"Ninguna tecnología es segura al 100%: los ciberdelincuentes siempre evolucionan sus técnicas", Miriam Puente, INCIBE
- Entrevistas

Para la elaboración del artículo "Un mundo... ¿Sin contraseñas?", quisimos contar con la perspectiva de una institución pública reconocida como el Instituto Nacional de Ciberseguridad (INCIBE). Ofrecemos a continuación la entrevista completa que realizamos para ello a Miriam Puente, técnico de conocimiento y concienciación para la ciudadanía del organismo.
¿Cuáles son los riesgos asociados al uso tradicional de las contraseñas?
Las buenas prácticas en ciberseguridad nos enseñan que las contraseñas, a partir de los riesgos más habituales en su uso, deben ser robustas, con una longitud y caracteres suficientes, utilizar una distinta para cada servicio en el que nos registremos, actualizarlas periódicamente y no compartirlas con otros usuarios. Pero aun siguiendo todas estas pautas, estas podrían ser vulnerables a ataques de ingeniería social o phishing.
Como capa de seguridad extra para proteger el acceso a nuestras cuentas, desde INCIBE siempre recomendamos el uso del doble factor de autenticación y habilitarlo siempre que sea posible. Este sistema genera un segundo paso para verificar la identidad del usuario, como, por ejemplo, el código que llega a nuestros teléfonos o la solicitud de aprobación mediante biometría (huella o reconocimiento facial), cuando realizamos una operación bancaria.
Asimismo, dentro de estas buenas prácticas debemos tener en cuenta el uso de gestores de contraseñas. Estas aplicaciones sirven para almacenar todas nuestras credenciales (usuarios, contraseñas, sitios web a los que corresponden, etc.) en una base de datos cifrada mediante una contraseña “maestra”. De este modo, podemos gestionar todas nuestras cuentas de usuario desde una misma herramienta, memorizando únicamente esta clave maestra.
Si bien hay ciertos riesgos intrínsecos al uso de las contraseñas, estos pueden minimizarse si hacemos un uso seguro de las mismas.
Pese a la problemática asociada a las contraseñas, ¿por qué siguen siendo de uso común en lugar de los sistemas passwordless?
Como apuntábamos, se ha conseguido reforzar las debilidades propias de las contraseñas mediante el uso de los gestores de contraseñas y de la autenticación de doble factor o multifactor como medida de seguridad complementaria.
A este hecho, podemos añadir otros factores que afectarían sobre todo a las organizaciones, como la necesidad de inversión en nueva tecnología y actualización de infraestructuras, o el hecho de que la pérdida del dispositivo o el fallo del método de autenticación son problemas aun no resueltos asociados al uso de esta tecnología y habría que establecer un método de recuperación o acceso alternativo.
Finalmente estaría el factor humano y la resistencia al cambio. La adaptación a nuevas tecnologías requiere tiempo y esfuerzo tanto por parte de los administradores de sistemas como de los usuarios finales.
¿Qué riesgos pueden presentar los sistemas sin contraseña? ¿Qué beneficios aportan?
Los beneficios que aporta este método de autenticación son varios:
- Las contraseñas dejan de ser la única vía de acceso a los sistemas, utilizando una opción más segura como es el sistema de clave pública y privada.
- Los principales métodos utilizados por los ciberdelincuentes, como son el phishing, o ataques de fuerza bruta, dejan de funcionar.
- Los usuarios no tienen que recordar contraseñas, haciendo que el flujo de trabajo sea mucho más ágil, ya que en muchas ocasiones estos no tienen que introducir ningún dato. Solamente con algo que poseen, como su huella dactilar, podrán acceder al sistema.
Por otro lado, ninguna tecnología es segura al cien por cien y los ciberdelincuentes siempre evolucionan sus técnicas. Para acceder de forma fraudulenta a un sistema passwordless, los ciberdelincuentes tendrían que estar en posesión del dispositivo, ya que en él se encuentra la clave privada, y del método elegido para su desbloqueo. Esto hace que resulte muy complicado un acceso fraudulento al sistema, pero no imposible.
De cara al futuro, ¿cree que realmente se podrán dejar atrás completamente las contraseñas?
El adiós a las contraseñas no es algo nuevo y muchos usuarios ya se están familiarizando con este paradigma. Actualmente la mayoría de dispositivos móviles cuentan con componentes que permiten su desbloqueo por medio de biometría como la huella dactilar o el reconocimiento facial, ofreciendo una experiencia de usuario más fluida.
Aun teniendo en cuenta estos escenarios, si ponemos el foco en las organizaciones como ya comentamos, estas se podrían enfrentar a dificultades para integrar estos sistemas con su entorno tecnológico existente, sumado a la posible resistencia al cambio de los usuarios que ya se sienten cómodos con otros métodos instaurados. Por ello, de momento podemos decir que no se prevé un remplazo de las contraseñas a corto plazo y que previsiblemente seguiremos conviviendo con ambos métodos.
Puedes consultar el articulo sobre la evolución passwordless en este enlace.