QR, bluetooth y criptografía: esta es la idea de Google, Apple y Microsoft para matar las contraseñas
Este 4 de mayo se ha celebrado el día mundial de las contraseñas. Es el momento que ha elegido Google para anunciar que ya tiene listo el método con el que las grandes tecnológicas quieren acabar con ellas. Se llama 'passkeys' y surge de una alianza entre la propia Google, Apple y Microsoft para erradicar las contraseñas de los principales servicios digitales, por ser “frustrantes de recordar y suponer un riesgo si acaban en las manos equivocadas”. Es una guerra que lleva años abierta, pero que está a punto de entrar en su fase decisiva y potencialmente más caótica.
Los especialistas en ciberseguridad suelen advertir que el usuario final es el eslabón más débil de la cadena. El problema de la identificación por contraseña es que deja en ese eslabón débil uno de los aspectos decisivos de su protección, lo que acaba derivando en que claves que pueden descifrarse en minutos como “123456” o “barcelona” estén entre las más usadas año tras año en España. La alternativa que proponen los gigantes digitales es usar como llave maestra un dispositivo de confianza del usuario.
Google ha sido la primera en implantarlo en sus cuentas. “Las passkeys permiten a los usuarios iniciar sesión en aplicaciones y sitios web de la misma forma que desbloquean sus dispositivos: con una huella dactilar, un escáner facial o un PIN de bloqueo de pantalla”, explica la compañía: “Y, a diferencia de las contraseñas, las passkeys son resistentes a ataques como el phishing, lo que las hace más seguras que los códigos de un solo uso por SMS”. Estos últimos son de hecho uno de los métodos de estafa en auge en España, como detalló elDiario.es en este reciente reportaje.
Las passkeys pueden instalarse en varios dispositivos, pero lo ideal es hacerlo en un móvil. Para usarlas hay que configurar la cuenta de Google para que solicite esta clave segura en vez de la contraseña. Esto provocará que cuando se intente entrar desde otro aparato, en vez del campo para introducir la contraseña aparezca un aviso en el teléfono para confirmar la identidad del usuario. Al desbloquearlo con el PIN, con la huella o con la cara, se producirá una identificación criptográfica local.
El principio es sencillo: si la persona que está intentando acceder a la cuenta tiene en sus manos el teléfono que está vinculado a ella, sabe cómo desbloquearlo y está al lado del aparato desde el que está tratando de hacerlo, entonces es el propietario de la cuenta. Detrás de ese principio Google, Apple y Microsoft han desarrollado un entramado de varias tecnologías para hacer el sistema lo más impenetrable posible.
QR, bluetooth, criptografía
Passkey utiliza los códigos QR, el bluetooth y la criptografía para asegurar que el usuario es quien dice ser. El proceso comienza con el usuario escaneando con su móvil el código QR que mostrará el dispositivo desde el que está intentando iniciar sesión. “A continuación, el dispositivo verifica que tu teléfono está cerca mediante un pequeño mensaje bluetooth anónimo y establece una conexión cifrada de extremo a extremo con el teléfono a través de Internet. El teléfono utiliza esta conexión para entregar tu firma de clave de acceso de un solo uso, que requiere tu aprobación y el paso biométrico o de bloqueo de pantalla en el teléfono”, resume Google.
Esas claves cifradas no van a ninguna base de datos, por lo que no son vulnerables a filtraciones o brechas de seguridad. Por su parte, la conexión con bluetooth “garantiza que los atacantes remotos no puedan engañarte para que liberes una firma de clave de acceso, por ejemplo, enviándote una captura de pantalla de un código QR desde su propio dispositivo”, explica la compañía.
“A diferencia de las contraseñas, las passkey sólo pueden existir en tus dispositivos. No pueden escribirse ni entregarse accidentalmente a un actor malintencionado. Cuando utilizas una passkey para acceder a tu cuenta de Google, demuestras a Google que tienes acceso a tu dispositivo y que puedes desbloquearlo. En conjunto, esto significa que las passkeys te protegen contra la suplantación de identidad y contra cualquier manipulación accidental a la que son propensas las contraseñas, como su reutilización o su exposición en una filtración de datos”, defiende Google.
Las contraseñas no van a morir (pronto)
Google asegura que la identificación con passkey es más robusta incluso que los métodos de doble factor. Sin embargo, reconoce que aún queda mucho tiempo para que las contraseñas tradicionales pasen a mejor vida. Uno de los motivos es que el sistema passkey debe ser totalmente compatible en todos los ecosistemas digitales, algo que las grandes tecnológicas aún no tienen engrasado.
Google, Apple y Microsoft firmaron hace años un pacto con FIDO Alliance para impulsar el desarrollo de passkeys en sus plataformas. Para que el plan salga adelante, no debe haber problema en que un propietario de un iPhone use su passkey para identificarse en una cuenta de Google desde Edge, el navegador de Microsoft. Pero eso supone un encaje entre las tripas de las tres compañías que no tiene precedentes y que no se logrará rápidamente. A esto hay que sumar que el sistema utiliza varias tecnologías que no funcionan igual en los tres ecosistemas.
La muestra es lo que ocurre con los passkeys de Google en los teléfonos de Apple. A pesar de que Google ha sido la primera en lanzarlo, para instalar las passkeys para su cuenta en un iPhone es necesario instalar una app para desarrolladores y hacer una serie de configuraciones avanzadas. Muy lejos del nivel de usabilidad que necesita el usuario medio.
En su comunicado de este jueves, Google vaticina que es posible que para el día internacional de la contraseña de 2024 estas ya hayan pasado a mejor vida para muchas personas. No obstante, otras iniciativas de los gigantes digitales para cambiar los engranajes básicos de Internet están mostrando que esto no es tan sencillo de hacer. El plan para acabar con las cookies de la propia Google, sin ir más lejos, ha tenido que aplazarse en varias ocasiones.
7