+34 914 230 991 info@dotforce.es

Las contraseñas seguras no existen

20 octubre 2022

Hoy he leído un artículo en el que se recomienda utilizar contraseñas seguras, escrito por una conocida y reputada empresa de ciberseguridad. De hecho, no es el primer artículo de este tipo que he leído, aparecen de vez en cuando.

¿Existen las contraseñas seguras?

¿Hay contraseñas más seguras que otras? Sí, por supuesto. Hasta ahí todos estamos de acuerdo. Pero lo que no podemos decir es que existen las contraseñas seguras. No lo son. Ni una sola lo es. Las contraseñas, por muy seguras que sean, son una vulnerabilidad. Pueden verse comprometidas a través de múltiples vías como robos, spyware, ingeniería social, phishing, ataques Man-in-the-Middle, etc, e incluso pueden descifrarse con las técnicas existentes, que cada vez son más sofisticadas.

Robo de contraseñas segurasEn resumen, las contraseñas, por definición, son vulnerables porque pueden ser comprometidas. De hecho, y por desgracia, son comprometidas continuamente. Todos los días surgen nuevas brechas de seguridad en las que se roban miles de contraseñas. Hay una alternativa a las contraseñas: no utilizarlas.

¿Y si utilizo una OTP como 2FA?

Hay que tener en cuenta que incluso las contraseñas de un solo uso (OTP), que dependen de los secretos compartidos para crear estos códigos temporales, son vulnerables a los ataques de suplantación de identidad y Man-in-the-Middle, por varios motivos.

El primero es que no utilizan criptografía de clave pública, sino que utilizan claves simétricas, esos secretos compartidos que acabo de mencionar y que son los mismos en ambos extremos. Por lo tanto, en caso verse comprometido uno de los extremos, un ciberdelincuente puede generar nuestras OTP siempre que quiera.

Otro problema de las OTP es el método de autenticación. Las OTP no dejan de ser contraseñas, y por lo tanto padecen la mayoría de las vulnerabilidades de las contraseñas estáticas. Por ejemplo, se pueden interceptar, capturar por un keylogger y se pueden robar mediante phishing u otros métodos de ingeniería social.

Ataque MitM (Man-in-the-Middle)

¿Estamos preparados para eliminar las contraseñas seguras?

Hay datos que así lo afirman. Por ejemplo, Gartner predecía que, para finales de este año, “el 60% de las empresas grandes y globales, y el 90% de las medianas, implementarán métodos sin contraseña en más del 50% de los casos de uso”. Un ejemplo es Microsoft. La compañía que dio luz a Windows, Office o Azure ya no utiliza contraseñas para autenticar a sus empleados.

No obstante, debemos estudiar muy bien el camino que vamos a elegir para implementar la autenticación Passwordless (sin contraseñas). En muchos casos se recurre a métodos que también tienen vulnerabilidades, como las notificaciones push. Las notificaciones push siguen siendo vulnerables a los ataques de phishing y otros ataques de ingeniería social, así que no es recomendable limitar a las notificaciones push la autenticación Passwordless por una cuestión de seguridad, entre otros motivos.

Con FIDO2 por fin tenemos autenticación segura

En este contexto nace el proyecto FIDO2, bajo el cual se ha creado el estándar WebAuthn, que elimina nuestra dependencia de las contraseñas. FIDO2 fue creado por la Alianza FIDO, con Yubico y Microsoft como principales impulsores, y se puede incorporar fácilmente a cualquier aplicación o sistema Cloud.

FIDO2 es la mejora natural de FIDO U2F, el primer estándar 2FA de la FIDO Alliance lanzado en 2013 e impulsado principalmente por Google y Yubico. Este sistema ya utiliza criptografía de clave pública y, por tanto, aporta seguridad en aquellas aplicaciones que lo utilizan. Como referencia, Google lleva más de 10 años utilizándolo y, según han publicado ellos mismos, es el único sistema 2FA / MFA que han utilizado que no ha sufrido ni un solo robo de cuentas. No obstante, FIDO U2F es un 2FA que requiere que el usuario introduzca la contraseña en primer lugar. Al no ser tan cómodo como FIDO2, cuando ambos están disponibles, el sistema solicitará al usuario de forma automática que utilice FIDO2.

Actualmente hay cientos de aplicaciones que han adoptado los estándares de la FIDO Alliance, y continuamente se añaden nuevas aplicaciones al catálogo.

Aplicaciones compatibles con la YubiKey

La YubiKey es compatible con cientos de aplicaciones, principalmente a través de los estándares FIDO U2F y WebAuthn (FIDO2).

¿Qué fabricantes utilizan FIDO2?

Existen tokens de hardware y software de varios proveedores que utilizan FIDO2 / WebAuthn para autenticar a los usuarios sin contraseñas. Funcionan de forma similar al chip de las tarjetas de crédito que utilizamos para realizar pagos y sacar dinero de los cajeros automáticos. La única manera de que puedan ser comprometidas es que alguien acceda físicamente a nuestro dispositivo de autenticación y conozca la contraseña o el PIN para desbloquearlo.

Con las llaves de Yubico, ya no necesitaras tus contraseñas seguras

Te recomendamos que eches un vistazo a las soluciones de Yubico y HYPR, disponibles en nuestro catálogo y que te ayudarán a deshacerte de las contraseñas y de todas las vulnerabilidades, costes y dolores de cabeza asociados a ellas. También puedes ver las grabaciones de los webinars y los vídeos sobre casos de uso de este tipo de tokens en español en dotforce.es/youtube.

