La seguridad en Internet es cada vez más importante. Pero en el difícil equilibrio que hay entre seguridad y comodidad muchas veces salimos perdiendo. Ahora el nuevo estándar WebAuthn busca que dispositivos de todo tipo sean más seguros mediante la utilización de llaves físicas de seguridad y contraseñas biométricas.

Publicada el 6 de Agosto de 2019

¿Quién no se ha olvidado alguna vez de su contraseña? ¿O ha usado algo como 1234 para no perder tiempo al registrarse en un nuevo sitio? ¿Y por qué la huella dactilar puede usarse para desbloquear el móvil pero no para entrar en una tienda de comercio electrónico recién descubierta?

Infografía de cabecera de la web de FIDO Alliance
FIDO Alliance

El Consorcio W3C y la FIDO Alliance llevan años trabajando en la creación de un estándar para la Web, llamado WebAuthn («Autenticación Web») que permita utilizar combinaciones de «usuarios y contraseñas» más seguros y fáciles que los actuales. El W3C se encarga de definir asuntos relacionados con la ingeniería de la Web en cuanto a los protocolos y contenidos; la FIDO (término que viene de Fast IDentity Online, «identidad online rápida») reúne a diversos fabricantes y empresas con el objetivo de simplificar los sistemas de autenticación de cuentas y contraseñas, especialmente cuando tienen que ver con dispositivos físicos. La idea básica es que no tengamos que recordarlos todos y usar cuentas y contraseñas diferentes para servicio.

En los últimos años además ha habido muchos avances interesantes, pero a veces un poco descoordinados. Quienes más seguridad necesitan están acostumbrados a utilizar software como gestores de contraseña o «llaves de seguridad USB» físicas (dongles) que permiten acceder a ciertos sitios cuando están enchufadas. También hay cada vez más smartphones, tabletas (y portátiles) que se activan con la huella dactilar, sin necesidad de tener que recordar una contraseña. Otros sistemas biométricos incluyen el reconocimiento de rostros o del iris del ojo. Sin embargo, no son sistemas interfuncionales y no todos son válidos para el software o los servicios a los que se desea acceder.

Este problema ha padecido de la situación de la pescadilla que se mordía la cola: las empresas no usaban un método único porque no había un estándar y nadie desarrollaba un estándar suficientemente «popular» porque era difícil convencer a todas las partes implicadas.

WebAuthn para todos

Con el nuevo estándar WebAuthn se intenta crear una solución que funcione en todos los sistemas operativos (Mac, Windows, Linux), en todas las plataformas tanto de ordenadores como de smartphones, tabletas y otros dispositivos y en todos los navegadores web (Chrome, Firefox, Edge, Safari, etcétera). Esto permitirá incluir dispositivos de la Internet de las cosas, sistemas de pago poco frecuentes hasta ahora, hogares conectados y demás.

Logotipo de WebAuthn

Estando ya aprobado como «estándar oficial de la web» lo único que falta es que las diversas empresas y organizaciones implicadas lo vayan implementando. En la práctica bastará crear una cuenta para la que ni siquiera hará falta recordar una contraseña: bastará enchufar la llave física al dispositivo, poner el dedo en el sensor de huellas o mostrar el rostro a la cámara. Esas credenciales serán las mismas para todos los servicios, pero las «contraseñas» (que ni siquiera el usuario conoce) son tan seguras que nunca abandonan el dispositivo al que están asociadas, tan solo realizan una «operación de autenticación» cuando es necesario.

Imagen de las llaves digitales, parecidas a un usb
Yubikey

Nuevas costumbres, mucho más seguras

Que ni siquiera la persona conozca su propia contraseña tiene muchas ventajas: la mayor parte de los «ataques» y robos de datos tienen que ver con las contraseñas «por defecto» con que vienen instalados muchos sistemas, por ejemplo. Y otro buen porcentaje son contraseñas «trivialmente sencillas» o bien contraseñas normales que acaban «robadas» mediante técnicas como el phising: engaños a través de correo electrónico y otras formas de la llamada ingeniería social.

Además, aunque con WebAuthn una cuenta y su contraseña secreta sirvan para identificarse en diferentes servicios y empresas el estándar no permite que se pueda hacer un «seguimiento» de las personas de unos lugares a otros, una ventaja añadida de cara a la privacidad.

En los próximos tiempos iremos viendo cómo los fabricantes van incorporando sus soluciones y cómo los smartphones, ordenadores y otros dispositivos comienzan a ser capaces de utilizar este nuevo estándar: con empresas como Amazon, Google, Microsoft, Mastercard, ING, Intel, Lenovo, Paypal, Visa, Yubico y otras –tanto generalistas como especializadas– implicadas en ello, es solo cuestión de tiempo.

Escrito por Álvaro Ibáñez el 6 de Agosto de 2019

Aún no hay comentarios publicados.

X

Inicia sesión

Para guardar tus lecturas y seguir en otro momento, necesitamos saber quién eres

¿Has olvidado tu contraseña?

¿Aún no estás registrado?

También puedes entrar a través de:

X

Regístrate

Introduce tu correo electrónico y te enviaremos un email para activar tu perfil.

También puedes entrar a través de:

X

¿Has olvidado tu contraseña?

Introduce la dirección de correo electrónico con la que te registraste para recuperarla.

X

¿Has olvidado tu contraseña?

Tu contraseña ha sido cambiada.

X

Aviso

No se ha podido cambiar su contraseña de acceso.

X

¿Has olvidado tu contraseña?

Revisa tu correo electrónico para obtener el enlace de confirmación.

X

Aviso

No hay ningún usuario registrado con esa dirección de correo electrónico.

X

Aviso

Este usuario no tiene permitido el restablecimiento de su contraseña.

X

Regístrate

Tienes un email

Haz clic en el enlace adjunto para empezar a disfrutar de todas las ventajas de estar registrado.

X

Aviso

Ya estabas registrado con este correo electrónico

X

Aviso

Lo sentimos, pero hemos tenido un problema al completar tu registro. Por favor, inténtalo de nuevo.

X

Aviso

Lo sentimos, pero ese código de validación ya se ha usado en el registro de una cuenta de usuario.

X

Completa tu registro

¿Qué te interesa?

Selecciona los temas que te interesan y te enviaremos el contenido relacionado.

¿Con qué periodicidad quieres recibirlo?

Newsletter