Un paso más cerca de un futuro sin contraseñas
Un paso más cerca de un futuro sin contraseñas Sampath Srinivas, Director de Gestión de Producto, Autenticación Segura, de Google y presidente de la Alianza FIDO 5 de mayo de 2022 Hoy en día las contraseñas son esenciales para la seguridad en internet, pero amenazas como phishing, estafas y la falta de cautela de los usuarios continúan siendo un riesgo para los usuarios. En Google somos conscientes de ello y es por este motivo que hemos creado defensas como la verificación en dos pasos y nuestro administrador de contraseñas.
Con todo, solucionar de verdad los problemas que plantean las contraseñas requiere prescindir por completo de ellas, razón por la cual durante más de una década nos hemos estado preparando para un futuro sin contraseñas.
Hoy, para celebrar el Día Mundial de las Contraseñas, anunciamos un hito importante en este sentido: planeamos implementar soporte por los estándares FIDO de inicio sesión sin contraseña en Chrome, ChromeOS y Android. Apple y Microsoft han anunciado a su vez que harán lo propio en sus plataformas. Este paso simplificará el inicio de sesión en los dispositivos, las páginas web y las aplicaciones, sea cual sea la plataforma, sin necesidad de una contraseña. Estas habilidades estarán disponibles durante el curso del próximo año.
¿Cómo funcionará el futuro sin contraseñas?
Cuando inicias sesión en una web o una aplicación desde su móvil, simplemente tendrás que desbloquear el dispositivo, sin necesitar una contraseña.
Para ello, el móvil almacenará una credencial FIDO llamada "clave de acceso" (passkey) que servirá para desbloquear la cuenta. Esta clave de acceso hará que el inicio de sesión sea mucho más seguro, ya que se basa en criptografía de clave pública y solo se mostrará en la cuenta de internet del usuario cuando este desbloquee su teléfono.
Para iniciar sesión en una web desde el ordenador, solo necesitaras tener el teléfono a mano, ya que se te pedirá que lo desbloquees para poder acceder. Después de hacerlo, ya no volverás a necesitar el teléfono y podrás iniciar sesión simplemente desbloqueando el ordenador. Incluso si pierdes tu teléfono, nuestras claves de acceso se sincronizarán de manera segura con el nuevo dispositivo a partir de la copia de seguridad en la nube, permitiéndote continuar justo desde donde interrumpiste la actividad en el dispositivo anterior.
Llevamos años preparando el futuro sin contraseñas
La clave de acceso nos acercará mucho más al futuro sin contraseñas que hemos estado preparando durante más de una década. A continuación, resumimos brevemente las innovaciones que han allanado el camino hasta el anuncio de hoy.
- Administrador de contraseñas de Google. En 2008 lanzamos la primera versión de nuestro administrador de contraseñas, que hacía el inicio de sesión más fácil y seguro al eliminar la necesidad de recordar y digitar la contraseña. Nuestras encuestas revelan que un 40% de los usuarios todavía prefiere crear contraseñas fáciles de recordar en lugar de contraseñas sólidas y seguras. Los administradores de contraseñas solucionan este problema recordando las contraseñas por el usuario y asegurándose de que estas sean seguras. Más importante aún, los administradores evitan que las credenciales sean introducidas en web fraudulentas. En los últimos años hemos realizado importantes inversiones para hacer aún más inteligente nuestro administrador: por ejemplo, ahora los usuarios reciben un aviso en el caso de que sus contraseñas se hayan visto comprometidas por una violación de datos.
- Verificación en dos pasos. En 2011 Google fue el primer gran sitio web para consumidores en ofrecer la verificación en dos pasos (2SV), una forma fácil y segura de iniciar sesión. Este método requiere una segunda forma de autenticación después de introducir una contraseña, lo que hace que los ataques informáticos sean mucho más difíciles. Siempre hemos animado a los usuarios a inscribirse en el sistema de verificación en dos pasos; el año pasado inscribimos de forma automática a 150 millones de usuarios y seguiremos haciéndolo con todas las cuentas que estén configuradas de la forma adecuada.
