¿Qué son las Passkey? Guía básica para principiantes en digitalización

Cada vez más información personal y sensible se almacena y se transmite a través de plataformas digitales. Esto incluye datos financieros, información de identificación, historiales médicos, entre otros. La seguridad adecuada garantiza que estos datos estén protegidos contra el acceso no autorizado, el robo o el mal uso.

La digitalización ha dado lugar a un aumento significativo en los delitos cibernéticos, como el robo de identidad, el fraude en línea, el phishing y el malware. Implementar medidas de seguridad sólidas ayuda a prevenir y detectar estas amenazas, protegiendo tanto a los individuos como a las organizaciones de posibles pérdidas financieras y daños a su reputación.

Es necesario implementar medidas de seguridad adecuadas en todas las etapas de la digitalización para mitigar los riesgos asociados con el mundo digital en constante evolución. Para ello, la alianza FIDO—que incluye a Apple, Google, Microsoft, entre otras—, ha buscado una forma de proteger a los usuarios en línea y ha creado nuevas claves de acceso llamadas Passkeys como respuesta al problema de seguridad que las contraseñas presentan.

Passkey es el proyecto que viene a reemplazar las contraseñas: una alternativa que reemplazará las letras y números por datos biométricos como huellas digitales, escaneos faciales, entre otros. 

¿Qué es una Passkey? 

Las claves de acceso—llamadas Passkeys por la industria—, son una nueva forma de iniciar sesión en aplicaciones y sitios web. 

Una Passkey es una alternativa a las contraseñas que Google, Microsoft, Apple y otras grandes plataformas están lanzando este 2023. Su propósito es generar un método de autenticación sin contraseñas, mejorando la seguridad de los usuarios en el Internet. 

Esta clave de acceso reemplaza una contraseña por un dato biométrico (huella dactilar, escaneo facial, etc.) en dispositivos que tienen habilitada esta opción de desbloqueo y autenticación. 

La alianza FIDO asegura que las Passkeys son más seguras, fáciles de usar y convenientes que las contraseñas. Pueden reemplazar también otros sistemas de inicio de sesión como la autenticación en dos pasos (conocida como 2FA) o verificación por SMS con un PIN local. Es una alternativa para mitigar los crímenes digitales y los olvidos o pérdidas de contraseñas.

Funcionamiento básico del Passkey

Las Passkeys le dan acceso al usuario a apps y sitios de la misma manera que se desbloquea un celular. 

Así funciona: 

  1. Introducir el correo asociado a la cuenta
  2. Saldrá un mensaje para utilizar el Passkey ligado a la cuenta
  3. Al presionar “Sí”, la app pedirá una autentificación biométrica como una huella digital, escaneo facial, o un pin.
  4. Tendrás acceso a la app o sitio web

La clave de acceso en sí se almacena en una computadora local o dispositivo móvil, que pedirá la autenticación biométrica para el bloqueo de pantalla. Estos datos biométricos nunca se compartirán con Apple, Google, Microsoft o cualquier otra plataforma. 

Además, puedes crear una clave de acceso para cada uno de tus dispositivos, así no tendrás que usar tu celular cada vez que vayas a iniciar sesión en tus cuentas.

¿Cómo funciona el Passkey? En términos técnicos…

Cuando se usa una Passkey al iniciar sesión en una aplicación o sitio web, los usuarios generan un par de claves privadas/públicas: 

  1. Una clave privada almacenada localmente en el dispositivo (computadora o celular)
  2. El sitio web en el que se están registrando almacena una clave pública.
  3. La clave de acceso en sí se almacena en tu computadora local o dispositivo móvil, que pedirá tu dato biométrico de bloqueo de pantalla o PIN para confirmar la identidad.

Los datos biométricos no se comparten con la plataforma (Apple, Google, Microsoft), así que sólo tu dispositivo tiene acceso a esa información.

Los únicos datos compartidos con la plataforma son la clave pública y la firma, ninguno contiene información sobre tus datos biométricos.