Visítanos en las XVI Jornadas STIC CCN-CERT del 29 de noviembre al 1 de diciembre, donde haremos una demostración de las llaves de seguridad de Yubico.

PUBLICADO POR:<br>Zane Ryan
PUBLICADO POR:
Zane Ryan
PUBLICADO POR:<br>Zane Ryan
PUBLICADO POR:
Zane Ryan

Artículos relacionados

¿Cuál es la mejor solución 2FA / MFA?

¿Cuál es la mejor solución 2FA / MFA?

¿Cuál es la mejor solución 2FA / MFA?  En este artículo repasamos las ventajas y desventajas de las diferentes opciones de autenticación de múltiples factores. También explicaremos cómo Google y Microsoft, entre otros, han abordado el reto de protegernos de las...

MFA en SalesForce rápido y seguro

MFA en SalesForce rápido y seguro

MFA en SalesForce rápido y seguro Recientemente, SalesForce anunció que a partir del 1 de febrero de 2022 solo se podrá acceder a su plataforma con autenticación MFA (o SSO). Dado que hay disponibles varias opciones MFA en SalesForce, vamos a exponer las...

¿Condenados por un error humano?

¿Condenados por un error humano?

¿Condenados por un error humano? Es cierto que, desde hace tiempo, todos los estudios que analizan las causas de un ciberataque apuntan a que un 90-95% de ellos son ocasionados por fallos humanos. Y el ejemplo que hoy está en boca de todos es la caída de WhatsApp,...

Utilizamos cookies propias y de terceros para obtener datos estadísticos de la navegación de nuestros usuarios y mejorar nuestros servicios. Si acepta o continúa navegando, consideramos que acepta su uso. Puede obtener más información en el siguiente enlace. Más información

POLITICA DE COOKIES Dot Force S.L. utiliza cookies en sus sitios web para atender a nuestros visitantes de acuerdo con este aviso de cookies. Puede obtener más información sobre esto a continuación. Si no acepta el uso de estas cookies, desactívelas siguiendo las instrucciones más abajo en esta página o cambie la configuración de su navegador para que las cookies de este sitio web no puedan enviarse ni almacenarse en su dispositivo. Acerca de las cookies Una cookie de Internet es un pequeño archivo que se envía desde un sitio web y se almacena en la computadora, tableta o dispositivo móvil de un usuario cuando visita un sitio web. Suelen ser anónimos y se utilizan con fines de mantenimiento de registros, pero pueden contener información sobre su visita a un sitio web en particular, como el estado de inicio de sesión, la personalización y las preferencias publicitarias, etc. Las cookies tienen un tiempo de vida predefinido, después del cual no se podrán utilizar y se eliminarán automáticamente. Las cookies pueden ser cookies "persistentes" o de "sesión". El navegador almacenará una cookie persistente y seguirá siendo válida hasta la fecha de caducidad establecida, a menos que el usuario la elimine antes de la fecha de caducidad. Una cookie de sesión, por otro lado, caducará al final de la sesión del usuario cuando se cierre el navegador web. Algunas cookies extremadamente persistentes que pueden persistir después de la eliminación se denominan "Evercookies". Uso de cookies DotForce no utiliza Evercookies. Todas nuestras cookies caducan automáticamente, después de lo cual se eliminarán de su dispositivo. Nuestras cookies no contienen ninguna información que lo identifique personalmente, pero la información personal que almacenamos sobre usted puede ser vinculada, por nosotros, a la información almacenada y obtenida de las cookies. Podemos utilizar la información que obtenemos de su uso de nuestras cookies para los siguientes propósitos. - Para reconocer su computadora cuando visita nuestro sitio web; - Para mejorar la usabilidad del sitio web; - Para analizar el uso de nuestro sitio web; - En la administración de este sitio web; - Cookies de terceros Cuando utiliza nuestro sitio web, también puede recibir cookies de terceros. Nuestros proveedores de servicios pueden enviarle cookies. Pueden usar la información que obtienen de su uso de sus cookies: - Para rastrear su navegador a través de múltiples sitios web; - Para construir un perfil de su navegación web; - Para dirigir anuncios que puedan ser de su interés particular.   Desactivación y/o eliminación de cookies Los navegadores web permiten a los usuarios controlar o eliminar cualquiera o todas las cookies almacenadas en el navegador, esta funcionalidad es común en la mayoría de los navegadores. La mayoría de los navegadores le permiten negarse a aceptar cookies. Por ejemplo: en Internet Explorer puede rechazar todas las cookies haciendo clic en "Herramientas", "Opciones de Internet", "Privacidad" y seleccionando "Bloquear todas las cookies" con el selector deslizante en Firefox puede bloquear todas las cookies haciendo clic en "Herramientas", "Opciones" y desmarcando "Aceptar cookies de sitios" en el cuadro "Privacidad". Sin embargo, bloquear todas las cookies tendrá un impacto negativo en la usabilidad de muchos sitios web. Lista de Cookies Nuestros sitios web y servicios pueden utilizar cualquiera o todas las siguientes cookies: Nombre: _gid Propósito: Esta cookie es utilizada para Google Analytics Tipo: Persistente Duración: 3 Meses  Cookies pasadas y activas Si ha deshabilitado una o más cookies analíticas o de contenido, es posible que aún tengamos información recopilada de cookies que no hayan expirado antes de que se establezca su preferencia deshabilitada. Sin embargo, dejaremos de usar las cookies deshabilitadas para recopilar más información. Una vez que las cookies no caducadas hayan caducado, se eliminarán de su sistema.

Cerrar aviso