MADRID, 15 Ago. (CIBERPRO) –
La autenticación en el entorno digital es crucial para identificar a los usuarios y resguardar sus datos. Sin embargo, ante la variedad de opciones de seguridad, se perfila un futuro sin contraseñas, donde las ‘passkeys’ o claves de acceso toman protagonismo.
Las contraseñas han sido uno de los métodos más antiguos y comunes de autenticación digital. Se trata de claves secretas formadas por una serie de caracteres que permiten a los usuarios acceder a sistemas, servicios o dispositivos.
Si bien son fáciles de usar, su simplicidad se convierte en una desventaja, ya que son un blanco frecuente para ataques como el ‘phishing’, ‘malware’ y brechas de datos, lo que puede llevar a su robo o exposición, dejándolas inservibles.
«Los atacantes emplean herramientas avanzadas, incluso inteligencia artificial (IA), para adivinar o robar contraseñas», ha indicado Eusebio Nieva, director técnico de Check Point Software para España y Portugal, en conversación con Europa Press.
Además, los usuarios suelen cometer errores comunes, como elegir contraseñas débiles (por ejemplo, ‘12345’), reutilizar la misma contraseña en varias cuentas o usar variantes obvias que incluyen información personal.
También es habitual que los usuarios no actualicen sus contraseñas regularmente o las compartan. Esto las hace insuficientes en la actualidad, dado el avance de las ciberamenazas, que son cada vez más rápidas y efectivas.
Como resultado, la tendencia hacia la eliminación de contraseñas y su reemplazo por otros métodos de autenticación está en aumento. Un claro ejemplo es Microsoft, que ya no utiliza contraseñas para las nuevas cuentas de usuarios.
Por lo tanto, surgen otras alternativas de autenticación y seguridad, como gestores de contraseñas, claves de acceso y autenticación multifactor (MFA). «Depender únicamente de contraseñas ya no es recomendable. Aunque todavía se utilizan en muchos sistemas, su efectividad ha disminuido significativamente a causa del aumento de técnicas de robo de credenciales», ha evaluado Nieva.
HIGIENE DIGITAL: GESTORES DE CONTRASEÑA Y AUTENTICACIÓN MULTIFACTOR
Una opción adicional de seguridad son los gestores de contraseñas, aplicaciones diseñadas para almacenar y gestionar de manera segura las contraseñas de los usuarios. Funcionan como una caja fuerte digital protegida por una única contraseña maestra.
Este sistema utiliza cifrado de alto nivel y permite generar y almacenar credenciales únicas para cada sitio, minimizando el riesgo de reutilización. Esto lo convierte en un método «muy seguro», ya que, incluso si alguien accede a los archivos en sus servidores, «no podrá leer las contraseñas sin la clave adecuada», ha explicado a Europa Press el investigador principal de Seguridad de Kaspersky, Marc Rivero.
Además, Rivero ha destacado que los gestores de contraseñas suelen operar con cifrado de extremo a extremo, lo que significa que solo los usuarios tienen acceso a su contraseña maestra, y no los proveedores de servicios.
Sin embargo, su seguridad depende de que el usuario proteja la contraseña maestra, use una contraseña fuerte y única, y tenga habilitada la autenticación de dos factores (2FA), ha especificado Rivero.
La 2FA es un método que requiere dos formas de verificación para acceder a una cuenta. Es decir, además de la contraseña, el usuario debe proporcionar un segundo factor, como un código enviado al ‘smartphone’, una aplicación de autenticación o una huella dactilar. Según Rivero, «añade una capa adicional de protección» y hace que «la seguridad aumente significativamente».
Otro método de protección es la autenticación multifactor, que, al igual que la 2FA, requiere dos o más factores de verificación para acceder a una cuenta.
Entre las diferentes opciones de multifactor, las más seguras son, de mayor a menor robustez, las llaves o ‘tokens’ físicos, las aplicaciones de autenticación multifactor, como Google Authenticator o Microsoft Authenticator, y, en último lugar, los mensajes SMS, según ha señalado a Europa Press Josep Albors, director de Investigación y Concienciación de ESET España.
En el caso de los SMS, Albors ha advertido que es un método que «hace años que se recomienda dejar de usar», ya que es trivial para los ciberdelincuentes, quienes pueden interceptar fácilmente el código en un dispositivo infectado mediante técnicas como el ‘SIM Swapping’.
Asimismo, la MFA también presenta vulnerabilidades, como los ataques de ingeniería social que buscan que el usuario proporcione voluntariamente el código de autenticación a los ciberdelincuentes, a menudo mediante páginas web falsas, ha recordado Albors.
UN PASO MÁS EN LA SEGURIDAD CON LAS ‘PASSKEYS’
Las ‘passkeys’ son una de las opciones más innovadoras, que utilizan tecnologías como la biometría, incluyendo huellas dactilares y reconocimiento facial, así como un PIN local para verificar la identidad del usuario, eliminando la necesidad de contraseñas.
Como indicó Hervé Lambert, director global de Operaciones de Consumo en Panda Security, las ‘passkeys’ son actualmente «uno de los métodos más seguros para autenticarse», basándose en la criptografía asimétrica, donde el usuario posee una clave privada almacenada de manera segura en su dispositivo y el servicio online tiene la clave pública asociada. Esto las hace «inútiles» ante ataques de phishing, «ya que no hay nada que robar visualmente».
Sin embargo, este método aún no está implementado en todos los servicios ni navegadores y depende de dispositivos actualizados y compatibles, ha señalado Lambert.
CUÁNDO UTILIZAR CADA MÉTODO: ‘PASSKEYS’ VS CONTRASEÑAS
Frente a tantas opciones de protección, es útil recordar cuándo es mejor utilizar cada servicio. Lambert ha señalado que las contraseñas solo deberían usarse «cuando no haya otra alternativa».
Es importante que la contraseña ideal tenga un mínimo de doce caracteres, combinando números, letras mayúsculas y minúsculas, y símbolos, para resistir ataques de fuerza bruta de manera razonable.
La MFA es «imprescindible» en cuentas críticas como correo electrónico, redes sociales o banca online. Sin embargo, Lambert ha concluido que las ‘passkeys’ son «ideales siempre que estén disponibles», especialmente en plataformas que ya las soportan (como Google o Apple), ya que son más seguras y fáciles de usar.
UN FUTURO SIN CONTRASEÑAS
La tendencia más evidente para el futuro de la autenticación digital es el abandono progresivo de las contraseñas en favor de métodos como las ‘passkeys’. También están en auge tecnologías como la autenticación adaptativa, que evalúa el contexto (ubicación, dispositivo, IP, comportamiento del usuario) para determinar si un acceso es legítimo y aplicar medidas adicionales al detectar un riesgo, ha añadido Lambert.
Además, «el uso creciente de IA para identificar patrones anómalos en tiempo real y aplicar autenticación adaptativa promete una experiencia más transparente para los usuarios, pero más robusta y contextual para los sistemas», ha valorado Eusebio Nieva, directivo de Check Point.
