17/04/2023
Te contamos los avances en materia de seguridad de la información enfocados en reforzar los sistemas de autenticación bajo la filosofía passwordless.
Recientemente numerosos medios de comunicación se han hecho eco del esfuerzo realizado por parte de las grandes tecnológicas en disponer de sistemas de autenticación, que pretenden solventar los problemas de seguridad inherentes a los mecanismos tradicionales de autenticación basados en contraseñas para mejorar la seguridad de la información.
Ese esfuerzo empieza a dar sus frutos, y no sólo las grandes tecnológicas, sino también numerosas empresas de diferentes sectores, incluido el bancario, estamos ya incorporando soluciones de autenticación en nuestros sistemas en vez de la tradicional contraseña.
En el artículo indagaremos en los fundamentos de estas soluciones y analizaremos en detalle las Passkeys, nombre que recibe un nuevo tipo de credencial basado en criptografía de clave pública y verificación biométrica propuesto por la FIDO Alliance y el World Wide Web Consortium.
Debilidades de los sistemas de autenticación basados en contraseñas
Las contraseñas son por antonomasia el mecanismo de autenticación más extendido en la actualidad para proteger la información, y dada su naturaleza, de los más vulnerables que existen hoy en día.
Si bien es cierto que la mayoría de los sistemas requieren a los usuarios cumplir con ciertos requerimientos a la hora de definirlas (número mínimo de caracteres, caracteres especiales, números, mayúsculas, etc.), y que además se aplican políticas para la renovación de las mismas cada cierto tiempo; el hecho es que existen numerosos vectores de ataque que permiten sustraer dichas credenciales, incurriendo en fallos de seguridad de la información que permiten el acceso a sistemas y datos no autorizados por parte de usuarios malintencionados.
Entre los diferentes vectores de ataque se encontrarían:
1. Ataques a las contraseñas: Fuerza bruta
Método que, mediante prueba y error, generando contraseñas forma secuencial con una longitud determinada, se intenta conseguir para un usuario su correspondiente clave de acceso.
2. Ataques a las contraseñas: Diccionario
Similar al ataque de fuerza bruta, pero en lugar de generar contraseñas lo que se utilizan son diccionarios de contraseñas ya predefinidos, y que habitualmente contienen o bien las más utilizadas por los usuarios, o bien son contraseñas que han sido sustraídas de otros sistemas mediante ataques previos.
3. Ataques a las contraseñas: Sniffers/Keyloggers
Extracción de credenciales mediante la escucha del tráfico de red (sniffers) o bien mediante el registro de las teclas pulsadas por los usuarios a través del teclado de la computadora (keyloggers).
4. Ataques a las contraseñas: Phishing/Smishing/Vishing
Ataque que, mediante suplantación de identidad, se consigue, a través comunicaciones enviadas a clientes (sMS, email, llamada telefónica), obtener credenciales de acceso a los servicios que el usuario está suscrito o claves para llevar a cabo operaciones fraudulentas.
5. Ataques a las contraseñas: Reutilización de credenciales
Este método consiste en utilizar datos de credenciales de exfiltraciones previas para conseguir acceso no autorizado a otros servicios donde se han utilizado las mismas credenciales por parte de los usuarios.
6. Ataques a las contraseñas: Exposición de credenciales
Por último, este tipo de ataque se aprovecha de una protección indebida de los recursos informáticos que contienen información de las credenciales de los usuarios y que son accesibles por parte de terceros a través de Internet, como por ejemplo publicación en motores de búsqueda de ficheros en texto plano con credenciales de usuarios o de los propios sistemas.
Passkeys, el sistema Passwordless al rescate.
Passkeys es la alternativa tecnológica que propone la alianza FIDO para acabar con las contraseñas y crear un estándar común de autenticación mucho más fiable. Está basado en criptografía de clave pública y ya se encuentra disponible en la mayoría de los sistemas operativos y navegadores.
El único requisito para los usuarios será disponer de un dispositivo con capacidades criptográficas como smartphones, equipos informáticos con lectores biométricos o llaves USB de seguridad, ya que el acceso a las credenciales locales estará protegido mediante biometría (local o remota), PIN, patrones (en el caso de smartphones) o incluso smartcards.
