nuestro mundo. Al aprovechar técnicas criptográficas y autenticación biométrica, las passkeys ofrecen una alternativa más robusta y fácil de usar que las contraseñas tradicionales, abordando muchas vulnerabilidades que durante mucho tiempo han resultado un problema para nuestras cuentas en línea.
En este blog, profundizaremos en la forma en que funcionan las passkeys, sus beneficios y por qué son una herramienta esencial en nuestro esfuerzo colectivo para construir un futuro digital más seguro para todos.
Phishing, una epidemia creciente 2024
El phishing es eficaz porque capitaliza la psicología humana, explotando sesgos y comportamientos naturales en lugar de enfocarse en debilidades tecnológicas. También es popular porque un intento exitoso de phishing puede proporcionar a los criminales acceso a las redes empresariales, lo que puede resultar en violaciones de datos y pérdidas financieras.
A pesar de los esfuerzos continuos para aumentar la concienciación, estos ataques explotan con éxito nuestros sesgos y prejuicios para eludir los sistemas de seguridad tradicionales basados en contraseñas. Convencen a las personas de proporcionar información confidencial, como contraseñas o inicios de sesión, haciéndose pasar por entidades de confianza, convirtiendo las contraseñas en el eslabón más débil de la cadena de ciberseguridad. Veamos algunas estadísticas:
- En el primer trimeste de 2024, se detectaron más de 963 mil sitios exclusivos de phishing a nivel mundial.
- En el 2023, el IC3 recibió un número record de quejas en EE.UU., 880,418 quejas y pérdidas potenciales superiores a $12.5 mil millones.
- El Informe Global de Amenazas de Datos 2024 reveló que el error humano sigue siendo la principal causa de las violaciones de datos, con el 31% de las empresas identificando esto como la causa raíz.
No es sorpresa que el Mes de la Concientización sobre Ciberseguridad de este año aliente a todas las personas y usuarios a estar atentas al phishing. La educación aquí tiene un papel importante, pero adoptar mecanismos de autenticación más fuertes y resistentes al phishing como las passkeys, pueden ser aún más efectivas para prevenir esta plaga.
¿Cómo funcionan las passkeys?
Las passkeys fueron diseñadas para eliminar las debilidades que pueden tener las contraseñas. Proporcionan inicios de sesión más rápidos, fáciles y seguros en sitios web y aplicaciones, y son resistentes al phishing.
Están basadas en el Fast Identity Online (FIDO) estándar, con un par de claves criptográficas (claves pública y privada) que autentican a los usuarios sin poner en riesgo datos sensibles como contraseñas en esquemas de phishing. De hecho, eliminan por completo la necesidad de contraseñas.
A diferencia de las contraseñas, que pueden ser fácilmente robadas, las passkeys nunca abandonan el dispositivo del usuario y no pueden ser interceptadas por hackers. Son un gran salto hacia la autenticación sin contraseñas, aumentando la seguridad en entidades del sector público y privado.
Las passkeys también mejoran la autenticación multifactor (MFA). La MFA requiere que los usuarios proporcionen dos o más formas de verificación; las passkeys simplifican el proceso al integrar datos biométricos o un PIN con autenticación criptográfica.
Tipos de Passkeys: Sincronizadas y Vinculadas al Dispositivo
A pesar de que ambas proporcionan resistencia al phishing, funcionan de manera diferente en términos de seguridad y experiencia del usuario.
- Passkeys Sincronizadas: Estas se almacenan en la nube y pueden sincronizarse en múltiples dispositivos. Tecnologías como Apple, Google y Microsoft cuentan con passkeys sincronizadas parmejorar la experiencia del usuario. Estas pueden transferirse fácilmente entre dispositivos para que los usuarios puedan iniciar sesión con un PIN o un biométrico (huella digital o reconocimiento facial). Son recomendadas para uso personal, permitiendo a los usuarios acceder a cuentas desde diferentes dispositivos sin problemas.
- Passkeys Vinculadas al Dispositivo: Estas se vinculan a un dispositivo específico y nunca lo abandonan. Haciéndolas más seguras que las passkeys sincronizadas, ya que la clave privada permanece protegida contra amenazas externas como ataques en la nube. A veces vienen en forma de claves de seguridad de hardware, como tokens USB o tarjetas inteligentes, que requieren el dispositivo físico para autenticar. Son particularmente útiles para empresas con altos requisitos de seguridad, ya que proporcionan una capa adicional de protección contra el phishing y los ataques de intermediarios.
¿Cuál es la passkey adecuada para tu negocio?
Las passkeys sincronizadas son convenientes para cuentas personales y uso diario, y passkeys de acceso vinculadas al dispositivo son más adecuadas para empresas que priorizan la seguridad. Las empresas que manejan datos sensibles o aquellas sujetas a requisitos estrictos de cumplimiento deberían optar por passkeys vinculadas al dispositivo para prevenir el phishing, ataques de intermediarios y otros tipos de robo de identidad. Cuando la conveniencia es la prioridad, passkeys sincronizadas son ideales para aplicaciones o servicios internos que no manejan información crítica.
El impulso hacia una autenticación más fuerte
A medida que los ataques de phishing se vuelven más sofisticados, los gobiernos y reguladores abogan por medidas de seguridad más robustas. En la Unión Europea, el Reglamento General de Protección de Datos (GDPR) exige a las empresas a implementar medidas de seguridad, que la MFA y passkeys abordan de manera integral.
De manera similar, la Orden Ejecutiva 14028 ha dirigido el uso de MFA resistente al phishing en los Estados Unidos, solicitando explícitamente soluciones basadas en FIDO. Este impulso regulatorio ha hecho que la demanda de passkeys se dispare, particularmente en industrias altamente reguladas que manejan datos confidenciales, como finanzas, atención médica y el sector público.