Escuchar¿Cuántas contraseñas tiene usted? Probablemente sean muchas o sea solo una para todos sus servicios digitales (que dicho sea de paso es una muy mala idea en términos de ciberserguridad).
Lo cierto del caso es que las contraseñas se convirtieron en un dolor de cabeza para los usuarios, especialmente cuando es requisito para ciertas plataformas tener claves que contengan al menos 12 caracteres entre letras mayúsculas, minúsculas, números y especiales.
Por esta y muchas más razones es que Apple prometió que eliminará las contraseñas para darle paso a los passkeys.
LEA MÁS: ¿Vale la pena comprar el iPhone 14 presentado por Apple? Sepa cuándo vienen a Costa Rica
En este artículo le explicamos todo lo que debe saber sobre esta tecnología.
¿Qué son los passkeys?
Según Apple, cuando los usuarios crean un passkey, abren una clave digital única que solo funciona para el sitio para el que fue creado.
Se trata de un sistema mediante el cual se cambian las contraseñas por un estándar de inicio de sesión que se basa en la biometría, es decir en la huella dactilar del usuario o bien el escaneo de su rostro.
Los passkeys están basados en WebAuthn, una API de autenticación web que elimina la necesidad de introducir una clave y la sustituye por los datos que se guardan en Touch ID o en Face ID.
En el dispositivo del usuario se generan las claves únicas para cada servicio que se necesite.
Los passkeys llegan como parte de las novedades de iOS 16, iPadOS 16 y macOS Ventura.
Importante: Con esta nueva tecnología no hay necesidad de crear o administrar contraseñas.
LEA MÁS: Los nuevos iPhone 14 de Apple: compare características de estos modelos y los anteriores
¿Es un servicio seguro?
Este sería un paso relevante para garantizar la seguridad de los usuarios. La herramienta crea un escudo más fuerte contra el phishing debido a que es más difícil falsificar los datos biométricos que robar las claves a través de campañas engañosas.
Para que un hacker pueda robar su contraseña deberá primero robarle su dispositivo de Apple, luego entrar a los servicios digitales, y además tener sus datos biométricos para acceder a las plataformas.
El sistema funciona con dos tipos de clave: una privada y otra pública. Cuando el usuario quiere acceder a uno de sus servicios, el iPhone, iPad o Mac enviará una clave pública al servidor de la plataforma a la que se quiere ingresar, y la clave privada es la que se almacena en el dispositivo.
Al trabajar de esta manera, no habría mayor problema si se hackearan las claves del servidor del servicio porque para poder robar la información de la persona también necesitan la clave privada que está almacenada en el dispositivo.
Los ciberdelincuentes no podrán engañar a las personas para que compartan sus claves en un sitio web falso porque no pueden filtrarse a los sistemas biométricos de Apple, tampoco porque no se guarda nada en un servidor web.
Los passkeys funcionan en las aplicaciones y se sincronizan en todos los dispositivos Apple mediante el llavero de iCloud.
¿Cómo roban las contraseñas los hackers?
Las contraseñas son el talón de Aquiles en la vida digital de muchas personas, especialmente porque vivimos en una época en la que una persona promedio tiene 100 claves de inicio de sesión para recordar, demostró un estudio de la firma NordPass.
Esto es tierra fértil para los ciberdelincuentes quienes cada vez desarrollan más técnicas para robar las claves.
Las formas más comunes para robar las contraseñas según la firma de ciberseguridad ESET son:
- Phishing e ingeniería social: Los seres humanos somos propensos a tomar decisiones equivocadas cuando nos apresuramos. Los ciberdelincuentes explotan estas debilidades a través de la ingeniería social, un truco psicológico diseñado para convencernos de hacer algo que no deberíamos. Mediante este tipo de ataques los cibercriminales se hacen pasar por entidades legítimas como amigos, familiares, organizaciones públicas y empresas conocidas para incluir un enlace malicioso o un archivo adjunto que, en caso de hacer clic en él, descargará un malware que solicitará que ingreses sus datos personales y así estafarlo.
- Malware: Los correos electrónicos de phishing son el vector principal para este tipo de ataque, aunque también puede ser víctima de malware al hacer clic en un anuncio malicio.
- Ataques de fuerza bruta: La mayoría de las personas se inclinan por utilizar contraseñas fáciles de recordar (y de adivinar), y que cometa el error de utilizar las mismas contraseñas para acceder a múltiples sitios y servicios. Sin embargo, lo que muchas veces no se tiene en cuenta es que las contraseñas débiles pueden abrir la puerta a las denominadas técnicas de fuerza bruta para descubrir contraseñas. Uno de los tipos de fuerza bruta más comunes es el credential stuffing. En este caso, los atacantes vuelcan grandes volúmenes de combinaciones de nombre de usuario/contraseñas previamente comprometidas en un software automatizado. Luego, la herramienta prueba las credenciales en un gran número de sitios con la esperanza de encontrar una coincidencia. De esta manera, los cibercriminales podrían desbloquear varias de tus cuentas con una sola contraseña.
¿Dónde funcionarán los passkeys?
De momento estas claves digitales estarán disponibles en todos los dispositivos de Apple al iniciar sesión en las diferentes aplicaciones y sitios web.
En el caso de Apple TV, una Mac y en los dispositivos que no son de Apple, el usuario podrá iniciar sesión con una clave de acceso que se le enviará al dispositivo seleccionado para activar el acceso biométrico.
Por ejemplo, si se está en la computadora o en un dispositivo que no es del usuario y necesita ingresar, en el sitio se selecciona el botón de iniciar sesión y cuando el sistema pregunta con cuál cuenta, se selecciona el botón de “Otras opciones”. Luego se selecciona que se quiere usar un iPhone, iPad o dispositivo Android y aparecerá un código QR.
Allí solo hay que acudir a la cámara del iPhone o iPad para que reconozca el código y así se puede acceder.
Apple no es la única en esta línea…
Microsoft y Google también se pronunciaron en favor de la eliminación de las contraseñas.
Google y Microsoft anunciaron que se unían a Apple para ampliar el soporte de los inicios de sesión sin contraseña tanto en los dispositivos como en los navegadores.
Las tres compañías dijeron que pretenden apoyar el nuevo estándar de autenticación durante el próximo año.
¿En qué se diferencia de las plataformas en las que se ya se puede ingresar con datos biométricos?
Existen servicios que ya ofrecen la posibilidad de iniciar sesión con datos biométricos, pero la diferencia radica en que siempre hay que digitar una contraseña para luego poder programar la autenticación con la huella o con la cara.
Los passkeys permiten la opción de ingresar sin la necesidad de crear una contraseña.
Cuando el usuario se registra por primera vez en un sitio, solo se necesita un nombre de usuario y seleccionar “registrar”. Seguidamente se mostrará un mensaje donde se pregunta si se quiere guardar una llave de acceso “APS” que se almacenará en el llavero de iCloud y se elige si se quiere usar Face ID o Touch ID. Con estos pasos listos ya se crea el passkey.
Sin embargo, Apple también especifica que se pueden utilizar los passkey junto con contraseñas que se pueden guardar para que se autocompleten en los servicios, esto con el fin de hacer un proceso de transición más natural para el usuario.
¿Será el fin de las contraseñas? Todavía no, pero es un paso importante para lograrlo algún día.
