Ver para creer: la contraseña más frecuente en el mundo es "123456". La segunda más común es "123456789". La imprudencia es obvia. Menos evidente, aunque igualmente peligroso, es emplear una misma contraseña para varios servicios online, o no cambiarla con la suficiente recurrencia.
Según un análisis realizado por el centro de ciberseguridad nacional de Reino Unido (NCSB, por sus siglas en inglés), más de 40 millones de usuarios utilizan contraseñas que un ciberdelincuente podría obtener en tan solo un segundo. Y según una investigación de Verizon publicada en 2019, el 81% de las filtraciones de datos eran el resultado de contraseñas comprometidas.
Aun los usuarios más sensibilizados y conocedores de los riesgos que entraña el ciberespacio cometen pequeñas pero significativas faltas en la gestión de sus contraseñas. Una password insegura, si no se acompaña de sistemas robustos de doble autenticación, conduce inexorablemente a la pérdida de información y a brechas de seguridad.
“Hay millones de contraseñas que están comprometidas y que desconocemos que lo están”, advierte Miguel Ángel Vicente, responsable del área de gestión de identidad de Everis. Así, aunque parezca contradictorio, cada vez más expertos en ciberseguridad recomiendan abandonar las contraseñas y sustituirlas por otros métodos de identificación.
“Los sistemas passwordless nos van a dar más seguridad. Aunque intentemos crear contraseñas más complicadas -de hecho algunos software nos van a obligar a ello-, la realidad es que muchos tenemos dos o tres contraseñas, que repetimos para varios servicios y a las cuales, como mucho, les variamos una letra”, expone Antonio Camacho, account manager de IREO.
“Desde IREO tenemos distintos software de ciberinteligencia y analizamos la red -sobre todo la dark web- en busca de posibles amenazas que puedan comprometer a las empresas, y lo primero que siempre nos encontramos son contraseñas robadas a la venta”, insiste Camacho. “Una vez que un ciberdelincuente accede a una credencial comprometida, lo primero que hace es utilizarla masivamente en todas las cuentas posibles. De hecho, existen programas que inyectan esas credenciales, de forma automática, en montones de páginas web”, explica.
Ventajas para las organizaciones
La ciberseguridad passwordless es una tendencia emergente que se ha visto acelerada durante la pandemia de la Covid-19, al calor del auge del teletrabajo. Entre sus principales ventajas, destacan “la mejora en la experiencia de usuario/empleado, una mejora general de la seguridad y una reducción de costes en el largo plazo”, enumera Mónica Almela, country leader para España y Portugal de Ping Identity, compañía estadounidense especializada en gestión de accesos.
La mejora en la experiencia de usuario tiene que ver con la usabilidad pero, sobre todo, con la productividad. “Hay menos inicios de sesión fallidos, a causa de contraseñas perdidas u olvidadas, lo cual reduce el tiempo de inactividad debido a contraseñas perdidas u olvidadas”, apunta Almela.
En cuanto a la seguridad, la autenticación passwordless “bien diseñada” [implantando un inicio de sesión único reforzado con autenticación multifactor] reduce los ataques basados en contraseñas, como el phishing o el llamado man in the middle.
La reducción de costes se produce, en primer lugar, por una disminución en el número de llamadas al helpdesk. Además, “la empresa ya no necesita invertir tanto dinero en programas para empleados de prevención y sensibilización sobre el phishing”, continúa la ejecutiva de Ping. Y aplicado al ámbito del cliente, el passwordless repercute en una mejora de la fidelización.
Cuatro casos de uso
Entre los casos de uso de identificación sin contraseña más comunes, Miguel Ángel Vicente destaca cuatro. En primer lugar, el llamado fewer login. Un ejemplo típico es la opción ‘Mantener mi sesión iniciada’ que ofrecen muchas páginas web o aplicaciones, o la funcionalidad SSO (signal sign on), por la que accedemos a algunas aplicaciones sin necesidad de realizar la autenticación.
Otro caso de uso es el zero login. “Muchas páginas construyen una cookie con la información del usuario que está realizado el onboarding, conteniendo los datos del usuario verificado y el contexto del dispositivo/navegador donde se realizó la operación”, explica el responsable de Everis. De este modo, las visitas posteriores al mismo sitio web se pueden asociar al mismo usuario. “El uso de cookies permite identificar a los usuarios únicos en diferentes sesiones de navegación, pero no en diferentes navegadores o dispositivos”, puntualiza.
