La mayoría de usuarios tienen, o han tenido, cuentas que han sido víctimas de brechas de seguridad. Y lo peor es que muchos de ellos aún no lo saben. Por fortuna, cada vez son más las organizaciones y consumidores que buscan reforzar el proceso de autenticación en sus cuentas. Si un usuario u organización duda si llave de seguridad o biometría es el mejor método, ya ha dado el primer y principal paso para asegurar sus cuentas de usuario.

La autenticación es uno de los procesos más críticos de cara a la seguridad de organizaciones y consumidores. Y aunque con frecuencia predicamos en el desierto cuando recomendamos reforzar este proceso, las organizaciones y usuarios son cada vez más conscientes de la importancia de asegurar la autenticación.

Herramientas para reforzar las cuentas de usuario

Actualmente existen multitud de herramientas para reforzar la seguridad de las cuentas de usuario.

Por un lado, existen herramientas que detectan si nuestras cuentas de usuario han sido expuestas en brechas de seguridad como SpyCloud, que también informan a los usuarios antes de que esta información sea pública.

Por otro lado, con SbPAM de Stealthbits disponemos de un nuevo PAM que elimina los privilegios permanentes. Esto reduce la superficie de ataque en las cuentas de administrador.

Otro ejemplo es OneLogin cuya plataforma nos permite gestionar las cuentas de usuario de una organización. Por ejemplo, todas las cuentas de un usuario pueden ser habilitadas o deshabilitadas con un solo clic.

Pero si hay una herramienta fundamental para reforzar la seguridad de las cuentas de usuario, esa es la autenticación de múltiples factores y, a ser posible, passwordless (sin contraseñas).

Autenticación de múltiples factores

YubiKey 5 NFCPara quien no lo conozca, ya hablé sobre la autenticación sin contraseñas (Passwordless) y con Múltiples Factores. En resumen, las contraseñas tienen diversos problemas. En primer lugar, los usuarios con frecuencia eligen contraseñas débiles, e incluso las reutilizan. Pero incluso las contraseñas robustas son vulnerables a ciertos tipos de ataques. Además, también pueden ser comprometidas en brechas de seguridad.

Por ello, es recomendable utilizar factores adicionales de autenticación. Hay diferentes tipos de factores clasificados en tres grupos: algo que tienes, algo que sabes y algo que eres.

En esta lista de tres opciones, las llaves de seguridad son algo que el usuario tiene. Y si se protegen con un PIN, también son algo que el usuario sabe. En cambio, un dato biométrico, es algo que el usuario es.

Entonces… ¿llave de seguridad o biometría?

Para comparar ambos tipos de factores de autenticación, tendremos en cuenta las principales características de un factor de autenticación: rapidez, versatilidad y, sobre todo, seguridad.

Rapidez

Este es el parámetro más variable de todos. Empezando por la biometría, en principio se trata de un sistema muy rápido, aunque estos sistemas tienen una tasa de error. Dependiendo del caso, esto puede suponer un impacto en la productividad, más aún en casos como el reconocimiento facial usando mascarillas, gafas de sol, etc. Entonces, el reconocimiento puede ralentizarse e incluso no funcionar, obligando a utilizar otros métodos de autenticación, impactando en la productividad.

Toque a una YubiKey 5​El uso de una llave de seguridad es rápido, pero sobre todo fiable. Algunas aplicaciones requieren de un toque a la llave, aunque es diferente de un lector de huellas. A diferencia de un lector de huellas, una llave de seguridad no ocasionará errores por mala lectura de la pulsación, ya que no tiene que reconocer una huella, solo el contacto físico. Y dependiendo de la configuración realizada, se puede solicitar al usuario un PIN corto y fácil de recordar. Aunque este paso extra se puede considerar como un impacto negativo en la productividad, se trata de un factor extra de seguridad, por lo que en la comparativa no tiene sentido considerarlo si en el primer caso no fue considerado.

Entonces, ¿cuál es más rápida? ¿Llave de seguridad o biometría? No se puede dar una respuesta definitiva, ya que depende más del dispositivo y el uso. Lo importante es que ambos métodos son (o al menos deberían ser) muy rápidos y no descartaremos ninguno de ellos por este motivo.

Versatilidad

Aquí las funciones de cada sistema están más claras. Para el usuario es muy sencillo utilizar un sistema biométrico. Simplemente con tocar o escanear su huella, mano, rostro o iris la autenticación ya se ha realizado.

En cambio, la ventaja de la llave de seguridad es que se adapta a cualquier dispositivo, ya que trabaja con interfaces USB Tipos A y C, NFC y Lightning. Por lo tanto, si configuramos una cuenta de Microsoft o cualquier otro servicio con una llave de seguridad, podremos utilizarlo con cualquier dispositivo, a pesar de que la clave privada nunca sale de la llave de seguridad.

Por poner ejemplos prácticos, es evidente el gran avance que supone la biometría para, por ejemplo, desbloquear dispositivos móviles. En cambio, si utilizamos el desbloqueo facial en un portátil, hay un inconveniente: es muy habitual disponer de una tapa para la cámara. En este caso, utilizar el reconocimiento facial implica la incomodidad de tener que abrir y cerrar con frecuencia dicha tapa, con el riesgo de dejarla abierta de forma involuntaria.

Por lo tanto, cada sistema cumple su función. Un sistema biométrico es ideal para, por ejemplo, desbloquear un smartphone, mientras que para las cuentas de usuario multidispositivo, una llave de seguridad es mucho más versátil.

Seguridad

Llegamos al que seguramente es el requisito más importante de todos. Un sistema de autenticación tiene que ser seguro. Y evidentemente las contraseñas están muy lejos de ser el sistema más seguro.

A la hora de elegir llave de seguridad o biometría, podemos asegurar que ambas soluciones aportan una capa de seguridad fiable. No obstante, en seguridad una pequeña diferencia puede definir si somos víctimas de un ciberataque o si nuestras cuentas están seguras.

Aquí, sin duda, una llave de seguridad utilizando los estándares FIDO (U2F y FIDO2) es la opción más segura. Afortunadamente, la mayoría de grandes compañías permiten al usuario utilizar este protocolo. Y si tenemos la llave protegida con un PIN, incluso la pérdida de la llave no tendrá efectos perjudiciales.

Utilizar la biometría también es muy seguro, pero sí que se conocen casos en los que se ha conseguido simular datos biométricos. Por no hablar del problema que puede ocasionar una brecha de seguridad en la que los datos biométricos se vean comprometidos, como ya ha ocurrido con anterioridad, quedando expuestos datos biométricos de millones de usuarios. No es posible reemplazar un rostro o una huella dactilar, mientras que reemplazar una llave es muy sencillo, por lo que un factor que recurre a algo que el usuario es, tiene ese riesgo añadido.

En conclusión, ¿llave de seguridad o biometría?

A pesar de que ambos factores de autenticación son rápidos e incrementan significativamente la seguridad, allí donde se puede elegir, mi recomendación es la de utilizar una llave de seguridad, dado que, actualmente, utilizando los estándares FIDO, la llave de seguridad es la solución más segura, sin sacrificar rapidez ni versatilidad.