En un informe publicado recientemente, Microsoft reveló que bloquea 7.000 ataques a contraseñas por segundo, casi el doble de los reportados en año anterior. Además, agrega que los ataques de phishing de adversarios en el medio, conocidos en inglés como Adversary in the Middle (AiTM), aumentaron un 146%.

La reflexión de Microsoft es que la era de las contraseñas está llegando a su fin y por ello los cibercriminales están acelerando desesperadamente los ataques relacionados con las contraseñas mientras pueden.

Pero, si las contraseñas están en su etapa final, ¿con qué accederán los usuarios a sus cuentas y servicios?

¿Comienza la era de las Passkeys?

El plan de Microsoft es convencer a mil millones de usuarios para que implementen las claves de acceso, también conocidas como Passkeys.

Las Passkeys tienen niveles de protección, privacidad y simpleza superiores a las contraseñas tradicionales. Google y Apple también promueven el uso de esta forma de autenticación que elimina la necesidad de recordar una contraseña y un nombre de usuario

En sí, son claves digitales que están almacenadas y protegidas con cifrado en el dispositivo y no pueden ser interceptadas por actores maliciosos.

Lectura recomendada: Qué es una passkey y por qué es mejor que una contraseña tradicional

¿Por qué utilizar Passkeys?

Para lograr que los usuarios opten por este nuevo método de autenticación en lugar de las contraseñas, Microsoft detalla en el informe citado los puntos que remarcan su sencillez en el uso y afirma que:

  • Iniciar sesión con una Passkeys es tres veces más rápido que mediante una contraseña tradicional y hasta ocho veces más rápido que con contraseña y la autenticación multifactor.
  • Los usuarios tienen tres veces más éxito al iniciar sesión con claves de acceso (98%) que con contraseñas (32%).
  • El 99% de los usuarios que inician su registro para utilizar passkeys lo completan.

Pero además de la simpleza de uso para el usuario, las Passkeys también se basan en otros dos pilares: la protección y la privacidad.

Respecto de la protección, son una opción robusta y segura ante el phishing. A tal punto que no funcionarán en sitios web falsos. A su vez, y dato no menor, es que cada clave de acceso es una clave digital única que no se puede reutilizar.

En cuanto a la privacidad, en los casos en que se utiliza biometría como parte del método, esta información permanece en el dispositivo y no se comparte con proveedores de servicios.

¿Cómo fue el escenario de las contraseñas en 2024?

Tal como analizamos a principios de 2024, las credenciales robadas son una de las principales formas de acceso para los cibercriminales. Las consecuencias de que esa información esté en las manos equivocadas pueden derivar en fraudes financieros, robo de identidad de personas, hasta la infiltración en los sistemas de corporaciones, organismos estatales y esto dar lugar al robo de información privilegiada.

Un caso paradigmático fue el de la filtración que sufrió ChatGPT, con más de 225.000 credenciales comprometidas que fueron publicadas en los mercados clandestinos. Estas credenciales fueron obtenidas de entre enero y octubre de 2023, por infostealers asociados principalmente a LummaC2, Raccoon y RedLine.

Justamente la actividad de los infostealers ha aumentado a lo largo de 2024. De hecho, según lo comprobado en las detecciones de ESET, no sólo vienen bajo la forma de cracks de software y cheats para videojuegos, sino que también se hacen pasar por herramientas de IA generativa. Tampoco se limitan a Windows: La familia de malware de robo de información GoldDigger se ejecuta en el sistema operativo Android, y la campaña de malware Ebury lleva más de una década robando tarjetas de crédito, criptomonedas y credenciales SSH en sistemas operativos tipo UNIX.

También te puede interesar:  ¿Qué tan seguras son tus contraseñas? 
Contraseñas: 5 errores comunes que deberías evitar
El mundo de las filtraciones de datos y cómo comprobar si has sido afectado

Conclusión

Si bien las Passkeys se posicionan como un método más seguro y simple de autenticación, la transición no sucederá de un día para el otro, y es muy probable que las contraseñas sigan vigentes al menos en el corto plazo.

Como repasamos, las contraseñas suelen ser más vulnerables a los ataques: pueden ser fáciles de adivinar, reutilizadas en distintos servicios, o almacenadas de manera insegura por los usuarios. En cambio, las Passkeys suprimen estas problemáticas gracias a un sistema más seguro basado en criptografía.

Y más allá de que las Passkeys representen un gran paso adelante hacia un mundo digital más seguro, será importante que los usuarios sean acompañados en este proceso, compartiéndoles los detalles sobre su uso y los beneficios de las Passkeys para garantizar una adopción generalizada.