En tercer lugar, encontraríamos el passwordless login, que se puede basar tanto en conocer algo que posee el usuario, como por ejemplo un teléfono –el usuario interactuaría con él a través de una notificación push o un token OTP-, o bien en conocer algo que es propiamente el usuario, a través de la biometría -empleando huellas dactilares o reconocimiento facial contenidas en contenedores biométricos externos, por ejemplo-.
Por último, también estaría muy extendido el FIDO login. FIDO2 es un estándar de autenticación que se basa en un par de claves criptográficas: una privada y una pública. La clave pública se proporciona durante el registro en el servicio de autenticación mientras que la clave privada se mantiene en el dispositivo del usuario y solo se puede acceder a ella cuando se introduce una firma biométrica del dispositivo o un token de hardware.
Cada vez más, por motivos de usabilidad, se tiende hacia una autenticación continua. Lo más puntero en ciberseguridad passwordless viene de la mano de la inteligencia artificial, capaz de mantener una autenticación basándose incluso en los patrones del usuario de uso del teclado, del ratón, sus movimientos ante la cámara… En definitiva, aplicando “políticas dinámicas en base al riesgo e inteligencia artificial para entender el comportamiento del usuario y anticipar cualquier indicio de un ciberataque”, propone Almela.
“Cada trabajador en remoto es un potencial punto de entrada”, recuerda la directiva de Ping Identity. “Proteger el perímetro del network de la empresa ya no es suficiente. Se requiere aplicar principios de zero trust y basar la seguridad en la identidad de cada usuario y dispositivo”, incide.
Principales dificultades
En cualquier caso, la transición hacia un entorno passwordless es progresiva y no está exenta de dificultades. “La principal problemática para aplicar estos tipos de login, como el protocolo FIDO, es proveer a todos los empleados de un teléfono móvil o un portátil, una tablet…”, reconoce Vicente. Máxime si hablamos de autenticación mediante biometría, no vale cualquier dispositivo.
En el caso de equipos personales que se empleen para trabajar, encontramos cada vez más soluciones para diferenciar ambos usos. Por ejemplo, Windows 10 integra Windows Hello, muchos smartphones disponen de contenedores seguros de aplicaciones y archivos, etcétera.
Por otra parte, hay organizaciones que se preocupan por los riesgos de suplantación que también entraña la biometría. En esos casos, explica Camacho, “complementan estas tecnologías recurriendo a un código PIN o a una contraseña, y eso acaba perpetuando el uso de credenciales dentro de la empresa”. No es algo necesariamente negativo. Este experto aboga por la combinación de diferentes métodos de autenticación.
Después, entra en juego la logística de registrar y reemplazar de una forma segura los dispositivos. “Necesitaremos registrar el nuevo dispositivo de una forma ágil y sencilla. Lo que hacen muchas organizaciones es, de nuevo, recurrir a las contraseñas para hacer esos reemplazos aunque, como hemos visto, existen alternativas mejores”, comenta el portavoz de IREO.
La segunda gran barrera para el passwordless son los sistemas legacy de las empresas. Plataformas como la de PING permiten aplicar una solución passwordless que conviva con todos los directorios empresariales y con otras soluciones de autenticación de la empresa. Se trata, defiende Almela, de “aprovechar soluciones ya existentes y así ir migrando progresivamente soluciones antiguas por otras más modernas”.
“El esfuerzo de integrar un nuevo servicio sin contraseña no tiene por qué ser más complejo”, apuntilla Camacho.
Por último, cualquier cambio tecnológico debe acompañarse de la debida campaña de información o concienciación. “Mediante cursos, vídeos informativos, instrucciones en la intranet u otras cosas, se trata de hacer ver al usuario que verdaderamente no son tecnologías complicadas. Esto es importante porque si, después de todo el esfuerzo por ir hacia el passwordless, los usuarios no lo utilizan, no habrá valido de nada”, concluye.
En resumen, esta tendencia emergente en ciberseguridad no se reduce a la implantación de una nueva herramienta o tecnología, sino a un proceso completo que incluye una metodología, unos objetivos de negocio y unas políticas de gestión del cambio.