- Llave de seguridad para el personal de Google. En 2012 nos propusimos crear una solución completa para bloquear los ataques de phishing contra los empleados de Google. En colaboración con nuestros socios de desarrollo Yubico y NXP creamos un nuevo dispositivo USB de segundo factor resistente al phishing, al que llamamos Llave de Seguridad, y, con cautela, comenzamos a entregarlo a nuestros empleados.
- Ingreso en la Alianza FIDO. En 2013, junto con nuestros socios de desarrollo, nos unimos a la Alianza FIDO, un consorcio creado unos pocos meses antes con el objetivo de impulsar estándares abiertos para un mundo sin contraseñas. Todos los protocolos FIDO están diseñados para resistir al phishing, lo que hace que resulte imposible, para el atacante, inducir al usuario a revelar sus credenciales FIDO, a diferencia de lo que ocurre con otros métodos tradicionales como las contraseñas.
- Llaves de Seguridad para todos. En 2014 empezamos a ofrecer a todos los usuarios la Llave de seguridad, ahora basada en un estándar abierto FIDO. Era la primera vez que se ofrecía un método de inicio de sesión resistente al phishing en una cuenta de internet para consumidores.
- Cuentas de empresa con alta resistencia al phishing. A comienzos de 2017 presentamos unos controles para empresas que permitían a un administrador exigir el uso de una Llave de Seguridad para iniciar la sesión, desactivando otras opciones susceptibles de phishing como las contraseñas y las contraseñas de un solo uso.
- Programa de protección avanzada (APP): A finales de 2017 presentamos el programa APP para ofrecer a los usuarios muy expuestos o con alto riesgo de sufrir ciberataques varios ajustes y protecciones de seguridad, incluida la Llave de Seguridad. Animamos a los usuarios de alto riesgo que se mueven en el ámbito de la política, el periodismo, la industria del entretenimiento, etc. a inscribirse en este programa, ya que las ciberamenazas contra estos colectivos están aumentando.
- Llave de Seguridad Titan. En 2018 pusimos a la venta la Llave de Seguridad Titan en la tienda de Google. Tomamos esta iniciativa porque algunos usuarios del programa APP y otros usuarios de Google nos pedían una solución Google de extremo a extremo. Las llaves de seguridad Titan cumplen con FIDO y pueden utilizarse para cualquier sitio web compatible con estos dispositivos.
- Llaves de seguridad integradas en los dispositivos móviles. En 2019 presentamos una llave de seguridad integrada en Android y, en 2020, hicimos los propio con los iPhone. De este modo, cualquier persona que tenga un dispositivo Android o un iPhone podrá beneficiarse del mismo nivel de protección que ofrece una llave de seguridad sin necesidad de utilizarla como dispositivo aparte.
- Reautenticación sin contraseña. En 2019 ampliamos nuestra compatibilidad con FIDO en Android para que cualquier sitio web pueda optar por permitir un nuevo inicio de sesión con solo un PIN o con los datos biométricos, sin necesidad de contraseña. El usuario puede probarlo hoy mismo abriendo el administrador de contraseñas en su teléfono Android: verificaremos que realmente es él pidiéndole que desbloquee su teléfono.
- Preparando un futuro sin contraseñas. La ampliación de la compatibilidad con FIDO que anunciamos hoy permitirá a los sitios web implementar las claves de acceso descritas anteriormente. Cuando, en 2022 y 2023, la compatibilidad con las claves de acceso esté disponible de manera generalizada, tendremos por fin la plataforma de Internet para un verdadero futuro sin contraseñas.
Estamos entusiasmados con lo que nos depara el futuro de las claves de acceso. Dicho esto, somos conscientes de que aún se necesita tiempo para que esta tecnología esté disponible en los dispositivos de todos y los desarrolladores de sitios web y aplicaciones puedan aprovecharla. Durante este período de transición, las contraseñas seguirán formando parte de nuestras vidas, por lo que seguiremos volcados en hacer que los inicios de sesión convencionales sean más seguros y fáciles a través de nuestros productos como el Gestor de Contraseñas de Google.