Ejemplos de algunas aplicaciones que utilizan Passkeys

Varias aplicaciones y plataformas ya tienen activadas las Passkeys:

  • Cuentas de Google
  • Sistemas operativos móviles Android e iOS
  • Navegadores Chrome, Edge y Safari
  • Entornos de escritorio Windows y macOS
  • Docusign
  • Kayak
  • PayPal 
  • Shopify 
  • Yahoo! Japón

Google 

Google está implementando las Passkeys desde este 2023 en muchos países. Activarlas es muy fácil y amigable, puedes usar este enlace.

Shopify

Shopify está utilizando claves de acceso como un método de autenticación adicional. Empezó a implementar claves para acceder a los flujos de autenticación de Shop en la web y la aplicación, y a su vez, buscó reemplazar la verificación por correo electrónico y SMS. Una vez que el usuario se ha registrado y autenticado con verificación por correo electrónico o SMS, tienen la opción de agregar una clave de acceso con biometría.

¿Cuál es la diferencia entre Passkey y password (contraseña)?

¿Qué es una contraseña?

Una contraseña es una secuencia de caracteres (como letras, números, símbolos, entre otras) empleada para autenticar o verificar la identidad de un usuario que desea acceder a un sistema o servicio protegido por contraseña.

La contraseña es creada por el usuario y generalmente debe cumplir con ciertos requisitos de seguridad, como ser lo suficientemente larga y compleja para evitar que sea adivinada por otros. La contraseña se utiliza para asegurarse de que solo las personas autorizadas puedan acceder a la información o los recursos protegidos por la misma.

Diferencias principales entre password y Passkey

  • A diferencia de las contraseñas, las claves de acceso sólo pueden existir en los dispositivos. Es decir, no se transmiten por la red.
  • Los Passkeys no se pueden escribir, olvidar o compartir, ya que son datos biométricos únicos. 
  • A menudo, se recomienda que los passwords sean largos, complejos y únicos para aumentar la seguridad. Se sugiere que incluyan combinaciones de letras (mayúsculas y minúsculas), números y símbolos especiales, lo cual hace que sean difíciles de recordar.
  • Las Passkeys no requieren letras, números, ni elementos físicos que recordar, tus datos biométricos son suficientes.
  • Las contraseñas suelen ser almacenadas en forma de «hashes» o se cifran para proteger la información confidencial en caso de que una base de datos sea comprometida.
  • Las contraseñas pueden ser compartidas con otros usuarios o administradores para permitir el acceso a cuentas o sistemas específicos.
  • Los Passkeys no se comparten y están vinculados a un dispositivo o usuario específico.

Ventajas e inconvenientes de un Passkey vs. contraseñas

  • Seguridad 

Las contraseñas se tienen que recordar y organizar, lo que las hace más fáciles de olvidar y robar.

Las Passkeys son eficientes contra el phishing y cualquier mal manejo accidental al que son propensas las contraseñas.

  • Recuperación

Recuperar contraseñas olvidadas o comprometidas es un proceso rápido por el que todos hemos pasado. Solo es cuestión de compartir algunos datos personales y las plataformas generarán el proceso de recuperación. 

Recuperar una Passkey de un dispositivo perdido o robado es una preocupación frecuente de los usuarios en los foros de Internet.  Al ser información que solo existe en el dispositivo, ¿cómo se puede recuperar? ¿Ya no se podrá acceder a las cuentas con esa Passkey nunca más? Apple, por ejemplo, tiene un proceso de recuperación: si creas una clave de acceso en tu iPhone, esta clave también estará disponible en sus otros dispositivos de Apple, pero debes haber iniciado sesión en la misma cuenta de iCloud. También se pueden eliminar Passkeys desde la configuración de cuenta.

  • Dispositivos compartidos

La ventaja de las contraseñas es que no importa qué dispositivo estés usando, puedes usar las contraseñas para autenticación y acceder a tus cuentas. En caso de una emergencia, puedes pedirle a alguien más que inicie sesión con tus contraseñas. 

