Un mundo… ¿Sin contraseñas?

Los expertos en ciberseguridad llevan lustros avisando del riesgo inherente al sistema clásico de contraseñas. En gran medida, debido al factor humano. Que es como llamamos, quizá con demasiada amabilidad, a la desidia que nos lleva a poner “password” como password, a no cambiar las contraseñas en años o a utilizar la misma contraseña en nuestros servicios personales y en el entorno corporativo.

Las contraseñas son, de hecho, uno de los principales vectores de ataque. Los datos de Microsoft señalan que, en el 2024, la compañía detuvo más de 7.000 ciberataques por segundo que iban específicamente dirigidos a las contraseñas. Buena parte de ellos se basan en el phishing, que, de hecho, se incrementó en un 146% respecto al año anterior, según los datos de la compañía.

El riesgo que suponen las contraseñas

Raquel Hernández, directora de soluciones de seguridad de Microsoft en España, explica que, ”según el Informe de defensa digital de Microsoft, el 99 % de los ataques de identidad se basan en contraseñas. Los atacantes aprovechan los comportamientos humanos predecibles como el uso de contraseñas débiles y la reutilización de las mismas. Aunque la adopción de la autenticación multifactor está aumentando hasta el 41%, los ciberdelincuentes están cambiando de tácticas, centrándose en la infraestructura y empleando ataques de phishing de intermediario - adversary-in-the-middle - (AiTM) y robo de tokens”.

Las buenas prácticas en el uso de contraseñas, como recuerda Miriam Puente, técnico de conocimiento y concienciación para la ciudadanía de INCIBE, “deben ser robustas, con una longitud y caracteres suficientes, utilizar una distinta para cada servicio en el que nos registremos, actualizarlas periódicamente y no compartirlas con otros usuarios. Asimismo, dentro de estas buenas prácticas debemos tener en cuenta el uso de gestores de contraseñas. Pero aun siguiendo todas estas pautas, estas podrían ser vulnerables a ataques de ingeniería social o phishing”.

Marc Sabadí, identity innovation lead en Mitek, identifica tres grandes problemas en el uso de las contraseñas: “primero, los ataques. Las filtraciones de bases de datos con millones de credenciales son el pan de cada día, y los ciberdelincuentes utilizan esos datos para lanzar ataques automatizados a gran escala. Segundo, el phishing: por muy sofisticadas que sean las soluciones de seguridad, los hackers siempre encuentran formas de engañar a los usuarios para que entreguen sus credenciales. Y tercero, la gestión: la mayoría de las personas reutiliza las mismas contraseñas en múltiples servicios, lo que significa que un solo fallo puede comprometer toda su identidad digital”.

Ante este escenario, se apuesta cada vez más por sistemas de autenticación sin contraseñas. Marc Rivero, lead security researcher de Kaspersky, explica que “métodos como la biometría (huella digital, reconocimiento facial), claves de seguridad FIDO2 y autenticación multifactor (MFA) permiten un acceso más seguro y reducen la dependencia de contraseñas tradicionales. Estas tecnologías no solo fortalecen la seguridad, sino que también mejoran la experiencia del usuario al eliminar la necesidad de recordar y gestionar múltiples credenciales”.

¿Por qué siguen entre nosotros?

El cambio, sin embargo, no se está dando a la velocidad deseada. Anastasia Sotelsek, principal sales engineer de CyberArk, explica que, “a pesar de los problemas asociados y la creciente conciencia acerca de los peligros de las contraseñas, su facilidad de uso y la familiaridad por parte de los usuarios hace que las contraseñas sigan siendo ampliamente utilizadas. Muchos usuarios y organizaciones están acostumbrados a este método de autenticación y puede ser difícil cambiar a sistemas passwordless debido a la resistencia al cambio, la falta de conocimiento sobre las alternativas existentes y los costes asociados a la implementación de nuevos sistemas”.

