El fin de las contraseñas llegará primero al mundo corporativo: 4 expertos explican cómo la desaparición de las claves clásicas mejorará tu ciberseguridad

El debate sobre los problemas de seguridad de las contraseñas viene de largo, aunque la pandemia lo ha acelerado. Varios expertos consultados por Business Insider España tienen dificultades, no obstante, para vaticinar cuándo ocurrirá: está siendo un proceso muy gradual y hay muchos intereses cruzados entre fabricantes y tecnológicas.

Lo que parece claro es que hay un consenso mínimo: las contraseñas están obsoletas y representan uno de los principales desafíos de la industria de la ciberseguridad hoy por hoy.

Esta conversación, acelerada por la crisis del coronavirus, viene de bastante antes. En 2013 se constituyó una asociación industrial, la FIDO Alliance, que aglutina a grandes players de la industria tecnológica. Nombres del calibre de Google, Amazon, Apple o Samsung participan en esta iniciativa global que busca "reducir la excesiva dependencia de las contraseñas en el mundo".

¿Por qué quieren acabar con las contraseñas? ¿Qué han hecho claves como password1234 o qwerty1111 para ganarse este desprecio por parte de los especialistas en seguridad informática de todo el mundo? La respuesta puede parecer obvia, pero las claves van mucho más allá de la sofisticación que han alcanzado algunas técnicas de hacking.

Muchos criminales informáticos han desarrollado técnicas con las que es difícil, pero no imposible, descifrar una contraseña por la fuerza bruta. Esto quiere decir que muchas mafias ponen a máquinas a tratar de adivinar una contraseña probando miles de millones de posibilidades distintas. Al mismo tiempo, el hecho de que las claves se tengan que almacenar hace que sean vulnerables.

Dos hackers españoles demuestran con una herramienta lo fácil que es reventar contraseñas atendiendo a las pautas con las que se crean las más comunes

Las brechas de datos son uno de los fenómenos más habituales en cualquier compañía digitalizada: firmas de seguros, eléctricas, centros sanitarios. Hoy día, cualquier negocio reúne los datos de sus clientes, como sus métodos de pago, nombres y direcciones postales, y los almacena en bases de datos que son frecuentemente vulneradas, expuestas y revendidas en la dark web.

En alguna ocasión, dentro de esos golosos paquetes con los que los propios criminales informáticos trafican, se encuentran las propias contraseñas de los usuarios. 

Son casos excepcionales, pero existen: bases de datos en los que las contraseñas no se almacenan encriptadas, con lo que, cuando se vulneran, su contenido se filtra en texto plano, exponiendo a sus potenciales víctimas a peligros todavía mayores, puesto que la mayoría de los usuarios usan la misma contraseña para varios servicios: la luz, el correo electrónico, la cuenta del banco...

En palabras de Alejandro González, con la desaparición de las contraseñas que anhelan muchas firmas en todo el planeta, lo que se pretende es "eliminar que el usuario sea la entidad que interactúa en la generación de esas claves" para que esa entidad sea sustituida por otros factores como la autenticación biométrica. González es el director de Ciberseguridad de la firma gallega Tarlogic.

Sobre todo, no sólo se pronuncian los expertos. Hace unos años, el Foro Económico Mundial animó a extinguir paulatinamente el uso de credenciales o contraseñas para proteger infraestructuras esenciales y críticas como los centros sanitarios y los hospitales, que durante la pandemia también fueron asolados por ciberataques.

Pero, ¿cuáles son las alternativas? ¿Son más seguras? ¿Cuándo desaparecerán las contraseñas? ¿Lo harán para siempre? Junto a Alejandro González, de Tarlogic, Business Insider España se ha puesto en contacto con especialistas como Mikel Rufián, director de Ciberseguridad en Bidaidea; Eusebio Nieva, director técnico de Check Point para España: o Josep Albors, jefe de Concienciación en ESET España.

Estas son sus claves.

El vulnerable factor humano

González incide en la necesidad de eliminar al ser humano en la ecuación, que es el que crea esas contraseñas, a veces débiles. Aunque en los últimos años en los formularios de registro se han aumentado los requisitos para que las contraseñas sean seguras (introduce un carácter especial, introduce un número...), la contraseña infalible no existirá jamás.

Si a eso se suma que la memoria es finita y muchos usuarios no tienen la capacidad de memorizar una contraseña para cada servicio, la superficie vulnerable crece exponencialmente.

Nieva, de Check Point, cree que la desaparición de las contraseñas, "más que inevitable, es necesaria". "Nadie ha sabido encontrar sistemas de autenticación más amigables para los usuarios y que eviten problemas de seguridad como la gestión de estas credenciales, que cuando está en manos del usuario, se hace generalmente de forma ineficiente".

En los últimos años han proliferado los gestores de contraseñas. Con todo, son un paso intermedio hasta llegar a alternativas como la autenticación por vía de otros factores, como el del propio dispositivo —el clásico doble factor de autenticación: junto a la contraseña, también tienes que introducir una clave que recibes por ejemplo por SMS— o el biométrico.

