Un paso más cerca de un futuro sin contraseñas
No es ningún secreto que las contraseñas son una molestia y cada vez son menos seguras debido a situaciones como las estafas de phishing, la mala higiene de las contraseñas y las filtraciones de datos. Google ha reconocido estos problemas durante mucho tiempo, por lo que hemos creado mecanismos como la verificación en 2 pasos y el Administrador de contraseñas de Google.
Sin embargo, para abordar realmente los problemas de las contraseñas, hemos estado preparando el escenario para un futuro sin contraseñas durante más de una década. Fuimos la primera empresa de plataformas de dispositivos en unirse a la FIDO Alliance, un organismo de la industria de estándares abiertos formado para resolver problemas de contraseñas y phishing. Hemos trabajado arduamente para reunir a otros participantes clave de la industria para que se unan a este esfuerzo.
Hoy, en honor al Día Mundial de la Contraseña, anunciamos un logro importante en este viaje: durante el próximo año, todas las principales plataformas de dispositivos se han comprometido a desarrollar con soporte para los estándares de inicio de sesión sin contraseña de FIDO. Planeamos implementar el soporte para el inicio de sesión sin contraseña en Android y Chrome. Apple y Microsoft también han anunciado que ofrecerán soporte en iOS, MacOS, Safari, Windows y Edge. Esto simplificará los inicios de sesión entre dispositivos, sitios web y aplicaciones sin importar la plataforma, sin la necesidad de una sola contraseña.
¿Cómo funcionará un futuro sin contraseñas?
Cuando inicies sesión en un sitio web o aplicación en tu teléfono, simplemente lo harás desbloqueando tu teléfono; tu cuenta ya no necesitará una contraseña.
En su lugar, tu teléfono almacenará una credencial de FIDO llamada clave de acceso que se utiliza para desbloquear tu cuenta en línea. La clave de acceso hace que iniciar sesión sea mucho más seguro, ya que se basa en la criptografía de clave pública y sólo se muestra en tu cuenta en línea cuando desbloqueas tu teléfono.
Para iniciar sesión en un sitio web en tu computadora, sólo necesitarás tener tu teléfono cerca y simplemente se te pedirá que lo desbloquees para acceder. Una vez que hayas hecho esto, no necesitarás tu teléfono de nuevo y podrás iniciar sesión simplemente desbloqueando tu computadora. Incluso si pierdes tu teléfono, tus claves de acceso se sincronizarán de forma segura con tu nuevo teléfono desde la copia de seguridad en la nube, lo que te permitirá continuar justo donde se quedó tu dispositivo anterior.
Hemos estado preparando el camino hacia el inicio de sesión sin contraseñas durante años
La clave de acceso nos acercará mucho más al futuro sin contraseñas que hemos estado trazando durante más de una década. A continuación, algunas de las innovaciones que han preparado el camino para el anuncio de hoy.
- Administrador de contraseñas de Google: en 2008, presentamos la primera versión de nuestro administrador de contraseñas, haciendo que iniciar sesión sea más fácil y seguro sin la necesidad de recordar o escribir tu contraseña. Nuestra investigación muestra que el 40% de las personas todavía priorizan la creación de contraseñas que son fáciles de recordar frente a las que son fuertes y seguras. Los administradores de contraseñas resuelven ese problema recordando tus contraseñas y asegurándose de que sean seguras. Lo que es más importante, se aseguran de que tus credenciales no se ingresen en un sitio web fraudulento. Hemos hecho grandes inversiones en los últimos años para hacer que el administrador de contraseñas sea aún más inteligente: por ejemplo, ahora advertimos a las personas si sus contraseñas se han visto comprometidas por una filtración de datos.
- Verificación en 2 pasos: en 2011, Google fue el primer sitio web en ofrecer la Verificación en 2 pasos (2SV), proporcionando a las personas una forma segura y fácil de iniciar sesión. El método requiere una segunda forma de autenticación después de ingresar una contraseña, lo que dificulta mucho el acceso de un atacante. Siempre hemos animado a las personas a inscribirse a 2SV. El año pasado, inscribimos automáticamente a 150 millones de usuarios y continuaremos inscribiendo a personas cuyas cuentas están correctamente configuradas para hacerlo.
