Pregunta a un experto tecnológico: ¿Qué son las llaves de acceso (passkeys)?
Para aquellos que hemos pasado un cuarto de siglo memorizando contraseñas, usando nombres de mascotas, cumpleaños y equipos deportivos en nuestras credenciales de inicio de sesión, es fácil anhelar tiempos más simples. Además, llenar nuestras cabezas con números aleatorios y caracteres especiales es una defensa imperfecta. Una década de filtración de datos, hackeos e intentos de phishing han hecho que las contraseñas pasen de ser la primera línea de defensa de una persona a su principal vulnerabilidad de seguridad.
Para ayudar, el año pasado anunciamos, junto con Apple y Microsoft, que implementaríamos un nuevo estándar de inicio de sesión creado por la Alianza FIDO (Fast IDentity Online) que permitiría a las personas de todo el mundo acceder a un "futuro sin contraseña". Este esfuerzo conjunto para crear una alternativa más segura a las contraseñas se basa en las llaves de acceso, y a partir de hoy, puedes registrarte para obtener llaves de acceso mediante el mensaje "omitir contraseña cuando sea posible" que aparece en tu cuenta de Google.
Las llaves de acceso son una nueva función en computadoras y teléfonos inteligentes que te permiten iniciar sesión de forma segura en tus cuentas en la web mediante el uso de datos biométricos como una huella digital o un escaneo facial, o un PIN de desbloqueo de pantalla. No más recordar contraseñas para cada una de tus cuentas en aplicaciones y sitios web: las llaves de acceso se encargan de completar de forma segura la autenticación en un servicio en tu nombre.
Si bien damos la bienvenida a un futuro más seguro, como con cualquier nueva tecnología, teníamos algunas preguntas. Para obtener respuestas, nos sentamos con Christiaan Brand, experto en seguridad de Google. A continuación puedes leer una informativa sesión de preguntas y respuestas con Christiaan, que ha sido editada para mayor claridad y brevedad.
En términos simples, ¿qué es una llave de acceso?
Una llave de acceso es una credencial FIDO almacenada en tu computadora o teléfono, y se utiliza para desbloquear tus cuentas en línea. La llave de acceso hace que el inicio de sesión sea más seguro. Funciona utilizando criptografía de clave pública y una prueba de que posees la credencial que sólo se muestra en tu cuenta en línea cuando desbloqueas tu teléfono. Para iniciar sesión en un sitio web o aplicación en tu teléfono, sólo tienes que desbloquear tu teléfono; tu cuenta ya no necesitará una contraseña. O si estás intentando iniciar sesión en un sitio web en tu computadora, sólo necesitas tener cerca tu teléfono y se te pedirá que lo desbloquees, lo que le otorgará acceso en tu computadora.
Hablas de un "futuro sin contraseñas": ¿las llaves de acceso realmente reemplazarán a las contraseñas?
Sí, las llaves de acceso reemplazarán a las contraseñas. Es incluso más amplio que eso. Diría que nuestra visión para las llaves de acceso no es sólo deshacernos de las contraseñas, sino también eliminar todos los parches que la industria ha diseñado para compensar el hecho de que las contraseñas son tan vulnerables.
Y por "parches" te refieres a preguntas desafiantes como "¿Cuál era la mascota de tu escuela secundaria?" o "¿Cuál es el apellido de soltera de tu madre?"
Sí, pero también parches aún más sofisticados, como la autenticación multifactor, los mensajes SMS o las aplicaciones de autenticación. Por ejemplo, creamos la aplicación Google Authenticator para brindar a las personas una capa adicional de seguridad en la web. Las llaves de acceso reemplazarán todo esto.
Rara vez escuchamos las palabras "pública" y "criptografía" en una sola frase: ¿cómo funciona realmente?
La criptografía de clave pública existe desde la década de 1970: la web se basa en ella. En la década de 1990, Netscape desarrolló el cifrado basado en claves públicas llamado Secure Sockets Layer, o SSL, como un medio para autenticar sitios web y garantizar la privacidad del usuario. Todos los sitios web seguros las tienen y es así como puedes identificar si un sitio web es auténtico y el que dice ser.
Así que autentica los sitios web, pero ¿cómo autentica eso a las personas?
Las llaves de acceso son similares a SSL, más recientemente llamado TLS. Pero en lugar de que los sistemas se autentiquen entre sí, una persona tiene la clave privada correspondiente en su dispositivo. La parte criptográfica de esto es que el sitio web puede confirmar que el dispositivo del usuario, en el que los datos biométricos confirman que está en su poder, tiene la llave de acceso. Debido a la criptografía, el servidor nunca conoce realmente cuál es la llave de acceso del usuario. Esa es la magia de la criptografía de clave pública. Te puede validar sin saber nada de ti. Simplemente confirma que eres quien dices ser.
Entonces, si esta criptografía ha existido desde la década de 1970, ¿por qué hemos estado memorizando contraseñas desde la década de 1990?
La criptografía de clave pública necesita potencia de cómputo. Hasta aproximadamente 2010, la mayoría de la gente no caminaba con computadoras en los bolsillos.
