Aunque la de las contraseñas es la crónica de una muerte anunciada, aún está por ver quién es capaz de ponerle el último clavo a su ataúd. Por muchas claves que se filtren en masivas fugas de información, por bochornosamente sencillas que sean las más utilizadas, por mucho que las reutilicemos una y otra vez allá donde nos registramos o por fáciles que sean de robar mediante ‘phishing’, las contraseñas siguen siendo el método más utilizado para identificarse en webs y aplicaciones.
El sueño de una autenticación libre de ‘passwords’ inseguros y difíciles de teclear desde el móvil (que se lo digan a los que son de dedos gruesos) sigue sin hacerse realidad, a pesar de que la biometría se abre paso a zancadas en nuestros dispositivos. La mayoría de los móviles e incluso ordenadores modernos incorporan lectores de huella dactilar, escáneres de iris o sistemas de reconocimiento facial que, lejos de ser invulnerables, son generalmente más seguros que las viejas combinaciones de letras, números y símbolos.
Sin embargo, cuando entramos en Facebook, Gmail, Amazon, Spotify o casi cualquiera de las páginas que visitamos a diario, lo que nos siguen pidiendo, aunque a menudo ya lo recuerden y nos ahorremos teclear, es una contraseña. Por eso los gigantes de internet se han puesto de acuerdo en respaldar un nuevo estándar llamado Web Authentication (más conocido como WebAuthn) que, esta vez sí, tiene muchas papeletas de ser la forma en que nos identifiquemos en las webs y aplicaciones a corto o medio plazo.
¿Cómo funciona el nuevo ‘login’ sin contraseñas?
A día de hoy, los servicios que más se preocupan por la ciberseguridad incorporan métodos de verificación en dos pasos (o doble factor de autenticación) para asegurarse de que nadie puede entrar en tu cuenta sin permiso aunque se haya hecho con la contraseña ilícitamente. Lo más habitual es un código que te llega al móvil mediante SMS o a través de una ‘app’, aunque también hay webs que, como Facebook o Gmail, ya permiten usar llaves USB como las de Yubikey.
Esas son algunas de las alternativas que se abrieron gracias a al protocolo U2F definido por la alianza FIDO (siglas de ‘Fast Identity Online’), un grupo dedicado a la mejora de los sistemas de autenticación del que forman parte gigantes como Amazon, Google, Microsoft, PayPal o Samsung. Y son los mismos que llevan dos años trabajando en una nueva especificación, FIDO2, cuyo principal protagonista es WebAuthn.
El objetivo de este nuevo protocolo es que podamos identificarnos en cualquier web o aplicación utilizando, entre otras cosas, la huella del dedo, una lectura del iris o una imagen de nuestro rostro obtenida a través de la cámara. El sistema es multiplataforma, una de sus principales ventajas, de modo que podremos usar el móvil para ‘loguearnos’ en cualquier página desde el navegador de nuestro ordenador (si este, por ejemplo, carece de su propio lector). O incluso podremos usar una Yubikey si nos resulta más cómodo.
Simplificando, lo que WebAuthn pretende hacer posible es que entremos en Facebook, Amazon, Gmail o Spotify utilizando la huella dactilar como lo haríamos para desbloquear la pantalla del ‘smartphone’. Y, además, que dé igual si accedemos desde Chrome, Firefox, Edge o Safari o usemos la aplicación de cada compañía. Todo ello reforzando la seguridad y diciendo adiós a las antiguas contraseñas.
Pero no acaban ahí las ventajas:
- La autenticación será un proceso de un solo paso. Seguramente la primera vez que usemos el sistema tendremos que introducir algún código que nos llegue a través de SMS o similar, pero a partir de ahí los ‘logins’ deberían ser tan sencillos como mirar a la cámara o colocar el dedo sobre el lector.
- Las credenciales del usuario (patrones de su huella o de su rostro, por ejemplo) nunca abandonarán el dispositivo ni se almacenarán en el servidor de las compañías. Así, será imposible que caiga en manos de ciberdelincuentes como consecuencia de una fuga masiva de información, algo que por desgracia se ha vuelto frecuente.
- La autenticación a través de WebAuthn es teóricamente invulnerable al ‘phishing’, al menos tal y como lo conocemos: si no tienes contraseña, no pueden engañarte haciéndote creer que visitas la web de tu banco para que la introduzcas.
- Se acabó también la reutilización de claves, y además sin que tengas que pensar en una diferente para cada servicio.
Y si es tan bueno, ¿por qué no estamos ya utilizándolo?
“WebAuthn cambiará la forma en que la gente accede a la web”, ha asegurado Jeff Jaffe, máximo responsable del World Wide Web Consortium (W3C), que ya ha recomendado a todos los desarrolladores que se adhieran a este estándar, un paso fundamental para que tenga éxito.
Sin embargo, como casi todo en tecnología, el mayor reto que tiene que superar WebAuthn es precisamente la adopción. Mientras los protagonistas de las tres uve dobles (Facebook, Amazon, etc.), no lo hayan implementado, no será más que una promesa. Las páginas y aplicaciones más pequeñas no se van a poner a modificar su código para integrar el nuevo sistema de autenticación hasta que los gigantes hayan dado el paso.
La buena noticia es que la nueva especificación de FIDO ya cuenta con el apoyo de las empresas responsables de los principales navegadores y sistemas operativos. Mozilla Firefox ya lo integra desde su última actualización y los responsables de Google Chrome y Microsoft Edge han asegurado que lo implementarán en los próximos meses. También los equipos de Android y Windows Hello se están encargando de que sus móviles y ordenadores sean compatibles. Apple, por su parte, ha expresado su apoyo y asegura que sus ingenieros están trabajando en ello, aunque sin fechas concretas.
Algo más complicado es que se suban al carro los titanes del comercio electrónico, las redes sociales o las plataformas de ‘streaming’. Para Amazon, Facebook o Netflix, implementar WebAuthn supone un gran esfuerzo de programación. Por eso Selena Deckelmann, responsable del proyecto por parte de Firefox, cree que “inicialmente no tendremos ese glorioso futuro sin contraseñas”, sino una etapa de transición.
“Al principio se integrará como un segundo factor, algo para lo que las webs tendrán que escribir un poco de código”, predice. Y después, previsiblemente, llegará ese día en que entrar en cualquier página web o aplicación será tan sencillo como mover un dedo. Literalmente. Al menos hasta entonces, y seguro que también después, lo mejor es que sigamos protegiendo nuestros datos y dispositivos con soluciones de seguridad como Vodafone SecureNet. Porque el ‘phishing’, las fugas de información o los ciberataques son un peligro real al que tenemos que seguir haciendo frente en la era de las contraseñas, por mucho que su fin parezca estar cerca.
—————————–
Con información de FIDO Alliance, Wired y The Verge e imágenes de Christiaan Colen, Microsiervos, Okubax y Book Catalog
La entrada Este el plan de Google y Apple para desterrar (por fin) las viejas contraseñas se publicó primero en Cooking Ideas.