- Llave de seguridad para el equipo de Google: En 2012, nos propusimos crear una solución completa para bloquear los ataques de phishing contra las personas que trabajan en Google. Trabajamos con nuestros socios de desarrollo Yubico y NXP para crear un nuevo tipo de dispositivo de hardware como segundo factor resistente al phishing que llamamos "Llave de seguridad" y comenzamos a implementarlo cuidadosamente entre el equipo.
- Nuestra unión con FIDO Alliance: en 2013, Google, junto con nuestros socios de desarrollo, se unió a la FIDO Alliance, una organización que había sido lanzada unos meses antes para impulsar estándares abiertos para un mundo sin contraseñas. Todos los protocolos de FIDO están diseñados para ser resistentes al phishing, por lo que no hay forma de que un atacante te engañe para que reveles tus credenciales de FIDO, a diferencia de los métodos tradicionales como las contraseñas.
- Llaves de seguridad para todos: en 2014, comenzamos a ofrecer la llave de seguridad a todos, ahora basada en un estándar abierto de FIDO. Esta fue la primera vez que una cuenta de consumidor en línea ofreció un método de inicio de sesión resistente al phishing.
- Cuentas empresariales fuertemente resistentes al phishing: a principios de 2017, integramos controles empresariales que permitieron que un administrador requiriera el uso de una llave de seguridad para el inicio de sesión, desactivando otras opciones fraudulentas como contraseñas y OTPs.
- Programa de protección avanzada (APP, por sus siglas en inglés): a finales de 2017, presentamos APP para ayudar a las personas con alta visibilidad o con alto riesgo de ataques cibernéticos al ofrecer configuraciones y protecciones de seguridad mejoradas, incluida la llave de seguridad. Animamos a los usuarios de alto riesgo en la política, el periodismo, la industria del entretenimiento y más a inscribirse a medida que crecen las amenazas cibernéticas en su contra.
- Llave de seguridad Titan: en 2018, hicimos que la Llave de seguridad Titan estuviera disponible en Google Store. Esto fue en respuesta a las solicitudes de algunas personas suscritas a APP y otras para que Google ofreciera una solución de extremo a extremo de Google. Las llaves de seguridad Titan son compatibles con FIDO y se pueden utilizar para cualquier sitio web que admita llaves de seguridad.
- Llaves de seguridad incorporadas en dispositivos móviles: en 2019, presentamos una función de llave de seguridad incorporada en Android e hicimos lo mismo en 2020 para iPhones. Así que cualquier persona con un Android o iPhone podría tener el mismo nivel de protección de una llave de seguridad sin la necesidad de un dispositivo separado.
- Reautenticación sin contraseña: en 2019, ampliamos nuestro soporte de FIDO en Android para que cualquier sitio web pudiera elegir volver a iniciar sesión con sólo un PIN o un elemento biométrico (como tu huella), sin necesidad de contraseña. Puedes experimentarlo hoy al abrir el administrador de contraseñas en tu teléfono Android: verificamos que realmente eres tú pidiéndote que desbloquees tu teléfono.
- Preparando el escenario para un futuro sin contraseñas: el soporte extendido de FIDO que anunciamos hoy hará posible que los sitios web implementen las experiencias de claves de acceso que describimos anteriormente. Cuando el soporte de claves de acceso esté disponible a lo largo de toda la industria en 2022 y 2023, finalmente tendremos la plataforma de Internet para un futuro sin contraseñas.
Estamos emocionados por lo que la clave de acceso nos permitirá hacer en el futuro. Dicho esto, entendemos que tomará tiempo para que esta tecnología esté disponible en los dispositivos de todas las personas y para que quienes desarrollan sitios web y aplicaciones puedan aprovecharlos. Las contraseñas seguirán siendo parte de nuestras vidas mientras hacemos esta transición, por lo que seguiremos dedicados a hacer que los inicios de sesión convencionales sean más seguros y fáciles a través de nuestros productos existentes y la innovación continua.