Eso es lo que son los teléfonos inteligentes. Computadoras de bolsillo. Y si bien los teléfonos inteligentes se han percibido como vulnerabilidades, las llaves de acceso pueden transformarlos en el mayor cambio para la seguridad en línea en décadas.
De acuerdo, pero si pierdes tu teléfono, ¿puede la persona que lo encuentra usar tu llave de acceso?
No, porque el teléfono es sólo una parte. En el pasado, iniciar sesión en un sitio web seguro requería dos cosas: solo tenías que tener una máquina para acceder a Internet; y necesitabas recordar algo, como tu contraseña. Eso significa que si alguien consigue tu contraseña, todo lo que necesitaba era acceso a Internet, desde cualquier lugar.
Las llaves de acceso son una evolución. Autentican que tú estás en posesión de tu dispositivo y que eres tú quien accede a tu cuenta. Es confianza cero, ya que requiere que algo sobre ti sea cierto. Eso es más seguro y sencillo para las personas.
Tu huella digital, tu rostro, te dan la capacidad de desbloquear tu dispositivo: estas cosas y tu dispositivo deben estar en tu poder. Si alguien obtiene tu dispositivo, no puede hacer nada con tu llave de acceso. Y si pierdes tu dispositivo anterior que contiene tu llave de acceso, puedes crear fácilmente una nueva llave de acceso en tu nuevo dispositivo.
¿Y puedes tener más de una llave de acceso en varios dispositivos?
Sí, puedes tener muchas llaves de acceso e incluso tener llaves de acceso en dispositivos compartidos con tu familia. Ese es uno de los grandes saltos. La criptografía significa que las llaves de acceso, por muchas que tengas y dondequiera que estén almacenadas, solo son útiles para el usuario.
Este parece ser uno de los primeros avances de seguridad que requieren que las personas hagan menos.
Eso es cierto, y es parte de la innovación de confianza cero. Dado que todos tenemos muchas cosas en mente, podemos concentrarnos en otras cosas y, al mismo tiempo, estar más seguros.
Sobre la innovación. Dicen, creo, que las grandes innovaciones resuelven problemas cotidianos. En el mejor de los casos, la innovación significa que los problemas que nos preocupan harán bostezar a nuestros hijos. ¿Qué problemas de seguridad cotidianos resuelven las llaves de acceso que harán bostezar a mis hijos?
Tres cosas entran en esa categoría:
Primero, que te roben las contraseñas. Cada semana escuchamos sobre el hackeo de alguna empresa y el robo de contraseñas. Dado que las personas a menudo reciclan contraseñas en la web, eso puede dar a los malhechores acceso a muchas cuentas diferentes: correo electrónico, banca, redes sociales. Las llaves de acceso detienen eso.
En segundo lugar, la autenticación es imperfecta y consume tiempo. La autenticación significa que incluso si alguien se apodera de tu contraseña, aún necesitaría otra pieza de datos. Es por eso que creamos la aplicación Google Authenticator. La aplicación ayudó a mitigar las filtraciones de datos. Pero eso aún significa que una persona debe realizar alguna tarea, y pone la carga sobre el usuario individual. Consume mucho tiempo. El usuario no debería estar tan solo en términos de seguridad y autenticación, y durante un par de décadas lo ha estado en gran medida.
En tercer lugar, los niños recordarán los "intentos de phishing" como tácticas de aficionados. El phishing es cuando alguien te envía un correo electrónico falso que parece oficial, para que hagas clic en el enlace y comiences a escribir tus credenciales. Los intentos de phishing se han vuelto más sofisticados y, a veces, las personas no sólo serán engañadas para que proporcionen su nombre de usuario y contraseña, sino también información de autenticación y otros datos personales. Además, el phishing también impone a los usuarios la carga de determinar qué tan creíble se ve un correo electrónico o un sitio web. Eso no es muy práctico. Las llaves de acceso pueden resolver el problema de phishing.
Una pregunta que muchas personas tendrán, y que se refiere a los biométricos, como las huellas digitales y el reconocimiento facial. ¿Crees que las personas deberían preocuparse de que los biométricos se usen en su dispositivo para habilitar las llaves de acceso?
Ninguno de nuestros dispositivos modernos, computadoras portátiles, teléfonos inteligentes o computadoras de escritorio, incluso aquellos que usan biométricos, pueden empaquetar información biométrica y enviarla a la nube. Los teléfonos inteligentes modernos no están diseñados para compartir datos biométricos. Siempre es local y está en tu dispositivo. Incluso si te roban el dispositivo, el ladrón no tendrá tus datos biométricos para activar la llave de acceso.
Sabemos que las nuevas tecnologías requieren tiempo para ganarse la confianza y lograr una adopción generalizada. También vivimos en una época en la que muchas novedades digitales nuevas se disfrazan de innovaciones impresionantes. ¿Cómo pueden las personas estar seguras de que las llaves de acceso merecen su inversión de tiempo?
Pueden configurar llaves de acceso la próxima vez que un servicio se lo solicite. Dedicar muy poco de tiempo y luego ahorrar mucho tiempo y energía mental después de eso, además de estar mucho más seguras.