Otras alternativas en auge son las llaves de seguridad, que por ahora no se han prodigado mucho pero resultan interesantes para especialistas como Josep Albors, de ESET. En su opinión, el fin de las contraseñas también es "inevitable" porque se ha demostrado que no son "un método útil para proteger servicios".

"Los usuarios tendemos a usar contraseñas que no son lo suficientemente robustas".

Estos cambios llegarán primero al mundo corporativo

La extinción de las contraseñas como el método más habitual para iniciar sesión en distintos servicios está siendo tan gradual que probablemente los internautas no puedan identificar nunca el momento en el que las claves desaparecieron. Los expertos consultados por este medio no se atreven a poner fecha.

La razón es que el proceso está siendo gradual. Microsoft ya ha dado tímidos pasos para poner el fin de las contraseñas más cerca, con la aparición de sus PIN para iniciar sesión en Windows. Google comercializa desde hace años llaves de ciberseguridad Titan Key. Todas colaboran en la FIDO Alliance. Pero no lo hacen solas.

Mucho cuidado: si utilizas una contraseña de esta lista eres una diana perfecta de un ciberataque

González, de Tarlogic, concede que estas multinacionales son probablemente las primeras interesadas en acelerar este debate y, por lo tanto, este proceso, pero por el camino hay todo un conjunto de proveedores y desarrolladores que también se comunican y trabajan con estas compañías a las que no se las puede dejar atrás.

Nieva, de Check Point, expone también la necesidad de alcanzar consensos en cuanto a la estandarización de alternativas. Pero sí tiene bastante claro que las alternativas se impondrán primero en el mundo corporativo, a medida que las grandes compañías se vayan dando cuenta de que dejar atrás las credenciales convencionales mejora su seguridad informática.

Se pondrá coto a las amenazas internas en las organizaciones

No solo mejorará la seguridad a nivel usuario doméstico. El hecho de que las contraseñas convencionales desaparezcan y sean sustituidas por otras vías de autenticación significará que, como se señalaba antes, los ciberdelincuentes no podrán traficar y revenderlas en la dark web como venían haciendo.

Pero tanto Nieva como Mikel Rufián, director global de Cybersecurity, Intelligence & Industry 4.0 en Bidaidea, inciden en cómo la sustitución de las credenciales clásicas dificultaría la colaboración de los llamados insider, aquellas amenazas internas que representan en algunas organizaciones los propios empleados descontentos que colaboran con ciberdelincuentes externos.

Albors, por ejemplo, enfatiza cómo muchos de los ciberataques más comunes comienzan con un filtrado de claves de usuario para ganar acceso a los sistemas informáticos de sus víctimas.

Los problemas de seguridad no acabarán aquí

El fin de las contraseñas supone una mejora sustancial en la seguridad, en tanto que uno de los factores más vulnerabilizantes para organizaciones y usuarios desaparecerá. Sin embargo, no supone tampoco la solución a todos los problemas. Alejandro González, de Tarlogic, lo desliza: la biometría tiene una semilla, ¿su almacenamiento será seguro?

Aunque te identifiques en tu iPhone con tu huella dactilar o con tu propia cara, eso no va a hacer que los criminales informáticos dejen de mejorar sus técnicas. A día de hoy ya se conocen casos de usos de herramientas capaces de suplantar tu voz e incluso de engañar a modelos de inteligencia artificial especializados en reconocimiento facial.

Alberto López, responsable de Ciberseguridad de Mastercard en España y Portugal, explicaba hace meses en esta entrevista que un dato biométrico es aquel que puede identificar a un usuario por lo que es.

Así es como debes construir una contraseña segura y perfecta

"Cuando hablamos de ciberseguridad, con la entrada en vigor de la normativa PSD2, la forma de identificarnos de forma remota es mediante 2 factores: un factor de posesión y uno de conocimiento". El primer factor puede ser la posesión de una tarjeta de crédito, mientras que el factor de conocimiento puede ser saber su número PIN.

"La biometría viene a complementar esos factores. Tenemos características únicas como pueden ser nuestra voz, nuestras pupilas, nuestro pulso, las huellas dactilares", incidía entonces López. Es una forma con la que los seres humanos, al interactuar, se identifican unos a otros.

A la hora de proteger estos datos, López exponía que la casuística es muy amplia. "Cuando nos damos de alta en soluciones de pago en las que usamos biometría, los datos no salen del dispositivo. Ni un banco ni Mastercard tienen acceso a los datos biométricos de los usuarios". Además, no se almacenan fotos del rostro. Es algo mucho más complejo.

Eusebio Nieva corrobora que la biometría puede ser la alternativa, "obviamente, con los protocolos adecuados para poder ser usada en distintos servicios". Nieva, que insiste en la tesis de que estos cambios se darán primero en el mundo corporativo, esboza la posibilidad de que precisamente la biometría se imponga ante las credenciales gracias al uso de terminales de empresa.

"La única cosa con la que habrá que tener mucho cuidado es con la necesidad de gestionar la seguridad de esos dispositivos ante pérdidas y robos", expone. A fin de cuentas, la ciberseguridad consiste en "poner barreras" frente a aquellos con intereses espurios.