Adiós a las contraseñas como las conocemos: qué es Passkey y los motivos por los que te pueden robar la clave
Mario Yáñez explica el nuevo sistema que puede revolucionar la forma en la que entendemos las contraseñas en internet
Madrid - Publicado el
4 min lectura
Si hay algo que nos complica la vida en internet es acordarnos de las contraseñas que usamos en las aplicaciones. Cuando creamos una contraseña, nos exigen que sea más larga, con mayúsculas, minúsculas, cifras y algún símbolo especial, vamos, imposible de acordarse después....Y, a pesar de que cada vez complicamos más las contraseñas, parece menos les cuesta a los hackers descubrirlas.
Pero parece que, por fin, las grandes tecnológicas se han puesto de acuerdo para diseñar un sistema más seguro, más fuerte y más fácil de utilizar que nos va a quitar este quebradero de cabeza, las Passkey, como explica en La Linterna Mario Yáñez, consultor tecnológico de COPE. Pero, este nuevo sistema, ¿será realmente universal?
¿Por qué suelen robarte la contraseña?
El 80% de los robos de datos se producen por culpa de una mala gestión de contraseñas; cada persona usa unas 90 cuentas online con sus correspondientes claves; más del 50% usa la misma clave para todo. Teniendo todo esto en cuenta, ¿cómo es posible que cada vez las descubran con mayor rapidez?
Mario Yáñez señala a dos razones: la primera es la ingeniería social. “Más de 25 millones de personas en todo el mundo utilizan, lo que se denomina “passwords o contraseñas tontas”. Estas son: “123456”, “11111111”, “qwerty”, la palabra “password” tal cual o el nombre, la dirección de correo, etc. Con las filtraciones y robos de datos, los hackers tienen esa información y la cruzan con otros datos del usuario y prueban con estas combinaciones cuando intentan hackear una cuenta, lo que se llama ataques de diccionario.
La segunda razón, aclara el experto, es “doble”: el incremento espectacular de la capacidad de computación de los ordenadores y la inteligencia artificial. Y es que, por ejemplo, hace 10 años, un hacker podía tardar 100 años en averiguar una clave de 10 caracteres con mayúsculas, minúsculas y números probando todas las combinaciones posibles. Hoy, con el mismo método, tardaría 3 semanas. Pero es que además combinan este método con los ataques de diccionario que hablábamos antes, usando IAs como Passgan que aprenden de las pautas de creación de contraseñas.
Qué es Passkey
La industria tecnológica lleva tiempo dándole vueltas a este tema. Hace 10 años se creó una alianza llamada FIDO (Fast Identity Online Alliance), formada por empresas tech, agencias gubernamentales y proveedores de servicios, que tiene como objetivo acabar con las contraseñas creando un estándar de autenticación más robusto y sencillo. Hace poco se unieron Google, Microsoft y Apple. Una de las soluciones creadas bajo el estándar es la llamada Passkey.
Una passkey, explica Yáñez, es una llave criptográfica. “Una especie de clave cifrada, en vez de una clave en texto como una contraseña tradicional, que se crea y se almacena en un dispositivo nuestro, por ejemplo, el móvil”. Así, señala el colaborador de COPE, cuando queramos iniciar sesión en una web o aplicación que use el estándar, la web sabrá que tienes una passkey en tu móvil y te pedirá que uses este dispositivo para iniciar sesión.
Además, si necesitamos abrir una cuenta nueva en otra web, crearemos una passkey en nuestro móvil. Nosotros solo tendremos que recordar la password que le pongamos a la aplicación de crear y almacenar passkeys. Las demás las gestionará la app del móvil.
En cualquier caso, casi todas las grandes tecnológicas han desarrollado unas aplicaciones para el móvil que llamadas “Authenticator”, que no solo valen para sus plataformas. Por ejemplo, Microsoft Authenticator, se puede usar en otras webs, que admiten la identificación con este sistema.
Los peligros de Passkey
Como comenta el experto en tecnología, estas Passkey tienen tanto pros como contras. Las ventajas: “Estos sistemas van a mejorar el nivel de seguridad y protección tanto de usuarios como de empresas. Nosotros usaremos contraseñas complejas y diferentes en cada caso sin tener que apuntarlas en un post-it y sobre todo eliminaremos un problema grave: cada vez que me registro en una nueva web, tengo que dar msi datos personales, crear un usuario y una contraseña: decenas de empresas tienen mis datos. Si se los roban a una, tengo que cambiar en muchas si no en todas. De esta forma, mi información solo la tiene una: la que custodia la llave criptográfica y mis datos y nadie más”.
No obstante, hay también pormenores y peligros, como que de una sola empresa depende el funcionamiento de todas las demás. “Sería deseable que esta gestión de identidades y credenciales las hicieran los gobiernos y de hecho se está hablando y trabajando en este sentido aquí en la UE”, apunta.
Así, el otro riesgo que habrá que afrontar en unos años es la computación cuántica. Si ahora reventar una clave criptográfica puede llevar miles incluso millones de años, con los ordenadores cuánticos se podría hacer en minutos. “Habrá que ir pensando en la tercera generación de claves para un futuro”, advierte.