(+34) 910 42 42 93 [email protected]

El título puede ser un poco pretencioso, pero me explico.

Hace ya unas cuantas semanas comentamos por estos lares que Google estaba preparando el desarrollo de un sistema de verificación de identidad en Android no sujeto a la necesidad de contar con contraseñas.

Microsoft, de hecho, también está trabajando en ello, como cubrimos en esta pieza en CyberBrainers.

Y estos días, tras el evento de Apple, los de Cupertino presentaron su propuesta.

Las tres se basan en el mismo estándar FIDO, y esto es importante porque supone, de facto, el primer acercamiento estandarizado que tiene, bajo mi humilde opinión, oportunidad de transformarse en un sistema realmente alternativo al dominio incuestionable de las contraseñas que tenemos desde los inicios de Internet.

El funcionamiento de ese Passkeys de Apple es, como decía, semejante al del resto de las tres grandes compañías tecnológicas del momento:

  1. Al intentar identificarnos en una web o servicio, el sistema nos pedirá que nos identifiquemos con la herramienta (en el caso de Apple, Passkey, en el caso de Google y Microsoft el suyo).
  2. Si es la primera vez que lo hacemos (creación de cuenta), el dispositivo EN LOCAL (pongo esto en mayúsculas y me detendré más tarde en ello) genera una clave privada y pública en base a la privada que genera la web o el servicio en cuestión.
  3. Si ya teníamos cuenta, el dispositivo comprueba que la clave pública está basada en la privada que tenía almacenada en local.
  4. En ambos casos, para identificar al usuario en cuestión, se usa el sistema biométrico que tenga el dispositivo (lector de huella digital, lector de rostro…).
  5. La pública se comparte, y el usuario se identifica.

Vamos, nada nuevo bajo el sol, solo que con la salvedad que antes este tipo de sistemas se solían utilizar únicamente en los servicios nativos, y ahora a priori estarán disponibles en cualquier servicio de terceros que lo implemente mediante WebAuthn (ES).

Ponía EN LOCAL en mayúsculas ya que por aquí está uno de los puntos fuertes de estos sistemas, y es que a priori todo se gestiona, al menos en los dispositivos de Apple, en local. Lo que sí creo que se comparte entre dispositivos (ya sabes, eso sí, solo dispositivos compatibles y del mismo ecosistema) son las claves públicas. En Apple mediante el llavero de iCloud, para que nos entendamos.

Estaba pensando en ello, que ya en su día dije que no le veía tan revolucionario como lo planteaban, cuando caí que a lo mejor el movimiento sí es importante si, en efecto, acaba siendo el método por defecto de loging, y no solo una alternativa.

¿Que por qué? Porque sin contraseñas, la mayoría de campañas de phishing no tendrían sentido.

Y considerando que el phishing es hoy en día el principal vector de ataque de la industria del cibercrimen, se acabaría de un plumazo con buena parte de él.

La razón para pensar en esto radica en que en el entorno actual, lo más habitual en una campaña de phishing es que esta te lleve a una página clonada y falsa del servicio a quien usurpan la identidad, de forma que la víctima mete sus datos (usuario y contraseña)… y ya te los han robado.

Si, en efecto, el sistema este acaba siendo el estándar en los próximos años, y no hay opción de loging con contraseña (que seguramente se mantenga durante muuuucho tiempo, ojo), se da la casualidad de que puesto que la verificación de identidad debe hacerse en dos capas (la del dispositivo, y la del servidor), aunque nos roben esa clave pública… al no verificarse en el dispositivo (no poder recrearse en otro dispositivo si no es mediante otra verificación en el mismo momento del acceso), estas campañas de phishing no servirían de nada.

A lo sumo el cibercriminal obtendría unos cuantos pares de usuario y credenciales públicas, siendo estas últimas insuficientes para acceder a las cuentas.

Que es mucho decir, lo sé. Y que el diablo seguramente esté, como suele ocurrir, en los detalles. Habrá que ver si en efecto todos gestionan la doble verificación de la misma manera, o si hay maneras de bypasearla con algo tan sencillo como un recuperador de cuentas.

Pero oye, después de tantísimos años quejándonos de que el sistema de identificación actual es ineficiente, en la mesa como mínimo tenemos algo que podría llegar a funcionar.

Ya veremos en qué queda todo.

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

Pablo F. Iglesias
Pablo F. Iglesias

Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