A estos factores Carla Roncato, vicepresidenta de identidad de WatchGuard Technologies, añade “los conceptos erróneos sobre seguridad: aunque los enfoques sin contraseña pueden eliminar la ingeniería social, el phishing, la fuerza bruta y las técnicas de relleno de credenciales, algunas organizaciones siguen percibiendo las contraseñas como una medida de seguridad adecuada. La duplicidad en regulaciones y estándares: ciertas normativas (como PCI-DSS, HIPAA) y marcos industriales exigen específicamente el uso de contraseñas complejas. La multiplicidad de tipos de credenciales: no existe un único protocolo sin contraseña universalmente adoptado. El respaldo ante fallos técnicos y continuidad operativa: las contraseñas siguen funcionando como un ‘Plan B’ o mecanismo de respaldo en caso de fallos en la autenticación biométrica o pérdida de dispositivos físicos”.

Son todos ellos obstáculos muy importantes y a menudo se interrelacionan entre sí. Por ejemplo, la falta de estándares extendidos y la complejidad normativa supone un freno para que algunas empresas se decidan a realizar la fuerte inversión tecnológica que puede conllevar el salto a los sistemas passwordless. Pese a ello, las ventajas de la autenticación sin contraseñas parecen evidentes.

Ventajas y riesgos de la autenticación sin contraseñas

Como beneficios, Marc Sabadí, de Mitek, detalla que “el phishing deja de ser una amenaza efectiva, los ataques de fuerza bruta se vuelven inútiles y las filtraciones de bases de datos ya no exponen credenciales sensibles. El segundo beneficio clave es la experiencia de usuario: con métodos passwordless, los usuarios pueden autenticarse con su rostro o su huella dactilar. Es más rápido, más cómodo y reduce la fricción en cada inicio de sesión. Y luego está la eficiencia operativa. Al eliminar las contraseñas, reducimos ese coste y mejoramos la productividad tanto de los empleados como de los equipos de TI”.

Frente a esas ventajas, los riesgos son menores, aunque Miriam Puente, de INCIBE, explica que “ninguna tecnología es segura al cien por cien y los ciberdelincuentes siempre evolucionan sus técnicas. Para acceder de forma fraudulenta a un sistema passwordless, los ciberdelincuentes tendrían que estar en posesión del dispositivo, ya que en él se encuentra la clave privada, y del método elegido para su desbloqueo. Esto hace que resulte muy complicado un acceso fraudulento al sistema, pero no imposible”.

Para Carla Roncato, de WatchGuard Technologies, riesgos son “relativamente bajos”, aunque destaca entre ellos “la suplantación biométrica: los métodos de autenticación biométrica, como el reconocimiento facial o la huella dactilar, pueden ser falsificados mediante deepfakes generados por IA o técnicas de síntesis. La dependencia del dispositivo: la autenticación sin contraseña suele estar vinculada a un dispositivo específico. Si el dispositivo se pierde, se olvida, se daña o se ve comprometido, el usuario puede quedar bloqueado. Opciones de backup limitadas: las organizaciones pueden enfrentar dificultades si disponen de pocos métodos de autenticación de backup. Opciones de recuperación limitadas: restaurar credenciales tras una brecha de seguridad o un incidente de ransomware puede representar un reto significativo para las organizaciones”.

Marc Rivero, de Kaspersky, añade que “uno de los principales desafíos es la suplantación de identidad biométrica, donde los atacantes pueden intentar falsificar huellas dactilares, rostros o voces para acceder a los sistemas. Aunque las tecnologías avanzadas, como el reconocimiento facial en 3D, han reducido estos riesgos, siguen existiendo vulnerabilidades. Otro riesgo importante es la dependencia de los proveedores de autenticación, ya que, en caso de fallos en el servicio o ataques a la infraestructura de estos proveedores, el acceso podría verse comprometido”.

Soluciones passwordless en el mercado

En todo caso, teniendo en cuenta pros y contras, la balanza está claramente a favor de métodos passwordless. Raquel Hernández, de Microsoft España, recomienda “una transición a métodos de autenticación resistentes a la suplantación de identidad y sin contraseña, como las claves de paso -passkeys-. Hay que mejorar la supervisión con detección de amenazas basada en IA y garantizar el acceso solo desde dispositivos administrados. Hay que proteger la infraestructura de identidad, gobernando los permisos y retirando las aplicaciones no utilizadas”.

La mayor parte de proveedores de ciberseguridad dispone de soluciones específicamente diseñadas para los entornos sin contraseñas. Como hemos comentado más arriba, no se trata de propuestas que sigan un mismo estándar, sino que abordar la cuestión desde distintas perspectivas. Según el tipo de infraestructura tecnológica y de estructura corporativa, cada una puede cubrir distintas necesidades que tengan las compañías.