Cabe destacar que las posibilidades de las Passkeys no se limitan exclusivamente a proteger los accesos a los servicios de Internet, sino que su uso puede extenderse también a procesos de autenticación para llevar a cabo autorizaciones de operaciones de riesgo en línea, lo cual refuerza aún más la seguridad.
El funcionamiento de la Passkeys constaría de dos pasos:
1. El primero es el registro por parte del usuario utilizando el autenticador FIDO que tenga disponible y que coincida con la política de aceptación del servicio en cuestión. Una vez desbloqueado el autenticador FIDO, se crea un par de claves pública-privada única para el dispositivo local, el servicio en cuestión y la cuenta del usuario. La clave pública se almacena en el servicio en línea y se asocia con la cuenta del usuario, y la clave privada se almacena en el dispositivo del usuario y su acceso queda protegido para que sea accesible mediante el método de autenticación local seguro que tenga definido el usuario.
2. El segundo paso ya sería la propia autenticación cuando el usuario quiere acceder al servicio en línea. Se solicitará al usuario iniciar sesión con un dispositivo previamente registrado y que coincida con la política de aceptación del servicio. Una vez el usuario desbloquea el autenticador FIDO, se selecciona la clave privada local correspondiente al servicio y se firmaría el desafío FIDO, que se enviaría al servicio para que éste llevara a cabo las verificaciones oportunas.
El proceso de “Registro” viene representado por el siguiente esquema:
Passwordless: Información más protegida con puntos débiles
Sin duda podemos decir que la llegada de este mecanismo de autenticación marcará un antes y un después a nivel de seguridad, pues pasamos a no depender de un dato que el usuario “sabe”, sino que pasamos a depender de algo que el usuario “es” (huella biométrica) o “sabe” (patrón, PIN) y además “tiene” (clave criptográfica en su dispositivo local).
Este cambio de paradigma incrementa la seguridad de forma exponencial, pues para que un usuario malintencionado pueda acceder de forma ilícita a un servicio, requeriría estar en posesión del dispositivo del usuario y además pedirle que se autenticara mediante su huella biométrica, o utilizar el mecanismo de acceso al almacén de claves criptográficas definido por el usuario.
No obstante, sigue habiendo puntos débiles donde hay que poner especial foco para garantizar el mayor nivel de seguridad, como sería el paso inicial de registro (enrolamiento), el cual en la mayoría de los casos probablemente requerirá una autenticación basada igualmente en contraseñas con un segundo factor de autenticación, o los procesos de recuperación de credenciales en caso de pérdida de los dispositivos que las almacenan.
Será clave para garantizar la seguridad del sistema en su conjunto que, precisamente, esos procesos se diseñen de forma que permitan garantizar la autenticidad de usuario que lo está realizando, así como la integridad en sí del proceso, reduciendo a la mínima expresión el riesgo de posibles suplantaciones o robo de credenciales por parte de usuarios malintencionados.
¿Será passwordless el sistema de autenticación definitivo?
Ni mucho menos. Según avance la tecnología, llegarán nuevos sistemas de autenticación que aprovecharan nuevas capacidades que hoy en día o ni conocemos, o quizás son tan experimentales que ni siquiera nos permiten considerarlos como una realidad plausible a corto plazo.
Aun así, la transición a sistemas de autenticación passwordless supone un gran avance en materia de seguridad y de protección frente a mecanismos tradicionales de autenticación, por lo que ya sea por seguridad, o incluso por la comodidad de autenticarse sin tener que estar recordando e introduciendo contraseñas, el esfuerzo requerido para implementarlo está plenamente justificado, y esto supondrá una ventaja competitiva que sin duda las empresas pondrán en valor de cara a sus usuarios.
Esperamos que de aquí unos años (cuantos menos mejor) al hablar de contraseñas tengamos la misma sensación que tenemos hoy en día cuando recordamos esos disquetes de 5,25 pulgadas donde almacenábamos apenas 1 MB de información en nuestros viejos ordenadores.
tags:
Comparte: