Las claves de acceso son cada vez más comunes gracias a servicios de consumo como Google, Apple, Facebook y Meta, entre otros. El uso de passkeys aumenta significativamente la seguridad en comparación con los inicios de sesión tradicionales basados en contraseñas.
Es normal que algunas soluciones de consumo se extiendan al uso profesional, como la posibilidad de enviar reacciones emoji a los correos electrónicos. Pero que Instagram me permita iniciar sesión con una contraseña, ¿significa que las empresas deberían hacerlo?
En resumen: ¿están las passkeys preparadas para su uso en la empresa?
En Alianza FIDO fue fundado en 2013 por varias empresas para desarrollar un estándar de autenticación que sirviera como segundo factor; hoy en día, FIDO puede servir como un sólido método de autenticación sin contraseña.
Desde 2013, FIDO se ha convertido en uno de los métodos de inicio de sesión sin contraseña más populares, en gran parte porque cumple el acrónimo que conforma su nombre: proporciona una identidad rápida en línea. La Alianza FIDO está muy centrada en el entorno del consumidor. No es de extrañar, ya que sus principales miembros operan en este ámbito: Apple, Google, PayPal y Microsoft (RSA es miembro de la Alianza FIDO y copreside su Grupo de Trabajo sobre Despliegue Empresarial).
Las credenciales FIDO utilizan pares de claves asimétricas para autenticarse en un servicio. Cuando se registra una credencial FIDO en un servicio, se genera un nuevo par de claves en el autenticador FIDO y el servicio confía en ese par de claves, y sólo en él. El par de claves está conectado al nombre de dominio exacto del servicio.
Ese emparejamiento estricto entre un servicio y una credencial FIDO es lo que crea un alto grado de resistencia al phishing: si un usuario intentara iniciar sesión en un sitio de phishing falso con la clave creada para el sitio real, fracasaría porque el dominio nombrado no coincidiría con el par de claves.
En 2022, Apple, Google y Microsoft lanzaron la compatibilidad con un nuevo tipo de credencial FIDO, que denominaron clave de acceso. En 2023, la Alianza FIDO adoptó el término "clave de acceso" para cualquier tipo de credencial FIDO, lo que lleva a una posible confusión sobre a qué se refiere exactamente una organización cuando menciona "passkeys".
Esta posible ambigüedad ha sido abordada por la Alianza FIDO (véase más abajo), pero podría seguir existiendo en las organizaciones. Es importante abordar esa ambigüedad, porque no todas las passkeys son iguales ni apropiadas para el uso empresarial.
Tipos de passkeys
Ahora existen dos tipos de passkeys, según la definición de la Alianza FIDO: vinculadas a dispositivos y sincronizadas.
Claves de acceso vinculadas al dispositivo frente a claves de acceso sincronizadas
Las claves de acceso vinculadas a dispositivos suelen alojarse en dispositivos específicos de "claves de seguridad". En una clave de acceso vinculada a un dispositivo, los pares de claves se generan y almacenan en un único dispositivo; además, el material de la clave en sí nunca sale de ese dispositivo. Este tipo de passkey suele considerarse más seguro porque la clave privada nunca sale del dispositivo, lo que la hace resistente a la extracción o al compromiso remoto. Sin embargo, esto también significa que si el dispositivo se pierde o se daña, el usuario tendría que volver a registrar su clave en su dispositivo una vez recuperado o añadirla a un nuevo dispositivo si fuera necesario. Las claves de acceso vinculadas a dispositivos son especialmente favorables en entornos de alta seguridad y casos de uso empresarial, a menudo aprovechando hardware como claves de seguridad o módulos de plataforma de confianza (TPM).
Claves de acceso sincronizadas
Con las claves de acceso sincronizadas, el material de las claves se guarda a través de un tejido de sincronización remoto, y el material de las claves se puede restaurar en cualquier otro dispositivo del mismo usuario. En la actualidad, los principales tejidos de sincronización son Microsoft, Google y Apple. Esto significa que si registras tu teléfono Android como clave de acceso, el material correspondiente estará disponible poco después en todos tus otros dispositivos Android.
