¿Qué es la autenticación sin contraseña?

Las contraseñas eran antes el único método de autenticación disponible para las personas que accedían a sus cuentas en línea. Incluso en aquellos tiempos más simples, las contraseñas eran un problema. Para recordarlas, los usuarios las hacían demasiado simples, demasiado fáciles de robar por actores maliciosos. Y la gente utilizaba las mismas contraseñas una y otra vez, lo que significa que, una vez robada una contraseña, los ciberdelincuentes sabían que había muchas posibilidades de que pudieran usarla para acceder a varias cuentas. 

Con la proliferación de cuentas en línea, los problemas con las contraseñas se han agravado mucho.

El consumidor promedio de Internet tiene ahora docenas de cuentas, tanto para uso personal como profesional, y la mayoría de los usuarios se sienten abrumados por el sinnúmero de combinaciones de nombre de usuario y contraseña que deben recordar. A pesar de repetidas advertencias, muchas personas siguen usando la misma contraseña para varias cuentas. Algunas usan contraseñas débiles que son fáciles de descifrar por los actores maliciosos motivados. Otras guardan sus contraseñas en un archivo con la etiqueta “contraseñas". En un estudio de PC Magazine, 65 % de los encuestados afirma que olvidará su contraseña si no la escribe, y el 57 % olvidará su nueva contraseña inmediatamente después de restablecerla.

Para combatir el problema de las contraseñas simples y la reutilización de estas, algunas empresas requieren que la contraseña se cambie constantemente y se usen patrones complejos que contengan letras, números y caracteres especiales. Aunque estos requisitos resuelven algunos problemas, crean otros, como el bloqueo de la cuenta. El mismo estudio de PC Magazine demostró que el estadounidense promedio se queda sin acceso a diez cuentas al mes. El bloqueo de la cuenta crea una experiencia de usuario terrible, obviamente, pero también es costoso, ya que los centros de ayuda deben responder a las solicitudes frecuentes de restablecimiento de contraseñas.

Al eliminar las contraseñas, se descartan todas estas posibilidades.

Con la autenticación sin contraseña, una persona puede iniciar sesión en una cuenta en línea sin necesidad de ingresar una contraseña. En cambio, la labor de autenticación se asigna a los puntos finales, como los dispositivos móviles o las computadoras, en donde el usuario puede utilizar una huella dactilar o un escáner facial, lo que se conoce como autenticación "biométrica". También puede hacerse con aplicaciones del autenticador, tokens y tarjetas inteligentes, todas ellas cada vez más populares. El usuario no tiene que preocuparse de que se le olviden las contraseñas y, como no se "comparten" las credenciales en Internet, no hay amenaza de que se intercepten. 

 

Autenticación de dos factores y multifactor

Muchas aplicaciones y servicios ofrecen autenticación de dos factores (2FA) o autenticación multifactor (MFA). Estos métodos requieren que el usuario se autentique con una combinación de al menos dos factores únicos. El nombre de usuario y la contraseña son factores de "conocimiento" (algo que sabe). El dispositivo móvil, el token de hardware o la tarjeta inteligente son factores de "posesión" (algo que tiene). Y los datos biométricos, como las huellas dactilares o los identificadores de reconocimiento facial, son ejemplos de factores de “inherencia” (algo que es).

La 2FA requiere que el usuario primero se autentique con un nombre de usuario y contraseña y, a continuación, un segundo factor que utilice un código de acceso de un solo uso (OTP). Normalmente, se entregan a través de una aplicación del autenticador o a través del protocolo de mensajes de texto SMS. Con la 2FA, se debe presentar el segundo factor de autenticación con cada intento de autenticación. 

La 2FA y la MFA pueden incorporar atributos contextuales, como el dispositivo del usuario, el navegador, la IP, la ubicación o la hora del día, pero la MFA tiende a ir más allá y puede añadir un tercer o cuarto factor. Algunos cambios de contexto, como la ubicación o el dispositivo del usuario, o incluso la sensibilidad de la aplicación a la que se accede, activarán una mayor autenticación, conocida como autenticación incrementada. Cuando todo el contexto es el esperado, el sistema puede requerir menos autenticación, lo que hace que el acceso sea fácil para el usuario.

La autenticación sin contraseña puede usarse por sí sola o como parte de una estrategia 2FA o MFA, y es cada vez más popular.

