Las contraseñas son las llaves que dan acceso a la práctica totalidad de la información que el internauta almacena en la Red. Gracias a ellas, podemos entrar en nuestras redes sociales, consultar los movimientos de la banca online o consumir contenido en ‘streaming’ en aplicaciones como Netflix. Incluso las necesitamos para desbloquear el ‘smartphone’. Por eso es tan preocupante que, hasta la fecha, hayan demostrado resultar tan vulnerables.
Grandes tecnológicas, como Apple, Microsoft y Google, trabajando en asociación, ya han movido ficha y están asentando las bases para un futuro en el que todos los internautas que lo quieran podrán entrar en sus cuentas y plataformas sin necesidad de aportar ninguna contraseña. Actualmente, los usuarios que, por ejemplo, naveguen con un iPhone actual o utilicen Chrome pueden acceder a algunos sitios de Internet únicamente recurriendo al desbloqueo facial o dactilar o, inclusive, al ingreso de un pin en su ‘smartphone’. Aunque no es algo que sea posible en la mayoría de los casos.
Todos los expertos consultados por este diario muestran dudas acerca del momento en el que este tipo de solución, conocida como ‘Passkey‘, o llave de acceso, se terminarán de extender. Lo que sí tienen claro es que las contraseñas tradicionales, esas que el usuario rara vez cambia y que, por lo general, suele repetir en varios servicios, no son una herramienta segura. Incluso en aquellos casos en los que el internauta más concienciado cumple con todas las pautas y recomendaciones.
«Hoy por hoy, con la capacidad de computo que hay, una contraseña de diez dígitos, con sus mayúsculas y sus símbolos, la robas en nada de tiempo con un ataque de fuerza de bruta», explica José Rossel, socio director de la empresa de ciberseguridad española S2 Grupo.
Y si no es mediante un ataque de fuerza bruta, el cibercriminal siempre puede servirse de ingeniería social y enviar un correo en el que, suplantando a una empresa o institución pública, alerta al internauta hasta que consigue que este, sin darse cuenta, acabe desvelando sus claves privadas. Y es que hay muchas formas por las que un tercero malicioso puede acceder a este tipo de información.
Cara, huella o pin
Estamos en 2023. Sin embargo, la contraseña más empleada en Internet entre los españoles sigue siendo ‘123456‘, de acuerdo con la firma NordPass. Los cibercriminales tardan, de media, menos de un segundo en descifrarla. A esta le acompañan en el podio ‘123456789’ y ‘swing’. Tampoco suponen, ni mucho menos, un reto para los ciberdelincuentes. «Ya está más que claro que somos incapaces de tener disciplina a la hora de cuidar las claves y cambiarlas cuando toca», dice Roberto Llop, responsable para el sur de Europa de la empresa de ciberseguridad Cyberark.
La solución de Apple, Google y Microsoft, entre otras compañías, llega de la mano de la alianza FIDO (Identidad rápida online, por sus siglas en inglés), plataforma que lleva más de una década buscando una solución al problema de las contraseñas. La primera en mover ficha fue Apple que, desde el lanzamiento de iOS 16 para iPhone, la actual versión de su sistema operativo, permite a los usuarios autenticarse en sitios de Internet mediante escaneo facial o la lectura de la huella dactilar.
No hace falta que recuerde ningún código ni que realice cambios para mantener sus claves protegidas. En caso de que, por ejemplo, el internauta quiera abrir su cuenta en un ordenador con Windows, únicamente tiene que escanear un código QR con su móvil para poder abrir sesión. Tampoco hay problema en caso de que el internauta quiera cambiar de dispositivo, ya que todas las ‘Passkeys’ se almacenan en la nube, y se pueden reinstalar en cualquier teléfono mediante la realización de una copia de seguridad.
«Actualmente, no hay ninguna vulnerabilidad visible en el sistema que las tecnológicas están intentando implementar», señala, por su parte, Josep Albors, responsable de investigación y concienciación de la empresa de ciberseguridad ESET.
Complicaciones
Albors llama la atención sobre el hecho de que, ahora, lo más importante es que las distintas plataformas y sitios de Internet comiencen a permitir a los internautas autenticarse de este modo. Algo que, como hemos dicho, hasta la fecha solo es posible en un puñado de sitios de Internet. Poco más de una veintena, de acuerdo con la información que recoge el sitio 1Password desde finales de 2022. «Para que podamos decir definitivamente adiós a las contraseñas es imprescindible que más sitios comiencen a apostar por esta forma de acceso», afirma también Eusebio Nieva, director técnico de la empresa de ciberseguridad Check Point para España y Portugal.
Rossel explica, por su parte, que no espera que las ‘Passkeys’ se conviertan en una opción viable para la mayoría de usuarios que navegan por la Red en el medio plazo: «Su democratización requiere inversión y mucha concienciación. Yo creo que nos va a llevar tiempo sustituir finalmente las contraseñas». El experto también llama la atención sobre el desinterés del usuario medio en cuidar sus claves para intentar evitar que estas puedan caer en manos de estafadores y criminales. No obstante, se muestra convencido, como el resto de fuentes, de que las claves tradicionales tienen los días contados.