Passkeys: la solución definitiva para reemplazar las contraseñas

Publicado el 03 diciembre 2024 por Lauratuero @incubaweb

En un mundo digital cada vez más interconectado, las contraseñas, a pesar de ser esenciales para proteger cuentas y datos, se han convertido en un punto débil para la seguridad de millones de usuarios. Filtraciones masivas, contraseñas débiles o reutilizadas y ataques de phishing son solo algunos de los problemas asociados con este sistema tradicional de autenticación. Sin embargo, una nueva tecnología conocida como «passkeys» podría marcar el principio del fin para las contraseñas, ofreciendo una solución más segura, eficiente y fácil de usar.

¿Qué son las passkeys?

Las passkeys son un nuevo estándar de autenticación basado en claves criptográficas, desarrollado con el objetivo de reemplazar las contraseñas. Este sistema utiliza dos componentes: una clave pública, que se almacena en los servidores del servicio, y una clave privada, que permanece en el dispositivo del usuario. A diferencia de las contraseñas, las passkeys son únicas para cada servicio y nunca se comparten ni almacenan en texto plano, eliminando el riesgo de ser comprometidas en caso de filtraciones de datos.

Este sistema se apoya en estándares como WebAuthn y FIDO2, promovidos por organizaciones como la FIDO Alliance, que cuenta con el respaldo de grandes actores tecnológicos como Apple, Google y Microsoft. Su principal ventaja es que las passkeys no pueden ser robadas mediante ataques de phishing ni interceptadas en transmisiones, ya que funcionan exclusivamente en el dispositivo autorizado del usuario.

Cómo funcionan las passkeys

El proceso de autenticación con passkeys es sencillo y elimina la necesidad de recordar o escribir contraseñas. En lugar de introducir una clave alfanumérica, el usuario simplemente verifica su identidad mediante métodos como el reconocimiento facial, la huella dactilar o un PIN en su dispositivo. Este dispositivo genera una firma digital única que verifica al usuario sin necesidad de enviar información sensible a través de la red.

Por ejemplo, cuando alguien inicia sesión en una cuenta utilizando passkeys, el sistema verifica la clave pública almacenada en los servidores contra la clave privada del dispositivo. Si ambas coinciden, el acceso se concede de forma inmediata y segura.

Ventajas de las passkeys

  1. Seguridad mejorada: Al no depender de contraseñas escritas, se elimina el riesgo de ataques comunes como el phishing, fuerza bruta o el relleno de credenciales (credential stuffing). Además, las claves privadas nunca abandonan el dispositivo del usuario.
  2. Facilidad de uso: Los usuarios ya no necesitan recordar combinaciones complejas o utilizar gestores de contraseñas. Los métodos biométricos o un simple PIN hacen que el acceso sea rápido y sencillo.
  3. Compatibilidad con múltiples plataformas: Las passkeys están diseñadas para funcionar en dispositivos y servicios de diferentes plataformas, gracias al respaldo de gigantes tecnológicos y la implementación de estándares abiertos.
  4. Resiliencia frente a filtraciones: En caso de un ataque a un servidor, los datos robados no incluyen información útil para los atacantes, ya que las claves privadas permanecen seguras en los dispositivos de los usuarios.

Desafíos en la adopción

A pesar de sus ventajas, las passkeys enfrentan desafíos para su adopción masiva. Uno de los principales es la necesidad de que los servicios y aplicaciones adopten el estándar FIDO2, así como la disponibilidad de dispositivos compatibles con tecnologías de autenticación biométrica o de hardware especializado. Además, la educación de los usuarios es crucial para garantizar que comprendan los beneficios de esta tecnología y cómo utilizarla correctamente.

Por otro lado, la transición hacia un mundo sin contraseñas requerirá tiempo, especialmente en sectores donde las infraestructuras digitales son más complejas o están menos desarrolladas.

Un futuro sin contraseñas

Con el respaldo de empresas como Apple, Google y Microsoft, las passkeys están comenzando a integrarse en servicios populares, marcando un cambio hacia un futuro sin contraseñas. Estas compañías ya han implementado sistemas de soporte en sus plataformas para permitir a los desarrolladores adoptar esta tecnología en sus aplicaciones y sitios web.

Si bien las contraseñas han sido una parte fundamental de la ciberseguridad durante décadas, las passkeys ofrecen una solución que no solo mejora la seguridad, sino que también simplifica la experiencia del usuario. Con el tiempo, esta tecnología podría convertirse en el estándar predominante, liberando a los usuarios de la carga de gestionar múltiples contraseñas y ofreciendo una protección más robusta frente a las amenazas del mundo digital.