Tengo demasiadas contraseñas. Para acceder a todas mis cuentas y dispositivos cuento con la friolera de más de 200 nombres de usuario. Y resulta casi imposible acordarme de todas las claves teniendo en cuenta que cada web tiene sus propias normas para establecer una contraseña.

Como mucha gente, hace años que dejé de intentar recordar todas mis claves e instalé un gestor de contraseñas. Pero los gestores sus propios problemas, ya que las webs de las empresas siguen aumentando su seguridad. Cada inicio de sesión parece el intento de abrir una caja fuerte: desbloquear el gestor de contraseñas con su propia contraseña. Hacer clic. Copiar y pegar una cadena de caracteres única e impronunciable en el formulario de inicio de sesión. Pulsar. Confirmar que soy yo con un código de 6 dígitos enviado a mi correo electrónico o teléfono. Pulsar otra vez. Y por fin estoy dentro.

Eso para una sola cuenta: muchas veces tengo que repetir ese proceso varias veces al día para realizar tareas básicas. Y no soy el único: lo normal es tener cerca de 100 contraseñas para acceder a todo, desde el correo electrónico y las cuentas bancarias hasta servicios de streaming o el programa de socios de tu supermercado.

Por otro lado, las contraseñas no son un método infalible para mantener a salvo la información de los usuarios. Son muy fáciles de descifrar: Microsoft informa de casi 1.287 ataques a contraseñas cada segundo, o unos 111 millones al día. Cybersecurity Ventures informa de que se roban 44 registros cada segundo. Dada la falibilidad de una cadena de letras, números y caracteres, las empresas tecnológicas han superpuesto una serie de defensas a las contraseñas desde la década de 1960: desde exigir que los códigos incluyan números y letras hasta añadir un segundo paso de autenticación, como las preguntas de seguridad. Estas complejidades añadidas no han servido de mucho. Solo el año pasado se expusieron más de 24.000 millones de credenciales de inicio de sesión, un 65% más que en 2020. 

Para resolver el problema de las contraseñas, una coalición de algunas de las empresas tecnológicas más influyentes, como Apple, Amazon, Google y Microsoft, crearon la Alianza FIDO, que ha pasado la última década trabajando en un sistema de inicio de sesión para sustituir a las contraseñas de una vez por todas. La solución FIDO está casi lista, y he podido probarla durante unas semanas. Aunque no estamos ni mucho menos cerca de un futuro sin contraseñas, el sistema ya ha cambiado las reglas del juego. 

El azote de las contraseñas

El nacimiento de Internet planteó un problema inmediato a las empresas que esperaban operar online. ¿Cómo asegurarse de que alguien es quien dice ser? Para resolver el problema, recurrieron a lo que Ziming Zhao, profesor de informática de la Universidad de Buffalo, afirma que era la solución más sencilla: inicios de sesión basados en texto, o contraseñas. Un estudio de la Universidad de Cambridge comparó 2 décadas de propuestas de alternativas a las contraseñas, y cada una de ellas obtuvo peores resultados que las claves en cuanto a capacidad de despliegue, una medida de lo fácil que resultaba para las empresas configurarlas. 

Google deja de lado las contraseñas y empieza el despliegue de las llaves de acceso para ofrecer más seguridad

A pesar de su facilidad de uso, las contraseñas presentan importantes inconvenientes: más del 80% de las filtraciones de datos se deben a contraseñas poco seguras. Aunque los expertos en ciberseguridad han encontrado formas de reforzar la privacidad, la mayoría de las veces la responsabilidad de mantener los datos a salvo recae en última instancia en los usuarios, que no son muy de fiar. Aunque la mayoría de la gente sabe cuándo sus credenciales son inseguras, solo unos pocos se molestan en cambiar la clave. Y las medidas de seguridad adicionales, como la autenticación de 2 factores, no son más que un parche, no una solución permanente. Siempre hay una nueva amenaza a la vuelta de la esquina, según Christiaan Brand, jefe de producto del equipo de identidad y seguridad de Google: "Estamos en un punto en el que realmente necesitamos empezar de cero", indica.

'Estamos en un punto en el que realmente necesitamos empezar de cero'

La idea de acabar con las contraseñas no es nueva. En 2004, Bill Gates ya lo imaginó, y ha habido varios intentos de sustituirlas. Pero ninguno ha sido capaz de encontrar una alternativa... hasta ahora. La solución de FIDO Alliance, denominada "passkeys", traslada la carga de la seguridad del usuario a la tecnología. Con las passkeys, el usuario no tiene que preocuparse de guardar contraseñas únicas para cada página web, ni realizar todos los pasos de seguridad para iniciar sesión. En el mundo sin contraseñas de FIDO, la contraseña eres tú mismo. Todo lo que tienes que hacer para iniciar sesión en cualquier sitio es escanear tu cara o tu huella dactilar. 

