¿Desaparecerán las contraseñas? Las claves de acceso podrían ser una nueva forma de ingresar a los sitios web
Las empresas buscan métodos tecnológicos para que los delincuentes no puedan robar nuestros datos.
Getty Images
Casi todos coincidimos en que las contraseñas son un fastidio. A lo sumo, nos resultan indiferentes, aunque aceptemos su utilidad a regañadientes.
Las principales empresas de tecnología sienten la misma frustración. Apple, Google y Microsoft, además de otras empresas líderes en otros sectores, apoyan una alternativa a la contraseña llamada “clave de acceso” (passkey), que promete ser más segura que las contraseñas comunes y acabar con las molestias que ocasionan.
Las claves de acceso se basan en una norma emergente establecida por la Fast IDentity Online (FIDO) Alliance, un grupo del sector, y el World Wide Web Consortium. Entre los integrantes de la FIDO Alliance se encuentran Amazon, American Express, Bank of America, Chase, CVS Health, eBay, Intel, Lenovo, Mastercard, Meta, Netflix, PayPal, Samsung, Sony, Qualcomm, Verizon, Visa y Wells Fargo.
Si bien las contraseñas actuales no van a desaparecer pronto, la nueva solución de las claves de acceso podría comenzar a surgir antes de que te des cuenta. Estas claves utilizan métodos biométricos para iniciar sesión, como el reconocimiento facial, el escaneo de huellas dactilares o incluso un número de identificación personal que quizá conozcas mejor como PIN.
Ahorra un 25% el primer año cuando te unes a AARP con opción de renovación automática. Obtén acceso al momento a descuentos, programas, servicios y toda la información que necesitas para mejorar tu calidad de vida.
En la Conferencia Mundial de Desarrolladores en junio de 2022, Apple se mostró muy a favor de las claves de acceso, que puso a disposición de los programadores como parte del sistema operativo macOS Ventura y iOS 16 para computadoras Mac y los iPhone. Los próximos sistemas operativos de Apple prometen reemplazar para siempre las contraseñas en un futuro.
Podríamos ver cambios a partir del 2023
Apple adoptó públicamente las claves de acceso un mes después de que Google anunciara la solución en su propio congreso de programadores.
Aunque la tecnología sigue avanzando, Google ha puesto a disposición de los desarrolladores de software una versión de las claves de acceso para Android y Chrome. Los usuarios de Android y Chrome las verán entre los tres primeros meses del 2023, según el ejecutivo de Google Sam Srinivas, quien también es presidente de la FIDO Alliance.
¿Cuál es la diferencia?
Código de acceso, también conocido como número de identificación personal (PIN). Un código numérico secreto de por lo menos cuatro dígitos que utiliza una persona para verificar su identidad.
Contraseña. Una palabra o serie de caracteres que un usuario autorizado crea para iniciar sesión en un sistema o servicio informático.
Frase de acceso. Un conjunto de palabras o caracteres en forma de frase, más largo que una contraseña, pero generalmente más fácil de recordar, que se usa para iniciar sesión en aplicaciones y sitios web.
Clave de acceso. Un método de verificación del usuario de una aplicación o sitio web que está vinculado al mismo tiempo a la aplicación o al sitio y al dispositivo que intenta ingresar. Ambas “claves” deben coincidir para permitir el acceso de un usuario, pero el proceso se realiza sin necesidad de ingresar un nombre de usuario u otro comprobante de identificación.
Microsoft también se suma a la iniciativa, y espera que los usuarios puedan utilizar las claves de acceso en todas sus plataformas “durante el transcurso del próximo año”. En mayo, los tres rivales —habitualmente en constante competencia— publicaron un comunicado de prensa conjunto con FIDO.
“El cambio definitivo a un mundo sin contraseñas comenzará cuando los consumidores lo conviertan en una parte natural de su vida”, señaló en el comunicado Alex Simons, vicepresidente corporativo de Microsoft para la gestión de programas de identificación. “Toda posible solución debe ser más segura, fácil y rápida que las contraseñas y los métodos de autenticación de múltiples factores de legado que se utilizan actualmente. Si trabajamos juntos como una comunidad en todas las plataformas, podremos finalmente lograr esta meta y progresar mucho en la eliminación de las contraseñas”.
“Dentro de poco, podrás iniciar sesión en tu cuenta de Microsoft con una clave de acceso desde un dispositivo Apple o Google”, señaló Simons en otra entrada del blog.
Por ahora, quienes quieran eliminar la contraseña de su cuenta de Microsoft pueden utilizar la aplicación Microsoft Authenticator para iniciar sesión. Funciona en combinación con la autenticación de dos factores, como el inicio de sesión en un teléfono móvil con el uso de reconocimiento facial, tu huella dactilar o tu PIN.
Los problemas de las contraseñas actuales
Todos conocemos los problemas que se proponen resolver con las claves de acceso. Casi todos ignoramos los consejos de los expertos en seguridad y utilizamos siempre contraseñas idénticas o similares cuando iniciamos sesión en aplicaciones y sitios web. De hecho, dos de cada tres personas en el país dicen utilizar la misma contraseña para diferentes cuentas en internet, según una encuesta reciente que llevó a cabo Ipsos con 4,000 adultos en el país.
