En agosto, la empresa de infraestructuras de Internet Cloudflare fue uno de los cientos de objetivos de una oleada masiva de phishing delictivo que logró penetrar en numerosas empresas tecnológicas. Mientras que algunos empleados de Cloudflare fueron engañados por los mensajes de phishing, los atacantes no pudieron penetrar más profundamente en los sistemas de la empresa. Esto se debe a que, como parte de los controles de seguridad de Cloudflare, todos los empleados deben utilizar una llave de seguridad física para demostrar su identidad al iniciar sesión en todas las aplicaciones. Semanas más tarde, la empresa anunció una colaboración con el fabricante de tokens de autenticación de hardware Yubikey para ofrecer claves con descuento a los clientes de Cloudflare.
Cloudflare no ha sido la única empresa que ha apostado fuerte por la protección de seguridad de los tokens de hardware. A principios de este mes, Apple anunció la compatibilidad de la llave de hardware con los ID de Apple, siete años después de haber introducido por primera vez la autenticación de dos factores en las cuentas de usuario. Y hace dos semanas, el navegador Vivaldi anunció su compatibilidad con claves de hardware para Android.
La protección no es nueva, y muchas plataformas y empresas importantes han apoyado durante años la adopción de claves de hardware y han exigido a los empleados que las utilicen, como hizo Cloudflare. Pero esta última oleada de interés e implantación responde a una serie de amenazas digitales cada vez mayores.
«Las claves físicas de autenticación son algunos de los métodos más eficaces hoy en día para protegerse contra la usurpación de cuentas y el phishing», afirma Crane Hassold, director de inteligencia de amenazas de Abnormal Security y antiguo analista de comportamiento digital del FBI. «Si lo piensas como una jerarquía, los tokens físicos son más eficaces que las apps de autenticación, que son mejores que la verificación por SMS, que es más eficaz que la verificación por correo electrónico».
La autenticación por hardware es muy segura, porque es necesario poseer físicamente la clave y producirla. Esto significa que un phisher en línea no puede simplemente engañar a alguien para que entregue su contraseña, o incluso una contraseña más un código de segundo factor, para entrar en una cuenta digital. Usted ya lo sabe intuitivamente, porque esta es toda la premisa de las llaves de puerta. Alguien necesitaría su llave para abrir la puerta de su casa y, si la pierde, no suele ser el fin del mundo, porque quien la encuentre no sabrá qué puerta abre. En el caso de las cuentas digitales, existen distintos tipos de llaves de hardware que se basan en los estándares de una asociación del sector tecnológico conocida como FIDO Alliance, como las tarjetas inteligentes que llevan un pequeño chip de circuito, las tarjetas de toque o los llaveros que utilizan la comunicación de campo cercano, o cosas como los Yubikeys que se conectan a un puerto de tu dispositivo.
Es probable que tengas docenas o incluso cientos de cuentas digitales, e incluso si todas fueran compatibles con tokens de hardware sería difícil gestionar las claves físicas de todas ellas. Pero para tus cuentas más valiosas y para aquellas que son una alternativa para otros inicios de sesión -por ejemplo, tu correo electrónico- la seguridad y la resistencia a la suplantación de identidad de las llaves físicas pueden significar una gran tranquilidad.
Mientras tanto, después de años de trabajo, la industria tecnológica finalmente dio pasos importantes en 2022 hacia un futuro sin contraseñas largamente prometido. La medida se apoya en una tecnología llamada «passkeys», que también se basa en las normas FIDO. Los sistemas operativos de Apple, Google y Microsoft ya son compatibles con esta tecnología, y muchas otras plataformas, navegadores y servicios la han adoptado o están a punto de hacerlo. El objetivo es facilitar a los usuarios la gestión de la autenticación de sus cuentas digitales para que no utilicen soluciones inseguras, como contraseñas débiles. Sin embargo, por mucho que lo desees, las contraseñas no van a desaparecer a corto plazo, debido a su omnipresencia. Y en medio de todo el revuelo sobre las passkeys, los tokens de hardware siguen siendo una importante opción de protección.
«FIDO ha situado las passkeys en algún lugar entre las contraseñas y los autenticadores FIDO basados en hardware, y creo que es una caracterización justa», afirma Jim Fenton, consultor independiente sobre privacidad y seguridad de la identidad. «Aunque las claves de acceso serán probablemente la respuesta adecuada para muchas aplicaciones de consumo, creo que los autenticadores basados en hardware seguirán teniendo un papel en las aplicaciones de mayor seguridad, como las del personal de las entidades financieras. Y los consumidores más preocupados por la seguridad también deberían tener la opción de utilizar autenticadores basados en hardware, sobre todo si sus datos han sido violados anteriormente, si tienen un alto patrimonio neto o si simplemente les preocupa la seguridad.»
Aunque al principio pueda parecer desalentador añadir otra buena práctica a tu lista de tareas de seguridad digital, los tokens de hardware son realmente fáciles de configurar. Además, con sólo utilizarlos en un par de cuentas clave, obtendrás mucho rendimiento.