 

Los beneficios de la autenticación sin contraseña

Según una encuesta reciente de ESG, el 54 % de las organizaciones están implementando, probando o evaluando la autenticación sin contraseña, y el 31 % de estas organizaciones la clasifican como la principal prioridad en su estrategia de identidad.¹ 

Hay múltiples razones por las que las empresas están explorando soluciones de autenticación sin contraseña:

Mayor seguridad: las contraseñas son una gran vulnerabilidad debido a la reutilización y porque las contraseñas se pueden compartir con otros, por lo que se pierde el control sobre estas. Las contraseñas son responsables del 81 por ciento de las violaciones, según el informe titulado 2021 ForgeRock Consumer Identity Breach Report. Con la autenticación sin contraseña, las credenciales de inicio de sesión son únicas para cada sitio web y nunca salen del dispositivo del usuario. A diferencia del nombre de usuario y la contraseña, las credenciales nunca se transmiten por Internet, lo que elimina los ataques del intermediario (MiTM).

Mejor experiencia de usuario: las contraseñas crean diferentes problemas que se traducen en malas experiencias, y la mayoría de nosotros estamos familiarizados con ellas. Sin embargo, los problemas de usabilidad tienen consecuencias reales que afectan los resultados finales. Por ejemplo, si un cliente no puede recordar la contraseña correcta que utiliza para el sitio que usted gestiona, es probable que el cliente deje su carrito de compras en lugar de pasar por el flujo de contraseña olvidada. Al proporcionar a los clientes una autenticación sin contraseña, usted elimina esa frustración. Sus clientes pueden contar con cómodos mecanismos de inicio de sesión, como las notificaciones push a sus dispositivos móviles y el reconocimiento facial, que agilizan el proceso.

Rentable: las contraseñas aumentan el volumen de llamadas al centro de ayuda y requieren un mantenimiento constante por parte de los equipos de TI. Al eliminar las contraseñas, puede reducir los tickets de soporte y liberar al personal de TI para que aborde asuntos más importantes. Es importante destacar que, al optimizar el proceso de registro y pago, la autenticación sin contraseña reduce la probabilidad de que se abandone el carrito de compras.

¿Es segura la autenticación sin contraseña?

Si las contraseñas fueran seguras, no estaríamos leyendo informes constantes de violaciones de datos. Los hackers pueden inyectar un código malicioso en el software para infiltrarse en una red o crear una botnet que genere un ataque de denegación de servicio (DoS). Pero es mucho más fácil descifrar una credencial débil o aprovechar la ingeniería social contra un usuario final para obtener sus credenciales.

Parte del problema radica en que las personas no se dan cuenta de que sus credenciales débiles no suelen ser el objetivo de un ciberataque. Se consideran de bajo riesgo porque no tienen nada que ocultar o robar. En muchos casos, eso puede ser cierto. Sin embargo, sus credenciales robadas se pueden utilizar para obtener acceso a una red mucho más grande en donde los hackers pueden propagar malware y robar datos valiosos. El destinatario de un correo electrónico de phishing no es más que un peldaño, pero rara vez es el objetivo previsto.

¿Cómo se roban y aprovechan las contraseñas?

Según LastPass, la compañía de administración de contraseñas, los hackers tienen una variedad de herramientas a su disposición para recolectar credenciales.

Ataques de suplantación: una forma en que se roban las credenciales es cuando el destinatario del correo electrónico de suplantación hace clic en un enlace a un sitio (que parece legítimo) e ingresa su nombre de usuario y contraseña, que el hacker recolecta. Algunos correos electrónicos de suplantación contienen enlaces maliciosos o archivos adjuntos que contienen malware. Al descargar el malware a su computadora, las personas pueden infectarse con spyware o un keylogger que puede capturar cuando se presionan las teclas, incluidas las credenciales de inicio de sesión, y enviarlas al hacker. 

Llenado de credenciales: el llenado de credenciales se basa en el uso de bots para probar automáticamente cada combinación de nombre de usuario y contraseña en una base de datos (robada) para ver si alguno de ellos obtiene con éxito acceso a un sitio web. En su informe sobre el Estado de Internet (SOTI) de 2021, Phishing for Finance, Akamai reveló que en 2020 se produjeron 193 mil millones de ataques de llenado de credenciales en todo el mundo. 

Rociado con credenciales (credential spraying): si se conoce una dirección de correo electrónico para una cuenta en línea, el rociado con credenciales (también llamado spray de contraseña) permite a los hackers probar contraseñas comunes (como contraseña123) para ver si alguna de estas funciona con esa dirección de correo electrónico en particular. El uso de bots les permite probar rápidamente contra muchos miles de direcciones de correo electrónico en una base de datos.