Por otro lado, si utilizas dispositivos compartidos, no se recomienda crear una Passkey en ellos, ya que si alguien puede acceder al dispositivo y desbloquearlo, también podrá acceder a tus cuentas. 

Tendencias  

Hoy en día existen varias tendencias para que los usuarios se mantengan seguros en línea:

  1. Autenticación multifactor (MFA): La autenticación multifactor se está convirtiendo en una práctica común para proteger los sistemas y las cuentas de usuario. La MFA requiere que los usuarios proporcionen múltiples formas de autenticación, como una contraseña y un código enviado a su teléfono móvil.
  1. Ciberseguridad basada en la nube: A medida que más organizaciones adoptan la nube para almacenar y procesar datos, la seguridad basada en la nube se está convirtiendo en una tendencia importante. Los proveedores de servicios en la nube ofrecen soluciones de seguridad integradas en la plataforma.

¿Passkey reemplazará a las contraseñas? 

Ya que las Passkeys han sido implementadas en las plataformas que forman parte de FIDO, y éstas son las líderes de la industria, podemos decir que las Passkeys están aquí para quedarse. Poco a poco se implementarán en las cuentas de redes sociales, comercio electrónico, y todo lo que antes requería una contraseña.

FIDO espera que la implementación de las Passkeys tome todavía algunos años de adopción del usuario, implementación de la tecnología necesaria en los dispositivos y educación con respecto a la ventaja que tienen contra las contraseñas tradicionales. 

Por lo pronto, las cuentas de Google seguirán aceptando las contraseñas tradicionales, ya que la adopción masiva de Passkeys llevará unos años—tal vez incluso décadas—.

Futuro del Passkey en la digitalización

El futuro del Passkey en la digitalización es prometedor y se espera que juegue un papel relevante en la evolución de la seguridad y autenticación en línea. La información biométrica, como el reconocimiento facial, de huellas dactilares o de voz, está ganando popularidad como método de autenticación más seguro y conveniente, aunque hay muchas dudas de parte de los usuarios todavía. 

Se espera que los sistemas de cifrado y seguridad evolucionen para proteger los Passkeys y otros datos de autenticación de manera más efectiva. Esto puede incluir el uso de algoritmos de cifrado más fuertes, tecnologías de blockchain para garantizar la integridad de los Passkeys y técnicas de detección de fraudes más sofisticadas.

Conclusiones

Las Passkeys son una realidad este 2023, respaldadas por los líderes de la industria, así que es cuestión de tiempo para su adopción generalizada en la mayoría de las cuentas y aplicaciones que requieren un inicio de sesión. Aseguran que son más seguras y fáciles de usar que las contraseñas; reemplazan los números y letras de las contraseñas por datos biométricos sólo almacenados en los dispositivos y no compartidos con las aplicaciones. Debemos buscar educación sobre su funcionamiento y su método de recuperación recomendado. Con la implementación de este nuevo método de autentificación, se está buscando una mayor seguridad en la navegación por Internet de los usuarios. 

Fuentes:

https://blog.google/intl/es-419/actualizaciones-de-producto/el-principio-del-fin-de-la-contrasena/

https://security.googleblog.com/2023/05/making-authentication-faster-than-ever.html

https://shopify.engineering/supporting-Passkeys-in-shop-authentication-flows

https://security.googleblog.com/2023/05/so-long-passwords-thanks-for-all-phish.html

https://blog.google/technology/safety-security/the-beginning-of-the-end-of-the-password/

https://www.theverge.com/2023/5/3/23709318/google-accounts-Passkey-support-password-2fa-fido-security-phishing

https://www.theverge.com/23712758/google-Passkey-password-2fa-security-how-to

https://www.theverge.com/2022/5/5/23057646/apple-google-microsoft-passwordless-sign-in-fido

https://developer.apple.com/Passkeys/

https://www.Passkeys.com/

6 junio, 2023

Lorem