Las nuevas llaves de acceso de Apple permiten iniciar sesión sin memorizar credenciales, pero algunos expertos alertan de que los sistemas biométricos también tienen limitaciones.
Por elpais.com
En los últimos años, se ha producido un aumento alarmante de la cantidad de contraseñas que una persona debe recordar. Mientras que los empleados de pequeñas y medianas empresas llegan a usar hasta 85 claves, según un informe de Lastpass, los de grandes compañías utilizan unas 25 de media. Gigantes tecnológicos como Apple y Google intentan desarrollar soluciones para que los usuarios no tengan que memorizar todas estas credenciales y cerciorarse de que sean seguras. Pero, ¿desaparecerán realmente las contraseñas tal y como las conocemos hoy en día?
Con su último sistema operativo para el iPhone, Apple ha estrenado las llaves de acceso. O, en palabras de la compañía, “un reemplazo de las contraseñas”. “Son más rápidas para iniciar sesión, más fáciles de usar y mucho más seguras”, señala la empresa. Este nuevo sistema permite al usuario acceder a cualquier aplicación o servicio mediante Face ID o Touch ID —los sistemas de reconocimiento facial y de identificación por huella dactilar de Apple—. Es decir, sin introducir ninguna clave a mano.
Entre las ventajas de las llaves de acceso, Apple menciona que son más resistentes al phishing (una técnica para hacerse con los datos personales y bancarios de un usuario haciéndose pasar por una empresa o institución que conoce). Josep Albors, director de investigación y concienciación de ESET España, considera que este sistema es más seguro que las contraseñas tradicionales. “Evita que introduzcamos nuestras credenciales en sitios fraudulentos preparados para robarlas, ya que la identificación como usuarios es gestionada de forma cifrada punto a punto entre nuestro dispositivo y el servicio online al que queramos acceder”, señala.
¿Cómo funcionan las llaves de acceso de Apple?
Cuando el usuario crea una de estas llaves de acceso, el sistema operativo genera un par de claves criptográficas únicas para asociarlas con una cuenta de la aplicación o el sitio web. Garrett Davidson, ingeniero del equipo de experiencia de autenticación de la compañía, explica que una de estas claves es pública y se almacena en los servidores de Apple, mientras que la otra es secreta y permanece en su dispositivo en todo momento. “El servidor nunca aprende cuál es tu clave privada y tus dispositivos la mantienen segura”, afirma.
Después, cuando el usuario intenta iniciar sesión en una de sus cuentas, el sitio web o el servidor de la aplicación le envían un “desafío” al dispositivo. La clave privada es la única que puede resolverlo. La clave pública se usa después para verificar si la solución es válida, pero no puede descifrar el desafío por sí misma. “Esto significa que el servidor puede estar seguro de que tiene la clave privada correcta, sin saber cuál es realmente la clave privada”, explica Davidson.
Las llaves de acceso se encriptan y se sincronizan en todos los dispositivos de Apple mediante el llavero de iCloud. Si se utiliza un dispositivo que no es compatible con este sistema de almacenamiento en la nube, se genera un código QR que habría que escanear con el iPhone. Aunque este método de inicio de sesión a priori parece bastante prometedor, en la actualidad no todas las aplicaciones lo admiten.
Los problemas de las claves tradicionales
Acabar con las contraseñas es uno de los principales desafíos de las grandes tecnológicas para solventar algunos problemas de seguridad en la web. La alianza FIDO, que tiene como objetivo abandonar las credenciales tradicionales, involucra a compañías como Apple, Google y Microsoft. La propuesta de Microsoft, según Albors, es muy efectiva al sustituir las contraseñas por códigos numéricos que se generan mediante una app instalada en el móvil, “aunque la de Apple gana respecto a comodidad y experiencia de usuario”. La compañía de Mountain View también lleva preparando “el escenario para un futuro sin contraseñas durante más de una década”.
Entre las desventajas de las credenciales tradicionales, Fernando Suárez, presidente del Consejo General de Colegios Oficiales de Ingeniería en Informática (CCII), señala que los usuarios deben generar una para cada servicio —o al menos, eso es lo recomendable— y memorizarla o guardarla en un gestor de claves. Pero no siempre lo hacen. Una encuesta de Google indica que el 13% de los estadounidenses usa la misma clave para todas sus cuentas y el 52%, para varios servicios (aunque no para todos).
A ello se suma que las claves más utilizadas son “las más sencillas”: de “123456? a “qwerty” pasando por “password” (contraseña, en español), “111111?o “i love you” (te quiero, en español), según recoge el gestor de credenciales Nordpass. “Sustituirlas por sistemas biométricos, basados en características físicas propias de cada individuo, permite autenticar su identidad de un modo rápido y confiable”, afirma Suárez.
Nuria Andrés, estratega de ciberseguridad en Proofpoint para España y Portugal, señala que las contraseñas conforman una primera barrera crítica entre el usuario, el atacante y un ciberataque exitoso. “Incluso en el mejor de los escenarios, en el que una persona accede a un servicio web con una contraseña única y bastante segura, es posible lanzar un ataque dirigido que revele esas claves y las deje en manos de ciberdelincuentes”, señala.
Las limitaciones de un mundo sin contraseñas
Frente al potencial de las llaves de acceso de Apple para acabar con algunos problemas de seguridad de las contraseñas, aún es pronto para valorar sus posibles limitaciones. “A bote pronto, uno de los problemas inherentes de los sistemas de autenticación que utilizan la identificación biométrica es que esta no puede ser cambiada”, comenta Albors. Esta es la desventaja de utilizar algo que posees de forma única, como la cara o las huellas dactilares, frente a algo que conoces, como las contraseñas. Además, el experto señala que, en casos excepcionales, alguien podría acceder a la cuenta de un usuario si es capaz de realizar la identificación facial. Un equipo de investigadores de la Universidad de Tel Aviv en Israel afirma haber descubierto la forma de eludir un gran porcentaje de los sistemas de reconocimiento facial.
Suárez le encuentra dos posibles desventajas al nuevo sistema de Apple. Para empezar, los sistemas biométricos no son infalibles. “Es necesaria una contraseña o un PIN para usar de forma alternativa en el caso de que la biometría no funcione por una rotura de la cámara o cualquier otra causa”, comenta. Además, “al almacenar la clave privada en el propio dispositivo, si lo perdemos, el acceso a los servicios basado en esta tecnología no es inmediato”.
¿El fin de las contraseñas?
Pese a que desde hace años varias compañías han anunciado la desaparición de las contraseñas tradicionales, aún hoy es una promesa sin cumplir. Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación de la Universidad Abierta de Cataluña (UOC), coincide en que la propuesta de Apple no está aún suficientemente implementada. “Es un paso más adelante para poder quitar las contraseñas a corto plazo, pero aún pasará un tiempo para que estos sistemas se hagan más utilizables y seguros”, afirma.
Más de la mitad de los especialistas en tecnologías de la información desearían proteger sus cuentas mediante un método alternativo a las contraseñas y consideran que el uso de sistemas biométricos incrementaría la seguridad de sus organizaciones, según un informe del Instituto Ponemon. Albors cree que las credenciales tradicionales van a desaparecer inevitablemente porque son ineficaces para proteger la autenticación debido a la gran cantidad de servicios online y la tendencia de los usuarios a generar claves fáciles y reutilizarlas. El cuándo aún es una incógnita: “Aunque esta fecha cada vez se encuentra más cerca, depende de la aceptación de las diferentes soluciones que actualmente se ofrecen”.