WatchGuard dispone de “soporte sin contraseña para clientes Windows y MacBook, llaves de hardware y una app autenticadora móvil para la gestión de tokens” dentro de su porfolio AuthPoint. Carla Roncato, vicepresidenta de identidad de la compañía, detalla que “en Windows, el agente MFA aprovecha Windows Hello for Business para utilizar reconocimiento facial o huella dactilar como primer factor de autenticación, combinado con múltiples opciones de verificación, como notificaciones push y códigos de un solo uso basados en tiempo (TOTP). En macOS, el agente MFA para Mac admite Touch ID como primer factor de autenticación, con opciones configurables para un segundo factor”.

Marc Sabadí, Identity Innovation Lead de Mitek, explica que uno de los elementos clave de sus soluciones es la “autenticación biométrica avanzada, que incluye la verificación de identidad a través de características físicas como el reconocimiento facial y la verificación por voz. Esto permite a los usuarios autenticarse de manera rápida y segura, eliminando la necesidad de recordar contraseñas. Además, contamos con una detección avanzada de fraude utilizando inteligencia artificial. Este sistema verifica la autenticidad de los documentos o características biométricas, y también detecta intentos de suplantación de identidad mediante tecnologías como el liveness detection, que previene el uso de fotos, videos o deepfakes”.

Por su parte, Anastasia Sotelsek, principal sales engineer de CyberArk, señala que la propuesta de su compañía “pasa por una gestión de contraseñas que incluye el almacenamiento seguro de credenciales en la nube, lo cual permite a los usuarios acceder a aplicaciones empresariales con inicio de sesión único, reduciendo la necesidad de recordar contraseñas y apoyándose en la autenticación multifactor (MFA) adaptativa para mejorar la seguridad dentro de un entorno passwordless”.

Microsoft, que dispone de la suite de gestión de identidades y redes Microsoft Entra Suite, propone un sistema de passkeys. Raquel Hernández, directora de Soluciones de Seguridad de la compañía, explica que “las passkeys tienen niveles de protección, privacidad y simpleza superiores a las contraseñas tradicionales. Algunas de las ventajas son: iniciar sesión con una passkey es tres veces más rápido que mediante una contraseña tradicional y hasta ocho veces más rápido que con contraseña y la autenticación multifactor; los usuarios tienen tres veces más éxito al iniciar sesión con claves de acceso (98%) que con contraseñas (32%); el 99% de los usuarios que inician su registro para utilizar passkeys, lo completan”.

Un futuro próximo todavía con contraseñas

Pese a la amplitud de alternativas disponibles, Miriam Puente, técnico de conocimiento y concienciación para la ciudadanía de INCIBE, considera que las organizaciones “se podrían enfrentar a dificultades para integrar estos sistemas con su entorno tecnológico existente, sumado a la posible resistencia al cambio de los usuarios que ya se sienten cómodos con otros métodos instaurados. Por ello, de momento podemos decir que no se prevé un remplazo de las contraseñas a corto plazo y que previsiblemente seguiremos conviviendo con ambos métodos”.

Anastasia Sotelsek, principal sales engineer de CyberArk, coincide en que “quizá no sea posible eliminar completamente las contraseñas en un futuro cercano, ya que muchas empresas y usuarios seguirán usando métodos tradicionales. Eso sí, esperamos que la prevalencia de las soluciones passwordless aumente y se traduzca en una reducción significativa de su uso. Aunque la transición completa puede llevar tiempo, la evolución lógica es la utilización de métodos más seguros y eficientes”.

Para Marc Rivero, lead security researcher de Kaspersky, “el futuro de la autenticación apunta claramente a una reducción drástica del uso de contraseñas en favor de métodos más seguros y convenientes. A medida que las empresas y los usuarios adopten soluciones basadas en claves de seguridad, autenticación biométrica y factores contextuales inteligentes, el uso de contraseñas quedará relegado a casos específicos o como método de recuperación en situaciones excepcionales. Además, el crecimiento de la IA y el aprendizaje automático en ciberseguridad permitirá detectar intentos de acceso sospechosos sin necesidad de credenciales tradicionales”.