Las contraseñas sincronizadas son -además de contar con el apoyo de servicios muy utilizados como WhatsApp o Facebook- una de las principales razones del fuerte aumento del uso generalizado de contraseñas. Es fácil ver por qué: un usuario con muchas cuentas y muchos dispositivos puede utilizar la misma contraseña sincronizada en todos ellos.
Passkeys sustituye las contraseñas tradicionales por pares de claves criptográficas, proporcionando una autenticación sólida y resistente a la suplantación de identidad. Cuando un usuario se registra en un servicio, su dispositivo genera un par único de claves privada y pública. La clave privada permanece almacenada de forma segura en el dispositivo del usuario, mientras que la pública se comparte con el servicio. Durante el inicio de sesión, el dispositivo demuestra la posesión de la clave privada firmando un desafío del servicio, y la firma se verifica utilizando la clave pública almacenada. No se transmiten secretos compartidos ni se crean o almacenan contraseñas, lo que reduce drásticamente el riesgo de robo de credenciales o ataques de repetición.
Las contraseñas tradicionales se basan en secretos compartidos que se pueden adivinar, robar o suplantar, lo que las convierte en un punto de entrada habitual para los atacantes. A menudo se reutilizan en varias cuentas, se almacenan de forma insegura y son vulnerables a ataques de fuerza bruta o de relleno de credenciales.
Passkeys elimina estos riesgos sustituyendo las contraseñas por criptografía de clave pública-privada. La clave privada nunca sale del dispositivo del usuario, y la autenticación se realiza demostrando la posesión de esa clave, sin transmitirla. Este enfoque deja obsoletos los vectores de ataque más comunes, como el phishing, el robo de credenciales y la reutilización de contraseñas. Para las organizaciones, las passkeys suponen un salto adelante en la autenticación segura, al tiempo que reducen la carga que suponen los reajustes de contraseñas y los tickets de soporte.
- Resistente al phishing: Passkeys está diseñado para evitar los ataques tradicionales de phishing. Al no haber contraseña, no hay nada que robar o reutilizar.
- Rápido y cómodo: Iniciar sesión con una clave de acceso suele ser tan sencillo como utilizar datos biométricos (como Face ID o una huella dactilar), lo que facilita la experiencia a los usuarios.
- Experiencia de usuario familiar: Los inicios de sesión con Passkey se asemejan a los patrones habituales de autenticación móvil, por lo que la curva de aprendizaje es mínima o nula.
- Seguridad de coincidencia de dominios: Las claves de acceso ofrecen una capa adicional de protección al garantizar que el material de la clave sólo funciona con el dominio de servicio original, una ventaja que no ofrecen todos los métodos de MFA.
- Aprobado por el Gobierno: En Estados Unidos, la resistencia a la suplantación de identidad es uno de los principales motores de los mandatos federales. Decreto 14028 requiere una autenticación sin contraseña y resistente al phishing para proteger las infraestructuras críticas.
Aunque las llaves de paso ofrecen ventajas significativas, también conllevan algunos retos y problemas importantes.
- Experiencia del usuario: Las solicitudes de Passkey, como la de insertar la llave de seguridad en el puerto USB o introducir el PIN, por ejemplo, tienen un aspecto diferente según el sistema operativo y el navegador. Es probable que estas indicaciones dificulten la formación de los usuarios y aumenten las llamadas al servicio de asistencia.
- Distracción de otros ataques: Cualquiera que piense que el uso de passkeys de repente le hace inmune a los ataques de MFA bypass como los de ingeniería social está muy equivocado. Las passkeys ayudan contra un tipo de ataque de ingeniería social: el phishing. Por desgracia, existen otras variantes. Los ataques a MGM Resorts o Caesars Palace en Las Vegas tenían un componente de ingeniería social: explotar el servicio de asistencia para permitir al atacante registrar él mismo un autenticador MFA.