Por si eso fuera poco, con frecuencia elegimos contraseñas demasiado simples, como el nombre de nuestra mascota o de nuestra maestra de kindergarten. Incluso hay quien usa la palabra “contraseña” o la secuencia “12345” como contraseña. Es decir, claves fáciles que los delincuentes pueden descubrir.
Además, cuando elegimos contraseñas complejas que son mucho más difíciles de descifrar —una larga serie de letras mayúsculas y minúsculas, números y símbolos que parecen aleatorios—, nos suele costar mucho recordarlas.
Los administradores de contraseñas, que permiten almacenar y autogenerar contraseñas complejas, pueden aliviar en cierta medida la frustración de los usuarios, a veces con el pago de una suscripción. Sin embargo, muy pocas personas los utilizan.
Los ataques de suplantación de identidad podrían convertirse en algo del pasado
La promesa de las claves de acceso es que no te obligarán a elegir entre una opción cómoda y fácil de usar, y una solución mucho más impenetrable. Garrett Davidson, que trabaja en el área de procesos de autenticación de Apple, les dijo a los programadores que las claves de acceso eliminarán no solo los problemas de pirateo de contraseñas almacenadas en los sistemas informáticos de las empresas, sino también los ataques de suplantación de identidad en los que se engaña a los usuarios para que proporcionen voluntariamente sus datos.
Podrían dejar de requerirse las llaves digitales o “tokens” de seguridad y, en ciertos casos, los códigos de autenticación de dos factores que supuestamente agregan otro nivel de protección para complementar las contraseñas. Si bien la técnica de “criptografía de clave pública” en la que se basan las claves es compleja, el director ejecutivo y jefe de comercialización de FIDO, Andrew Shikiar, afirma que los consumidores que utilizan el reconocimiento facial o las huellas dactilares para iniciar sesión en sitios y aplicaciones no notarán grandes cambios con respecto a lo que suelen hacer actualmente.
“La diferencia es que ya no hay ninguna contraseña que pueda piratear un delincuente informático, porque incluso una contraseña difícil puede ser manipulada”, advierte.
En el caso de Apple, una vez que se configura una clave de acceso —lo que puedes hacer en combinación con el reconocimiento facial Face ID o el sensor de huellas dactilares Touch ID de los dispositivos Apple— se crea una clave digital única que sirve solo para el sitio que deseas visitar. Dado que Apple sincroniza de manera segura las claves de acceso por medio de un sistema que se conoce como iCloud Keychain, están disponibles de inmediato en toda la gama de productos Apple, como Apple TV, iPad, iPhone y computadoras Mac.
Cómo funcionan las claves de acceso
En términos simples, tienes dos claves criptográficas que deben coincidir. Una de ellas es una clave pública que se encuentra en un servidor de internet. La otra es la clave privada correspondiente y que es exclusiva para tu dispositivo, con lo cual alguien tendría que tener en su poder tu teléfono, tableta o computadora para que se produzca una brecha de seguridad.
“Si alguien te roba la contraseña que usas para todas tus cuentas y tiene tus credenciales, intentará usarla de inmediato en los sitios de los principales bancos, agencias de viajes y minoristas”, explica Shikiar. “Puede hacerlo prácticamente sin costo alguno [y] quizá tendría un 5% de posibilidades de apoderarse de esas cuentas”.
“Pero si te roba la clave pública, no puede hacer nada con ella. Esa clave pública no tiene ningún valor”, señala. “[Como] la clave privada permanece en tu dispositivo de forma segura, la única forma de activar esa clave privada es verificarte a ti mismo [en] tu dispositivo”.
¿Desaparecerán algún día las contraseñas?
Pese a la presión pública de los gigantes tecnológicos, las claves de acceso no aparecerán de la noche a la mañana. Lo más probable es que el banco, un agente bursátil y otras empresas con las que sueles tratar tengan un plazo para hacerlo.
“Cada proveedor de servicios tendrá su propio plan para ponerlo en práctica”, señala Shikiar. También hay que definir algunas cuestiones reglamentarias.
Sin embargo, “de aquí a un año, todas las plataformas serán compatibles con las claves de acceso disponibles en el mercado”, afirma. “A fines del 2023 o en el 2024, esta será una opción o experiencia cada vez más normal para iniciar sesión”.
No obstante, sugerir que las contraseñas van a desaparecer es prematuro. Es muy improbable que en un futuro próximo las empresas con las que sueles tratar te digan algo así como “lo sentimos, ya no aceptamos contraseñas”, si es que llegan a hacerlo algún día.
“Siempre tendremos contraseñas de alguna manera”, indica Christopher Budd, director de investigación de amenazas de Sophos, en las afueras de Tacoma, Washington. Esto implica que debemos aprender bien los métodos eficaces de seguridad, crear contraseñas que sean complejas y no usar la misma en varios sitios.
Nota de redacción: este artículo se publicó el 14 de julio del 2022. Ha sido actualizado con nueva información.
Edward C. Baig colabora con artículos sobre tecnología y otros temas del consumidor. Anteriormente trabajó para USA Today, BusinessWeek, U.S. News & World Report y Fortune; también es autor de Macs for Dummies y coautor de iPhone for Dummies y iPad for Dummies.