"Literalmente, no puedes robar una contraseña que no existe", explica Steve Won, jefe de producto de 1Password, un gestor de contraseñas de primera calidad y miembro de la Alianza FIDO. 

Si tienen éxito, las passkeys pueden acabar con algunos de los problemas de seguridad más acuciantes en Internet. Tras la última actualización de FIDO, en el último año varias grandes empresas han introducido la compatibilidad con las passkeys en sus dispositivos y webs. Los propietarios de plataformas, desde Apple a Mastercard, están a bordo, así que hay posibilidades reales de que se afiancen. Florentin Putz, investigador de seguridad de la Universidad Técnica de Darmstadt (Alemania), dice que el apoyo generalizado de las tecnológicas era lo que hacía que las passkeys fueran tan interesantes.

Cómo funcionan las passkeys

Para utilizar el nuevo inicio de sesión sin contraseña, primero tienes que configurar una clave en tu portátil, teléfono, tableta u otro dispositivo. No es necesario instalar una aplicación adicional: Apple, Microsoft y Google ya ofrecen sistemas de contraseña por defecto.

Cuando quiero crear un inicio de sesión sin contraseña para una de mis cuentas, como las de Best Buy o Google, visito su página de registro de claves. La web o la aplicación escanea mi cara o mi huella dactilar. Si mi dispositivo no tiene escáner biométrico, me pide que introduzca el PIN o la contraseña de la pantalla de bloqueo del dispositivo. (Este paso es una solución temporal para los dispositivos que no pueden escanear tu cara o huella dactilar para verificarte, pero el objetivo es eliminar el requisito del PIN). Una vez que la página ha verificado mi identidad, genera un par único de claves virtuales. Una de ellas permanece en el servidor de la web. La otra es privada y permanece en mi dispositivo. 

La próxima vez que me conecte a esa cuenta, no tengo más que pulsar en el pequeño icono de la llave del formulario de acceso. La web verifica mi identidad con Face ID y, en cuestión de segundos, ya estoy dentro. No tengo que introducir una larga contraseña alfanumérica ni realizar ningún otro paso para iniciar sesión, como la autenticación de 2 factores. Entre bastidores, la página o aplicación lee la clave privada que guardé en mi dispositivo y abre la puerta solo si coincide con la de su servidor. Aunque parezca complejo, todo ocurre en segundo plano y al instante: no tienes que recordar ni gestionar nada. Es tan sencillo como desbloquear un iPhone. 

También es un método mucho más seguro y privado. Como tu información biométrica y tus passkeys nunca salen de tus dispositivos, hay pocas posibilidades de que tus inicios de sesión se vean comprometidos en una filtración de datos. En las pocas semanas en las que he utilizado las passkeys, su comodidad y su autenticación manos libres me han parecido inigualables, pero el sistema aún está lejos de ser perfecto.

Se necesita una adopción masiva

El mayor problema de las passkeys está en el número de webs que las aceptan. Ahora mismo, la lista de páginas y aplicaciones que admiten este sistema se limita a un par de docenas de empresas, por lo que me tocó recurrir a contraseñas de texto para la mayoría de los servicios que visitaba con frecuencia. 

Ahora bien, el movimiento passkey se está extendiendo: cada vez más empresas se unen a la Alianza FIDO y adoptan esta opción. Andrew Shikiar, CEO de la coalición, indica que el número de empresas que quieren unirse a la alianza demuestra lo imperativo del problema de las contraseñas. Y añade que el impulso aumentará significativamente en los próximos 12 a 18 meses.

El otro gran reto es la conexión entre distintos tipos de dispositivos. Por el momento, cuando configuras una contraseña con Apple o Google, solo la sincronizan con sus ecosistemas, lo que está muy bien si todos tus dispositivos son de una misma compañía: tu contraseña de Apple funcionaría en un iPhone, un iPad y un MacBook. Pero si tienes un iPhone y un portátil que no es de Apple, no podrás transferir fácilmente tu contraseña entre esos dispositivos. Para conectarte, tendrías que visitar la web en el que quieres entrar, introducir tu nombre de usuario y conectarte por Bluetooth con un dispositivo cercano que almacene tu contraseña. Si no tienes cerca un dispositivo con la clave que necesitas, tendrás que recurrir a tu contraseña tradicional. Así, si pierdes el teléfono en el que tenías almacenada la contraseña, tendrás que iniciar sesión en el servicio desde el ordenador con la clave tradicional.