- Pérdida del dispositivo o problemas de actualización: Si los usuarios pierden el acceso a un dispositivo (y no han activado la sincronización o la copia de seguridad), pueden tener problemas para recuperar sus claves de acceso, especialmente las vinculadas a dispositivos.
- Soporte limitado en todos los servicios: Aunque su adopción va en aumento, aún no todos los sitios web o sistemas empresariales admiten passkeys, lo que puede limitar su uso cotidiano.
- Confusión o desconocimiento del usuario: El concepto de claves de paso es todavía nuevo para muchos usuarios, lo que puede llevar a confusión sobre la configuración, la sincronización o lo que realmente está sucediendo bajo el capó. Las variaciones en la terminología (claves de acceso, claves de seguridad, claves FIDO) y la evolución de las normas en el sector pueden aumentar esta confusión y dificultar que los usuarios y las organizaciones comprendan claramente las mejores prácticas y apliquen y adopten las claves de acceso de forma coherente. Esto también puede dar lugar a errores durante la configuración y el uso, a un aumento de las llamadas al servicio de asistencia y a posibles lagunas en la seguridad.
- Preparación de la infraestructura: La implantación de passkeys puede requerir que las organizaciones actualicen las plataformas de identidad, las políticas de gestión de dispositivos y los esfuerzos de formación, especialmente cuando se abandona la autenticación heredada. Las organizaciones pueden descubrir que los recursos heredados o locales pueden no ser compatibles con las claves de acceso debido a la autenticación sólo web. En esos casos, las organizaciones deben modernizar su MFA con capacidades sin contraseña que puedan abarcar entornos y mantener la infraestructura heredada.
Dados los retos que plantean las actuales claves de paso a la hora de ofrecer flujos de trabajo uniformes en distintos navegadores, dispositivos y sistemas operativos, ¿qué puede hacer el sector para garantizar una experiencia verdaderamente fluida y multiplataforma? ¿Cómo podemos determinar el mejor camino para resolver las incoherencias que pueden confundir a los usuarios y paralizar la adopción generalizada? En RSA, nuestra dirección de UX participa activamente en los grupos de trabajo de la Alianza FIDO para abogar por experiencias de usuario coherentes. Aportando nuestra visión, pretendemos ayudar a dar forma a estándares que resulten en menos distracciones, menos fricción y más uniformidad para los usuarios finales.
La movilidad es otro aspecto de la creación de una experiencia Passkey sin fisuras en todos los entornos. Los trabajadores esperan cada vez más la comodidad de los flujos de trabajo móviles. Si acceder a los recursos corporativos en un smartphone resulta tan intuitivo como desbloquear ese mismo dispositivo, la adopción de nuevos métodos de autenticación -como las passkeys- resulta mucho más sencilla. Una experiencia móvil sin fricciones ayuda a romper la resistencia del usuario, minimizando la curva de aprendizaje y haciendo que la transición lejos de las contraseñas sea mucho más suave. Al ofrecer una interfaz familiar, transparente en cuanto a permisos y coherente independientemente del dispositivo o la plataforma del usuario, las organizaciones pueden reducir la confusión y mejorar la confianza. La solución móvil FIDO de RSA sirve de ejemplo de cómo implantar una clave de acceso de forma independiente del dispositivo.
Dicen que cuando se tiene un martillo, todo puede parecer un clavo. Convertir una solución -incluso una gran solución- que originalmente estaba pensada para uso del consumidor en una aplicación empresarial puede introducir un riesgo significativo.
Al leer este artículo, es posible que haya tenido una sensación de náuseas ante la mención de "tejido sincronizado". Tu instinto estaba en lo cierto.
El hecho de que las passkeys aparezcan como por arte de magia en todos los dispositivos en los que el usuario ha iniciado sesión a través de Apple o Google es una importante señal de alarma en el entorno corporativo y debería plantear algunas preguntas importantes:
- ¿Debería permitirse a los usuarios utilizar varios dispositivos (posiblemente también de uso privado) para autenticarse? En caso afirmativo, ¿cuántos?
