Las contraseñas son el método más usado del mundo para acceder a cuentas online, dispositivos y hasta sistemas físicos como cajas fuertes. Sin embargo, tienen un problema muy grande: cuanto más fáciles de recordar, más simple es hackearlas; cuanto más seguras, más complicado es acordárselas.
Por este motivo, Google cambió su método por defecto para iniciar sesión y sugiere abandonar los passwords y usar “passkeys”. ¿Qué son y por qué son más seguras?
Por empezar, no es menor recordar que las contraseñas tradicionales están entre nosotros desde hace décadas, pero representan problemas. El usuario promedio no usa claves seguras, las repite en casi todas sus cuentas online y no las resetea seguido, lo cual es peligroso debido a la gran cantidad de ciberataques que hay en la actualidad. De hecho, todos los años, “123456” es la clave más usada del mundo.
Para esto existen diversas alternativas, y una de las más populares es la passkey. Y la pregunta “¿Qué tan segura es mi contraseña?” fue una de las más buscadas en lo que va de 2023 en Argentina.
“Es un tipo de ‘credencial digital’ que se usa como método de autenticación (o sea, para que un sistema pueda verificar que un usuario es efectivamente quien dice ser). Es más segura que una password porque no se necesita recordar nada para acceder a aquello que permite. Esa misma frase podría parecer un contrasentido, porque ¿cómo puede ser más seguro algo que puedo perder o me pueden robar, versus algo que tengo en la memoria?”, explica Federico Pacheco, manager de I+D+i en BASE4 Security, una empresa argentina de ciberseguridad.
“Y la paradoja se resuelve pensando en escala: si necesito acceder a 100 servicios, aplicaciones, sitios web, tengo que, o bien repetir passwords, o bien correr el riesgo de no recordarlos, y necesitar un gestor de contraseñas. Con una passkey, me alcanza con un solo dispositivo para los 100 servicios. Si se me permite la licencia poética: una passkey equivale a usar contraseñas de cientos de caracteres”, suma el experto.
Cómo funcionan las passkeys
El primer problema que aparece es cómo pensar esta palabra en español. “Creo que ‘passkey’ va a transformarse en una de esas palabras como ‘mouse’, ‘password’ o ‘notebook’ que no es necesario traducir para uso diario. De momento, me conformaría con que las llamemos ‘llave de acceso’ porque al estar representada muy comúnmente por un elemento físico, tiene algo de ‘llave’ tradicional, aunque sea mucho más que eso. Otros piensan que justamente por eso mismo es que habría que no llamarla así para no generar una asociación incompleta”, reflexiona el también docente de la Universidad Tecnológica Nacional.
Google difundió un comunicado en el que detalla cómo funcionarán las passkeys, además de un video en el cual se explica que una passkey es un tipo de credencial digital.
Lo que hace el sistema es, de manera opcional pero desde ahora por defecto, reemplaza la combinación de contraseña y segundo factor por uno más robusto, para evitar ataques de phishing con una clave encriptada en un dispositivo que pide datos biométricos: la huella digital o la identificación por reconocimiento facial. ¿Es este sistema más seguro? Para contestar esta pregunta es clave tener en cuenta el contexto.
“En seguridad, hablar de algo ‘más seguro’ suele ser un poco más complejo, ya que la seguridad es contextual. Es decir, para el gmail de mi papá, casi cualquier factor adicional de autenticación o método de passkey es suficiente, pero para acceder a una base de datos que contiene secretos de un gobierno, la misma passkey probablemente no alcance, lo cual no la hace ‘menos segura’, solo hace que en ese contexto no lo sea. Desde un punto de vista más científico, la mejor seguridad se logra con la combinación de métodos, de lo que se deduce que el 2FA o MFA sigue siendo la alternativa más robusta”, explica Pacheco.
“Los métodos dependen de la calidad técnica de la implementación, lo que se asocia al costo. La biometría de los móviles es suficientemente buena (por la reducción de los costos de los sensores en los últimos años) pero las llaves tipo FIDO tienen mecanismos criptográficos (basados en la matemática) que son más confiables a largo plazo”, agrega, en relación a este tipo de llaves para iniciar sesión.
Ahora bien, ¿qué pasa si el usuario no tiene el dispositivo con el que inicia sesión o lo pierde?
Qué cambió en Google y posibles problemas
Google había estrenado en mayo de este año las “passkeys”, lo que significa que desde ahora, este será el sistema por defecto que se usarán en cuentas de Google para ganar un nivel más de seguridad. Y además la empresa “empujará” al usuario a que tenga este sistema.
Ahora bien, si bien es cierto que abandonar las contraseñas es algo deseable tanto para el lado del usuario como para el de los desarrolladores, no es menor señalar ciertos potenciales problemas.
“Si pierdo el dispositivo, cada servicio cuenta por diseño con alguna forma de autenticarme de otro modo, y eventualmente volver a cargar otra passkey cuando vuelva a acceder. Posiblemente a futuro se encuentren maneras de simplificar eso, lo que parcialmente se logra teniendo “accesos federados” (como cuando accedemos a un servicio logueándonos con la cuenta de Google/Facebook, etc.) y recuperando ese acceso que habilita todos los demás”, desarrolla Pacheco.
“Pero, por otro lado, esto centraliza la seguridad en un mismo proveedor, haciendo que el compromiso de esa cuenta comprometa todas las demás también”, advierte el experto en seguridad”, advierte.
En algunos ámbitos del rubro, advierten que a pesar de que no sólo Google sino también Microsoft y Apple estén empujando hacia usar passkeys, el mundo empresarial, por ejemplo, está muy lejos de poder adoptarlo.
Sin embargo, la balanza se inclina para el lado de su uso, según Pacheco. “En un mundo sin contraseñas, que hayan sido reemplazadas adecuadamente por un sistema más adecuado como las passkeys, tendríamos muchas menos ciberestafas derivadas del phishing, menos robo de cuentas, y otros temas relacionados con las debilidades intrínsecas de los passwords. Además, sería un mundo más cómodo y funcional para el usuario en el uso de la tecnología, tras una historia donde la comodidad y la seguridad han sido siempre inversamente proporcionales por naturaleza”.
Cómo activar passkeys en Google
Para activar este sistema, Google primero hace una advertencia:
Cuando creás una llave de acceso, se habilita una experiencia de acceso sin contraseña que prioriza la llave de acceso. Creá llaves de acceso solo en dispositivos personales que estén bajo tu control. Incluso si salís de tu Cuenta de Google, una vez que creas una llave de acceso en un dispositivo, cualquier persona que lo desbloquee podrá volver a acceder a tu Cuenta de Google con la llave de acceso.
- Es posible que debas acceder a tu Cuenta de Google o verificar tu identidad. Para obtener más información, ir a g.co/passkeys.
- Si tu cuenta ya tiene llaves de acceso, aparecerán en ese enlace.
- Si accediste a esta cuenta con un teléfono Android, es posible que tengas llaves de acceso registradas automáticamente.
- Si querés usar llaves de acceso, presiona Usar llaves de acceso.
- Si aún no tienes ninguna, presiona Crear una llave de acceso y luego Continuar.
- Seguir las instrucciones.
- Es posible que se te solicite desbloquear el dispositivo para completar la creación de tu llave de acceso.
- Para crear llaves de acceso en varios dispositivos, repetí estos pasos desde esos dispositivos.
También se puede crear una llave de acceso en una llave de seguridad USB externa compatible con FIDO2.