'Aunque parezca complejo, todo ocurre en segundo plano y al instante: no tienes que recordar ni gestionar nada'

Aunque este proceso garantiza que un hacker no pueda manipular tus cuentas (a menos que se encuentre físicamente a pocos metros de ti), plantea muchos problemas de usabilidad. En general, compartir por Bluetooth es complicado. En varias ocasiones, cuando intentaba enviar claves de acceso entre dispositivos, el sistema fallaba. Además, FIDO otorga a proveedores como Apple demasiado control, lo que les permite dificultar la exportación de claves a dispositivos que no sean Apple. Según un estudio de la Universidad Técnica de Estambul, la falta de coherencia entre las interfaces de las claves de acceso de las distintas plataformas podría disuadir a los usuarios de utilizarlas. 

Aquí es donde pueden ayudar los gestores de contraseñas, como 1Password. Es el que yo utilizo, así que probé su nuevo sistema de claves, que ayudó a resolver algunos de los problemas de interoperabilidad. Como las aplicaciones de 1Password están disponibles en todas las plataformas, puedo sincronizar fácilmente mis claves independientemente del dispositivo que utilice. Por ejemplo, cuando pasé de un Mac a un PC con Windows, no tuve que usar la engorrosa opción de FIDO para compartir códigos QR e iniciar sesión en Best Buy con una contraseña: el complemento de Chrome de 1Password me conectó automáticamente.

Aunque en el momento de escribir este artículo la actualización de 1Password se limitaba a ordenadores, Won me explicó que la compatibilidad con teléfonos Android estaba en camino. Por otro lado, los iPhones son otro obstáculo, ya que Apple se ha negado a que los gestores de contraseñas de terceros almacenen claves de acceso en sus dispositivos. 

Los participantes en un estudio realizado por el investigador de seguridad Putz plantearon otro problema con el sistema de claves. Muchos usuarios afirmaron compartir cuentas con amigos y familiares, lo que complica el uso del acceso biométrico. Esto puede ser útil para algunas empresas, como las plataformas de streaming, que ya están tomando medidas contra el uso compartido de cuentas, pero plantea un problema para los clientes que intentan utilizar legítimamente un servicio compartido. Por el momento, las páginas web que admiten passkeys también ofrecen un inicio de sesión tradicional, de modo que para compartir el acceso con un tercero, solo hay que enviarle la contraseña por mensaje de texto. Pero si una web solo tuviera la opción de clave de acceso, no habría forma de permitir el uso de la cuenta a menos que la otra persona estuviera dentro del alcance Bluetooth.

Empresas como Google no quieren que se comparta una contraseña porque eso iría en contra de la premisa de un futuro sin claves y lo haría vulnerable al phishing, un tipo de ataque habitual en el que los hackers engañan a sus objetivos haciéndose pasar por alguien que no son. 

"Al igual que hacemos con otras formas de autenticación, desaconsejamos compartir claves de acceso, contraseñas, etc., aunque creas que lo haces con una fuente de confianza", afirma Brand, de Google. Sin embargo, 1Password indica que tiene previsto permitir a sus usuarios compartir claves a distancia. 

Shikiar está de acuerdo en que el cambio del sistema de contraseñas será lento, pero espera que la mayoría de estos problemas se resuelvan en los próximos 3 a 5 años, ya que los costes de la transición se verán compensados por el aumento de los ingresos derivados de la reducción de las filtraciones de datos y el fraude. 

Zhao, de la Universidad de Buffalo, dice que las claves de acceso siguen siendo vulnerables. Por ejemplo, para configurar un nuevo iPhone se sigue necesitando el código de acceso o PIN del ID de Apple, una laguna que podría resultar fatal, ya que informes recientes han puesto de relieve cómo los delincuentes pueden hacerse con el control de la vida digital de una persona simplemente escuchando su PIN de la pantalla de bloqueo. Sin embargo, Zhao está a favor de las passkeys. 

"No eliminan por completo los problemas de seguridad, pero suben el listón de los intentos de pirateo, haciéndolos más difíciles", argumenta.

Con todo, la posibilidad de navegar por Internet sin pasar por innumerables aros de seguridad es una noticia refrescante. Los fallos con los que me topé no parecían más que errores de primera generación. Las contraseñas no desaparecerán de la noche a la mañana, pero lo que ha conseguido FIDO Alliance me ha convencido de que nuestro futuro sin contraseñas está a la vuelta de la esquina.