El problema de las Passkeys: qué pasa si pierdes tu dispositivo de autenticación

Seguramente tienes una cuenta en diferentes redes sociales y servicios, como la cuenta de correo o Netflix, por ejemplo. Recordar todas las contraseñas de todas las redes sociales y servicios puede ser complicado, pero, existe una solución, como son las Passkeys. Te vamos a explicar qué son las Passkeys, como funcionan y qué hacer si pierdes el dispositivo de autenticación.
Los expertos en ciberseguridad son muy pesados con las contraseñas de redes sociales y servicios, aunque no les solemos hacer caso. El motivo es que recordar 20, 30 o más contraseñas de 12 caracteres que combinen letras, números y caracteres alternativos (símbolos como: » ; / *) es casi imposible.
Muchos recomiendan autenticación en dos pasos, que básicamente es introducir un código después de la contraseña. Dicho código llegará al correo o bien podemos utilizar algún sistema de autenticación como Google Authenticator. Pues bien, puedes olvidarte de todas estas cosas con algo tan simple como las Passkeys.
¿Qué es una Passkey?
Es un código aleatorio que se utiliza para el inicio de sesión en una red social, servicio o página web. Las claves de acceso (Passkeys) no requieren de números o caracteres especiales para ser seguras, requieren de un periodo de tiempo. Suelen estar basadas en tiempo o en eventos aleatorios.
Recientemente, para este tipo sistema de seguridad se ha agregado la vinculación biométrica. Las claves se pueden generar mediante algún carácter biológico único del usuario, como puedan ser las huellas dactilares o el reconocimiento facial. Se aprovechan en muchos casos de las funciones nativas de los dispositivos como TouchID, FaceID o Windows Hello.
Aunque existen diferentes mecanismos, el más popular es el promovido por FIDO Alliance. Hablamos de un consorcio de empresas tecnológicas y de ciberseguridad que busca promover métodos de autenticación seguros. Para ello ha desarrollado los estándares FIDO2 y WebAuthn que se respaldan en la biometría.
Son soluciones seguras e interoperables que quieren reemplazar a las tradicionales contraseñas. Permite a los usuarios una manera más sencilla y segura de verificar su identidad, al tiempo que minimizan los posibles accesos no autorizados.
¿Cómo funcionan las claves de acceso?
Se generan de manera aleatoria y siempre se almacenan localmente en el dispositivo del usuario. Cuando se quiere iniciar sesión, se solicita la clave de acceso que debe presentar el usuario y que la red social o servicio verifica.
Dicha verificación se basa en una serie de plantillas que permiten validar el proceso de verificación. Si se reconoce como legítimo, se autorizara el inicio de sesión. Como es normal, la red social o servicio al que queremos acceder solo tiene acceso a la Passkey durante la autenticación.
Para el proceso de autenticación se utiliza un mecanismo de criptografía de claves asimétricas. Este mecanismo se basa en una clave pública y privada. La clave privada solo la tiene el usuario y es compleja de generar. A partir de esta clave privada se genera la clave pública, más corta y sencilla de generar y sirve para la verificación.
El truco de esto es que se puede generar una clave pública de manera sencilla a partir de una clave privada, pero no al revés. Bueno, concretamente, es imposible generar una clave privada a partir de una clave pública.
Cada vez que nos registramos se genera un par de claves. La clava privada se almacena de manera segura en nuestro dispositivo y la pública se manda al servicio para el que nos registramos. Como el único modo de generar la clave pública es teniendo la clave privada, nadie podrá acceder al servicio.
Para autenticarnos, el sistema de acceso WebAuthn requiere que el usuario aporte su autenticación biométrica, ya sea la huella dactilar o su rostro. El dispositivo firma un desafío único generado por el servicio con la clave privada del usuario y manda el mensaje firmado a la web. Está verífica la firma usando la clave pública almacenada y si coinciden, se permite el acceso.
Debes saber que todo esto se almacena en el TPM, un chip diseñado específicamente para guardar estos datos de manera segura y que es prácticamente invulnerable. No quiere decir que sea inexpugnable, realmente quiere decir que acceder a sus datos es realmente complicado y costaría muchísimo tiempo.
¿Dónde debería usar este sistema?
No todas las redes sociales, páginas web y servicios lo ofrecen, pero cada vez son más los que agregan esta función. Deberías usar este mecanismo en cualquier red social, servicio como Netflix y similares, o en las aplicaciones del banco en tu smartphone. Vamos, todas aquellas donde tengas datos personales relevantes o información bancaria que pueda ser susceptible de accesos no autorizados.
Además de por seguridad, deberías usarlo también por comodidad. No necesitarás recordar jamás ninguna contraseña o volver a pensar una contraseña para acceder. Simplemente, con nuestra huella dactilar o mediante el reconocimiento facial accederemos de manera sencilla.
Si quieres saber todas las páginas web, servicios y aplicaciones que utilizan las Passkeys, puedes consultarlo en esta completa lista.
¿Qué pasa si pierdo el dispositivo donde tengo las Passkeys?
Utilizar este mecanismo supone que necesitamos un dispositivo físico para realizar el proceso de acceso. Normalmente, suele ser el smartphone, que es donde más se suele utilizar este mecanismo. Pero, ¿qué pasa si pierdo o se me rompe el smartphone?
Depende mucho del mecanismo que usemos para guardar las claves de acceso. Muchas de las «Big Tech» permiten sincronizar las claves entre dispositivos o almacenarlas en la nube con cifrado de extremo a extremo. Si le pasa algo a tu dispositivo, siempre podrás recuperar las claves de acceso.
Te preguntarás en este punto que pasa si no existe una copia de seguridad porque lo hemos denegado o no se ofrece la opción. Para este caso, efectivamente, perder la Passkey supone no poder iniciar sesión en la cuenta.
Por otro lado, seguramente te preocupe que alguien pueda robarte el smartphone o que pueda ser hackeado. En estos casos, teóricamente, podrían acceder a las cuentas, pero no es nada sencillo. Recuerda que para ello se requiere el reconocimiento fácil o la huella dactilar. Vamos, que puedes estar bastante seguro de que si te roban el móvil o lo hackean, es casi imposible que accedan.
Lo bueno es que las redes sociales, servicios online y aplicaciones que usan Passkey ofrecen métodos de recuperación. Tienen en cuenta estas posibilidades, al igual que pasa si olvidamos la contraseña. Es un poco más complicado y antes debemos realizar una serie de configuraciones, pero es posible.