Ataques de fuerza bruta: un ataque de fuerza bruta es similar al rociado con credenciales, pero en lugar de probar contraseñas contra muchas direcciones de correo electrónico, por lo general, implica realizar varios intentos de inicio de sesión en una única cuenta objetivo con el uso de una contraseña diferente cada vez. Desafortunadamente, los ataques de fuerza bruta suelen tener éxito porque muchas personas usan contraseñas sencillas que son fáciles de adivinar. (Leer consejos para evitar ataques de fuerza bruta).

En su Informe de investigaciones sobre violaciones de datos 2021, Verizon informó que las credenciales comprometidas estaban involucradas en el 60 % de las violaciones, y señaló: "Las credenciales siguen siendo uno de los tipos de datos más buscados".

¿Cómo funciona el acceso sin contraseña?

Todo empezó con el estándar Fast Identity Online 2 (FIDO2) WebAuthn para la autenticación sin contraseña, que fue aprobado en marzo de 2019 por el World Wide Web Consortium (W3C). WebAuthn habilita a las empresas para que ofrezcan autenticación sin contraseña y el estándar es cada vez más compatible con los principales navegadores y sistemas operativos. La especificación WebAuthn delega la autenticación a puntos finales, como dispositivos móviles o computadoras, lo que elimina, así, la amenaza de intercepciones por parte de un actor malicioso y elimina la necesidad de que un usuario recuerde las credenciales del sitio.

Cuando un usuario registra un dispositivo, se le indica al dispositivo que cree un par único de clave pública/clave privada para comunicarse. Una vez que el usuario se autentica, la clave privada, que se almacena de forma segura en la memoria persistente y nunca sale del dispositivo del usuario, está disponible para firmar desafíos de autenticación mediante la clave criptográfica pública.

El uso de WebAuthn está aumentando significativamente. Además de los navegadores más populares, la autenticación WebAuthn está integrada en sistemas operativos como Microsoft Windows 10 con el autenticador de Microsoft Windows Hello. Estas plataformas permiten almacenar las claves en computadoras portátiles, llaveros USB y dispositivos NFC y Bluetooth, de modo que los usuarios pueden llevar consigo su método de autenticación en múltiples dispositivos.

Autenticación sin contraseña para consumidores

Las cifras varían según la encuesta, pero ha habido una clara tendencia que muestra un aumento en las cuentas en línea desde el inicio de la pandemia. TechRadar informó que las cuentas en línea han aumentado en un 25 por ciento y que los consumidores tienen, en promedio, 100 de ellas para hacer un seguimiento.

A medida que los consumidores pasan más tiempo comprando productos y servicios en línea, las empresas se han enfocado en crear experiencias (también conocidas como "recorridos") para los clientes que son tanto satisfactorias como seguras. Si los clientes tienen dificultades para iniciar sesión en sus cuentas o para completar una transacción, se irán a otro lugar. Con la autenticación sin contraseña, los clientes pueden evitar muchos de los problemas que causan fricción, como el restablecimiento de la contraseña y el bloqueo de la cuenta.

Mantener a los clientes seguros en el mundo digital con posibilidades de fraudes a la vuelta de la esquina está impulsando a las empresas a modernizar su enfoque de gestión de acceso e identidad (IAM) e implementar soluciones basadas en inteligencia artificial y aprendizaje automático (AI/ML). Con una velocidad y precisión increíbles, estos sistemas, como ForgeRock Autonomous Access, aplican exactamente la cantidad correcta de fricción para garantizar que los usuarios legítimos puedan acceder con facilidad a sus recursos y que los intentos de ATO y otras actividades fraudulentas se bloqueen al instante.

Autenticación sin contraseña para el personal

A medida que las aplicaciones empresariales se trasladan a la nube, las organizaciones han estado implementando soluciones de gestión de identidad y acceso (IAM) con inicio de sesión único (SSO) con el objetivo de mantener la productividad alta y la fricción de los usuarios baja. Las soluciones de SSO modernas pueden incluir inicios de sesión sin contraseña y otros métodos de autenticación que simplifican el acceso sin sacrificar la seguridad.

Con opciones de autenticación más convenientes y seguras, los usuarios de la empresa obtienen un acceso más rápido y fácil a los recursos. Al mismo tiempo, la autenticación sin contraseña reduce la carga de trabajo de su personal de TI al minimizar o eliminar las solicitudes de restablecimiento de contraseñas.