Escrito por: Jerónimo Corregido
Utilizar la misma contraseña para todo nos vuelve un blanco fácil para el ataque conocido como credential stuffing. Cuando un nombre de usuario y una contraseña se filtran por brechas de seguridad, los atacantes intentan volver a usarlas para ingresar en otras plataformas. ¿Vamos rumbo al fin de las contraseñas?
El generador de contraseñas seguras propone un cambio de época digital.
El dilema de las contraseñas y la sombra del credential stuffing
Contraseñas para todo: servicios, redes sociales, plataformas de pagos; páginas de streaming deportivo, cuenta bancaria, seguridad social. ¿Cómo recordar semejante enjambre de datos alfanuméricos? Algunos con mayúsculas obligatorias, otros incluso con caracteres especiales…
Claramente, usar siempre la misma contraseña no es una estrategia óptima. Por supuesto que reduce el riesgo de olvidar la clave de acceso, pero al mismo tiempo facilita la investigación para cualquier posible atacante.
A esto se lo conoce como credential stuffing. Una vez que se filtra un nombre de usuario y una contraseña, los delincuentes vuelven a utilizarlos en distintas plataformas para ver hasta dónde pueden llegar.
Las credenciales se pierden en agresiones a sistemas de información, como el ataque sufrido por Endesa en España, o por actividad de los usuarios en portales inseguros. Para acelerar el proceso de credential stuffing, los hackers programan bots con inteligencia artificial, que pueden replicar las credenciales en sitios distintos, a un ritmo que sería imposible para un humano.
De esta manera, si siempre se utiliza la misma contraseña, los datos filtrados en una red social podrían abrir la puerta misma de la cuenta de banco. Uno de los mecanismos que ha atenuado este riesgo es la autenticación en dos pasos.
Esta técnica consiste en validar el ingreso o las operaciones en un portal sensible mediante dos dispositivos o dos aplicaciones diferentes. Ya todos lo conocemos: para acreditar un pago desde un portal de compras, se suele requerir la aprobación desde la app del método de pago. ¿Se trata de una solución al problema, o es apenas un atenuante?
La pesadilla de las contraseñas seguras: un panorama hacia el futuro
La difícil gestión de contraseñas en el mundo actual ha llevado a la visibilización del asunto, incluso a través del Día Mundial de la Contraseña, que, con el apoyo de conglomerados tecnológicos, se celebra el primer jueves de mayo.
La perspectiva del empresariado es que las contraseñas están en camino a desaparecer. La complejidad que presenta recordar credenciales para cada inicio de sesión no solo es engorrosa para los usuarios, sino que va en contra del principio de fluidez deseable en un entorno de consumo. Lo que las empresas quieren es que el registro sea automático, imperceptible, natural.
La solución que presentan las grandes corporaciones es el generador de contraseñas seguras. Se trata de Passkey, que viene desarrollando la Alianza FIDO (Fast Identity Online), de la que forman parte Google, Apple o Microsoft, entre otros.
La tecnología de Passkey se vale de una llave pública, de acceso abierto, y una llave privada, almacenada en el chip del dispositivo electrónico. Cada una por separado no sirve para nada; las dos juntas generan un alto grado de seguridad criptográfica.
Ahora bien, esta es la solución que buscan las grandes empresas. Está orientada a que los usuarios se sientan más seguros en su actividad online y permite que puedan olvidar todo el asunto de las contraseñas seguras. Sin embargo, su objetivo es maximizar el consumo: lo que se busca es aumentar la rentabilidad de las firmas que proponen el sistema.
En otras palabras: el horizonte de los gigantes tecnológicos es un entorno donde ningún usuario pierda sus contraseñas, con el fin principal de que ningún carrito quede abandonado a mitad de la compra.
En definitiva, lo que se busca es aumentar la retención en la pantalla, pasar aún más tiempo ahí, que todo sea fluido, libre de roces. El tema de las contraseñas puede estar solucionado, pero con cada nuevo paso nos atamos más a un modelo de consumo permanente.
