Las contraseñas existen desde que se crearon los primeros computadores y dispositivos tecnológicos. Sin embargo, hoy el concepto “sin contraseña” puede hacer la vida mucho más sencilla tanto para usuarios como para departamentos de seguridad, reduciendo así los riesgos cibernéticos.
“La autenticación sin contraseña permite reducir costos administrativos, mejorar la productividad y reducir los riesgos de ataques. Su implementación en la actualidad no ha sido tan fuerte, pero está llegando lentamente para quedarse. Un ejemplo de ello es la compañía Microsoft, la cual introdujo la autenticación sin contraseña para todos sus usuarios en septiembre del 2021”, comenta Sol González, Investigadora de Seguridad Informática de ESET Latinoamérica.
Las contraseñas forman parte de todo tipo de aplicaciones y plataformas actualmente, desde la banca en línea y el correo electrónico, hasta cuentas en comercios electrónicos. Sin embargo, esto podría convertirse en un problema, ya que son varias las claves que los usuarios deben recordar.
De hecho, una encuesta realizada por ESET en 2021, determinó que el 49% de los usuarios anotan sus contraseñas para no olvidarlas y 38% lo hace en un papel, dejándolas expuestas a riesgos.
“Si hablamos de ciberseguridad, las contraseñas pueden proporcionar a los atacantes un objetivo que es cada vez más fácil de obtener mediante robo, ataques de phishing o fuerza bruta. Cuando los atacantes tienen las claves en su poder, se pueden hacer pasar por usuarios legítimos y superar los mecanismos de seguridad dentro de las redes corporativas durante mucho tiempo. Peor aún, el tiempo necesario para identificar y contener una brecha de datos es de 287 días”, explica González.
Autenticación sin contraseñas
Con el fin de beneficiar los negocios, la autenticación sin contraseña permite que biométricamente, a través de reconocimiento facial o un código único enviado por correo electrónico, las empresas mantengan la seguridad. En ese sentido, ESET explica tres beneficios de esta nueva modalidad.
Mejorar la experiencia de usuario. Los inicios de sesión son más fluidos y eliminan la necesidad de que los usuarios recuerden sus contraseñas. Esta metodología puede incluso ayudar a las empresas de venta para que sus carritos online no queden sin finalizar por problemas de inicio de sesión.
Mejora la seguridad. Si no hay contraseñas para robar, las organizaciones pueden eliminar un vector clave que compromete la seguridad. Se afirma que, el año pasado, las contraseñas fueron las culpables del 84% de las brechas de datos. Al menos esto generará mayor dificultad a los atacantes para obtener lo que buscan. Y en el caso de los ataques de fuerza bruta, que actualmente se registran miles de millones cada año, se convertirán en cosa del pasado.
Reducir costos. Permite minimizar los daños financieros provocados por ransomware y brechas de datos. Además, reduce los costos de administración IT asociados al restablecimiento de contraseñas y la investigación de incidentes.
¿Por qué aún no es tan popular la autenticación?
Si bien el no usar contraseñas ofrece una serie de beneficios para las empresas, también existen barreras para su implementación, entre ellas, es que los ataques de SIM swapping pueden ayudar a los atacantes a eludir los códigos de acceso de un solo uso (OTP) enviados por mensaje de texto y acceder a dispositivos y máquinas.
Además, la biometría no es infalible.
“Al autenticarse con un atributo físico que el usuario no puede cambiar o restablecer, el riesgo aumenta si los atacantes encuentran una manera de comprometer el sistema. Ya se están desarrollando técnicas de aprendizaje automático para socavar la tecnología de reconocimiento de voz y de imagen”, detalla González.
Por otro lado, esta implementación puede significar grandes costos para las pequeñas y medianas empresas, sin mencionar los potenciales costos involucrados en la emisión de dispositivos o tokens de reemplazo.
Pese a que todavía los usuarios y empresas están acostumbrados a escribir sus claves, el aumento de los servicios en línea para el consumidor y el trabajo híbrido podrán darle forma a un futuro libre de contraseñas de manera estratégica, ágil y segura.