- Las claves sincronizadas permiten restaurar una clave "perdida" con los procesos de recuperación de cuentas de, por ejemplo, Google o Apple. Eso está muy bien... ¿pero son estos procesos lo suficientemente seguros para ti?
- La función de Apple que permite a los usuarios compartir contraseñas con amigos o familiares está muy bien... ¿pero se aplica también a las contraseñas que se utilizan para iniciar sesión en aplicaciones empresariales?
Al utilizar claves de acceso sincronizadas, la seguridad de su empresa depende de repente en gran medida de la seguridad técnica y organizativa de Apple y Google. Claro, de todas formas existe cierta dependencia debido al uso de iOS y Android-pero las claves de acceso sincronizadas aumentan considerablemente esta dependencia.
Tampoco se trata de una vulnerabilidad teórica. El año pasado, Retool habló de cómo la habían utilizado agentes de amenazas para acceder a sus sistemas: Reestructurar escribió que la funcionalidad significa que "si tu cuenta de Google está comprometida, ahora también lo están tus códigos MFA".
Tampoco se trata de una vulnerabilidad teórica. El año pasado Reestructurar habló de cómo los actores de amenazas la habían utilizado para acceder a sus sistemas: Retool escribió que la funcionalidad significa que "si tu cuenta de Google está comprometida, ahora también lo están tus códigos MFA."
No se puede responder de forma general a la pregunta de si se deben utilizar claves de acceso en la empresa. Cada organización es diferente y debe equilibrar sus exclusivas prioridades de seguridad y operativas.
Además, el uso de claves no debería ser una cuestión de sí o no. La introducción de claves de acceso o de inicios de sesión sin contraseña en general debería servir para revisar a fondo todos los procesos de AMF de una organización. Lo que ha sido bueno para los tokens OTP por hardware durante 15 años probablemente ya no sea del todo cierto para las passkeys u otros métodos MFA hoy en día.
RSA cree que las passkeys se pueden implementar para uso empresarial si se alinean con la estrategia organizativa y si las organizaciones piensan detenidamente sus respuestas a las siguientes preguntas. Hemos visto a organizaciones utilizar passkeys con éxito utilizando RSA® ID Plus, nuestra completa plataforma de gestión de identidades y accesos (IAM) que ofrece diversas opciones sin contraseña.
Debido a que somos una organización que prioriza la seguridad y utilizamos los principios de Secure by Design / Secure by Default, evitamos el uso de claves de acceso sincronizadas de forma predeterminada. Solo las claves de acceso vinculadas a dispositivos están disponibles por defecto en los entornos RSA para proporcionar el máximo nivel de seguridad desde el primer momento, y sin ningún trabajo adicional por parte de los administradores.
A la hora de evaluar la conveniencia de introducir claves de acceso, las organizaciones deben preguntarse: ¿Cómo se registran nuestros autenticadores? ¿Existen procesos que gestionen con seguridad el escenario "he perdido mi autenticador"? ¿Y la clasificación de usuarios, aplicaciones y datos?
Las llaves de paso son una Método AMF entre muchos otros. Sí, su resistencia al phishing es fantástica, pero ¿pueden los usuarios iniciar sesión con ella en sus escritorios remotos?
Por estas razones y muchas otras, es importante que su sistema de AMF no sólo esté técnicamente actualizado, sino que también admita una amplia variedad de métodos de AMF, como códigos QR, biometría, OTP, mensajes push y claves de acceso.
También es importante que los procesos en torno a la AMF se adapten a las nuevas amenazas. Esto va mucho más allá del propio sistema de AMF: ¿está su servicio de asistencia también a salvo de ataques de ingeniería social?
Si las passkeys tienen sentido para usted, queremos ayudarle. Póngase en contacto con nosotros para obtener más información o iniciar una 45 días de prueba gratuita de ID Plus.
