“El futuro es passwordless, alineado con el enfoque estratégico Zero Trust”, Carla Roncato, WatchGuard

¿Cuáles son los riesgos asociados al uso tradicional de las contraseñas?

El uso tradicional de contraseñas conlleva múltiples riesgos de seguridad, independientemente del tamaño de la organización, el sector y el entorno de TI. Los vectores de ataque y riesgos más comunes incluyen:

• Robo de credenciales: las contraseñas pueden ser robadas a través de ataques de phishing, malware o brechas en bases de datos.
• Contraseñas débiles: los usuarios crean contraseñas fáciles de adivinar a través de múltiples servicios, que son muy susceptibles a los ataques de fuerza bruta y al relleno de credenciales.
• Reutilización y uso compartido de contraseñas: independientemente de la seguridad o complejidad de la contraseña, el alto porcentaje de reutilización y uso compartido de contraseñas aumenta el radio de explosión y la superficie de ataque.
• Cumplimiento incoherente de la política de contraseñas: la complejidad y longitud excesivas de las contraseñas frustran a los usuarios, lo que conduce al incumplimiento,
• Falta de visibilidad y control: especialmente en los casos de shadow IT y aplicaciones SaaS sin inicio de sesión único (SSO), poca visibilidad y ningún control sobre la gestión de contraseñas.

Estos factores han creado demanda y requisitos para soluciones como la autenticación multifactor (MFA), la autenticación sin contraseña y la gestión de acceso de inicio de sesión único.

 

Pese a la problemática asociada a las contraseñas, ¿por qué siguen siendo de uso común en lugar de los sistemas passwordless?

A pesar de los riesgos bien conocidos, los nombres de usuario y las contraseñas siguen siendo la credencial predominante utilizada para acceder a sistemas y aplicaciones debido a varios factores clave:

• Tecnología heredada y costes de migración: muchas organizaciones operan con sistemas empresariales heredados que no admiten la autenticación sin contraseña. La transición a la infraestructura en la nube y la gestión de identidades a menudo requiere servicios profesionales especializados o formación interna, desarrollo y nuevas inversiones.
• Resistencia cultural y usabilidad: las contraseñas son un método familiar para los usuarios y los equipos de TI. El cambio a métodos sin contraseña (biometría, claves de hardware, tarjetas inteligentes, tokens, apps móviles de autenticación) implica un proceso de cambio que requiere una cuidadosa preparación del usuario final, procedimientos de registro y una planificación estratégica para su adopción.
• Conceptos erróneos sobre seguridad: aunque los enfoques sin contraseña pueden eliminar la ingeniería social, el phishing, la fuerza bruta y las técnicas de relleno de credenciales, algunas organizaciones siguen percibiendo las contraseñas como una medida de seguridad adecuada.
• Duplicidad en regulaciones y estándares: ciertas normativas (como PCI-DSS, HIPAA) y marcos industriales exigen específicamente el uso de contraseñas complejas, gestión de sesiones y auditoría, incluso cuando se implementan soluciones sin contraseña junto con controles de cumplimiento.
• Multiplicidad de tipos de credenciales: no existe un único protocolo sin contraseña universalmente adoptado, lo que genera múltiples opciones, como las claves FIDO2, Windows Hello, Apple Touch ID y Face ID, claves de hardware y soluciones basadas en certificados. Esto dificulta la integración en los ecosistemas existentes.
• Respaldo ante fallos técnicos y continuidad operativa: las contraseñas siguen funcionando como un "Plan B" o mecanismo de respaldo en caso de fallos en la autenticación biométrica o pérdida de dispositivos físicos (como claves de hardware o tokens móviles). Eliminar las contraseñas por completo no siempre es recomendable, pero reducir su uso puede minimizar significativamente los riesgos.

Estos desafíos dificultan que las organizaciones reduzcan su dependencia de las contraseñas y adopten soluciones modernas de gestión de identidad en la nube y autenticación sin contraseña.

Sin duda, el futuro es passwordless, alineado con el enfoque estratégico de Zero Trust para adaptarse a las necesidades y nivel de madurez de cada organización. Las contraseñas no desaparecerán de la noche a la mañana, pero su dominio en el entorno laboral está disminuyendo en favor de sistemas de identidad más seguros y resistentes al phishing y ataques de repetición.

 

¿Qué riesgos pueden presentar los sistemas sin contraseña? ¿Qué beneficios aportan?

Los sistemas sin contraseña presentan riesgos relativamente bajos, aunque algunos son novedosos debido a la aparición de nuevas técnicas de ataque, como:

• Suplantación biométrica: los métodos de autenticación biométrica, como el reconocimiento facial o la huella dactilar, pueden ser falsificados mediante deepfakes generados por IA o técnicas de síntesis.
• Dependencia del dispositivo: la autenticación sin contraseña suele estar vinculada a un dispositivo específico. Si el dispositivo se pierde, se olvida, se daña o se ve comprometido, el usuario puede quedar bloqueado.
• Opciones de backup limitadas: las organizaciones pueden enfrentar dificultades si disponen de pocos métodos de autenticación de backup.
• Opciones de recuperación limitadas: restaurar credenciales tras una brecha de seguridad o un incidente de ransomware puede representar un reto significativo para las organizaciones.

 

¿Cuál es la propuesta passwordless de su compañía y cómo funciona?

El portafolio AuthPoint de WatchGuard ofrece soporte sin contraseña para clientes Windows y MacBook, llaves de hardware y una app autenticadora móvil para la gestión de tokens.

En Windows, el agente MFA aprovecha Windows Hello for Business para utilizar reconocimiento facial o huella dactilar como primer factor de autenticación (en lugar de contraseñas), combinado con múltiples opciones de verificación, como notificaciones push y códigos de un solo uso basados en tiempo (TOTP).
En macOS, el agente MFA para Mac admite Touch ID como primer factor de autenticación, con opciones configurables para un segundo factor.

Además, ambos agentes pueden configurarse mediante políticas para verificar actividades de elevación de privilegios, evitando cambios no autorizados en el sistema operativo (OS), los sistemas y los procesos.

 

De cara al futuro, ¿cree que se podrán dejar atrás completamente las contraseñas?

Las credenciales basadas en nombre de usuario y contraseña pueden eliminarse en aquellas organizaciones que no dependan de infraestructuras de gestión de identidad heredadas o aplicaciones personalizadas locales.

En el caso de organizaciones híbridas, que están migrando cargas de trabajo a la nube, el uso de sistemas de gestión de identidad en la nube para acceder a aplicaciones SaaS impulsará inevitablemente la adopción de soluciones de autenticación sin contraseña. Para aquellas empresas que mantengan un entorno mixto, combinando credenciales con y sin contraseña, será fundamental incorporar capacidades de Identity Threat Detection and Response (ITDR). Las soluciones ITDR están diseñadas para detectar, investigar y responder proactivamente a amenazas relacionadas con la identidad, anomalías de comportamiento, configuraciones erróneas y vulnerabilidades en infraestructuras de identidad locales, servicios de identidad en la nube, monitorización de credenciales en la dark web y riesgos internos.

Al combinar gestión moderna de identidad con principios zero trust, las organizaciones pueden mejorar la resiliencia, detección de amenazas, inteligencia de riesgos y capacidad de respuesta, reduciendo la superficie de ataque que supone la autenticación basada únicamente en contraseñas.

El enfoque de WatchGuard con AuthPoint refleja una visión clara y sólida sobre cómo lograr una seguridad de identidad real, adaptada a los desafíos del mundo actual.