Passkeys, FIDO y todo lo que debes saber sobre el fin de las contraseñas que proponen Google y Apple

Apple, Google y otras gigantes tecnológicas tienen entre sus planes acabar para siempre con las contraseñas. Esto es lo que debes saber

Passkeys, FIDO y todo lo que debes saber sobre el fin de las contraseñas que proponen Google y Apple

A finales de este año, Apple y Google lanzarán las nuevas versiones de sus principales sistemas operativos: iOS 16 y macOS Ventura por parte de los de Cupertino, y Android 13 en el caso de la empresa de Mountain View.

Cada empresa cuenta con una hoja de ruta completamente distinta para el despliegue de sus sistemas operativos, y las plataformas difieren en cuanto al número y el tipo de funciones que van a incorporar --aunque, en algunos casos, existan parecidos razonables--. Este año, irónicamente, Google se ha centrado en la privacidad, y Apple en la personalización. Pero existe un nexo de unión entre los planes de ambas compañías, que consiste en la intención mutua de acabar de una vez por todas con las contraseñas, a través de lo que se conoce como "passkeys".

Passkeys es la tecnología con la que tanto Apple como Google, así como otras compañías participantes de la alianza FIDO, tienen intención de reemplazar las clásicas claves como sistema de inicio de sesión en nuestras cuentas de Internet. El proceso no será fácil, pero no hay duda alguna de que ambas compañías tienen unas bases más que sólidas para cumplir su objetivo de acabar de una vez por todas con un método de verificación tan anticuado e inseguro como las contraseñas.

Dado que este sistema de identificación se está acercando, y ya no hay vuelta atrás, hemos querido poner respuesta a las preguntas y dudas más repetidas sobre las passkeys, con el fin de entender cómo la llegada de esta tecnología puede suponer el fin de las contraseñas tal y como hoy las conocemos.

Propuesta de Google para acabar con las contraseñas

Google propone recurrir a la biometría de nuestros móviles para acabar con las contraseñas.

¿Qué son las "Passkeys"?

Google y Apple imaginan un futuro próximo en el que, a la hora de iniciar sesión en una página web o aplicación, baste con desbloquear nuestro móvil a través de un método biométrico, como un lector de huellas o un sistema de reconocimiento facial, para identificarnos y acceder a nuestra cuenta. Todo, sin necesidad de introducir una contraseña.

Es ahí donde entran en juego las passkeys: los datos de acceso son almacenados en una clave cifrada, que nuestro móvil o PC utilizará a la hora de intentar iniciar sesión en una app o página web. Para ello, el usuario deberá aprobar el uso de la clave desbloqueando el móvil usando un método seguro, como la detección de huella dactilar, reconocimiento facial o PIN.

Por tanto, siempre que se desee iniciar sesión en una web o app protegida por passkey, habrá que utilizar un dispositivo propio como método de verificación. Esto, por otro lado, hace que los sistemas de autenticación en dos factores dejen de ser tan necesarios como lo son hoy en día. Claro que, también añade una capa de dificultad a la hora de intentar iniciar sesión en una de nuestras cuentas protegidas por passkeys desde el dispositivo de un familiar o amigo en caso de no tener un dispositivo propio a mano.

No obstante, existe una solución que puede salvarnos en este tipo de situaciones: al intentar iniciar sesión en una web o app protegida por passkey en un dispositivo ajeno, será posible escanear un código QR con la cámara de nuestro móvil. Al conectar ambos dispositivos a través de Bluetooth para asegurar que ambos se encuentran cerca y usar un método de desbloqueo seguro en el móvil, se realizará la conexión que permitirá llevar a cabo el proceso de autenticación.

Inicio de sesión con passkey en Android

Un ejemplo de proceso de inicio de sesión utilizando passkeys en un dispositivo Android.

¿Quién está detrás de este sistema?

Una colaboración entre la FIDO Alliance y el Consorcio World Wide Web fue lo que impulsó la creación de las passkeys. Fue desarrollado como un estandar abierto y común que pudiera suponer el fin de los accesos a través de contraseñas en páginas web y apps, sustituyéndolos por un método más seguro y fácil de usar.

En mayo de este año, Apple, Google y Microsoft se comprometieron a añadir soporte para este estándar en sus principales plataformas, y a acelerar su implementación a lo largo de miles de millones de dispositivos de todo el mundo.

Asimismo, otras compañías especializadas en la seguridad de las contraseñas como AgileBits --empresa detrás de 1Password--, LastPass o Dashlane también forman parte de la alianza FIDO, impulsora de este sistema.

Los mejores y más seguros gestores de contraseñas para Android

¿Realmente es un método más seguro que las contraseñas?

Es muy probable que, en tu día a día, utilices decenas de contraseñas diferentes para acceder a las diferentes cuentas de usuarios que tienes en apps y páginas web de todo tipo. Y, salvo que estés verdaderamente concienciado con tu seguridad, puede que algunas de esas contraseñas estén repetidas, o que no sigan todas las recomendaciones que sugieren los expertos en ciberseguridad. Algo más común de lo que podrías llegar a pensar, y solo hay que ver la lista ade contraseñas más usadas en España para darse cuenta de ello.

El principal objetivo de las passkeys consiste en eliminar la necesidad de recordar contraseñas o de tener que esforzarse en generar claves lo suficientemente seguras para cada página web o aplicación. Amenazas como el phising, las estafas o el simple hecho de utilizar una contraseña insegura son solo algunos de los problemas que arrastra este método de verificación desde hace años, y que las passkeys puede eliminar de un plumazo.

Además de eso, las passkeys utilizan un método de seguridad más que comprobado: la autenticación de clave pública. Es un método similar al que usan las tarjetas de crédito o débito a la hora de verificar un pago, donde la página web o app solo cuenta con un registro de la clave pública propia de cada usuario, y la clave privada se almacena de forma cifrada en el dispositivo del usuario, preparada para ser utilizada durante el proceso de inicio de sesión.

Al no existir una base de datos de contraseñas en los servidores de la página web o app, sino que solo se almacena el registro de la clave pública, el usuario no debe preocuparse de posibles hackeos o robos de datos.

contraseñas habituales y poco seguras

"12345" fue la contraseña más utilizada en España en 2021, una prueba de que las passkeys son más necesarias que nunca.

¿Funcionará en todos tus dispositivos?

Vasu Jakkal, vicepresidente corporativo de seguridad de Microsoft, definió uno de los beneficios clave de este sistema de verificación de la mejor manera posible: "con las passkeys en sus dispositivos móviles los usuarios pueden iniciar sesión en un navegador Google Chrome que se ejecuta en Microsoft Windows, utilizando una clave de acceso en un dispositivo Apple."

Y es que, dado que se trata de un estándar abierto adoptado por las tres principales compañías, la única diferencia estará en la manera de implementarlo en sus respectivas plataformas. Sin embargo, la base del sistema será la misma, y existirá interoperabilidad entre Android, iOS, macOS, Windows, Chrome y el resto de plataformas y servicios.

Cuándo podrás comenzar a utilizar Passkeys y olvidarte de las contraseñas

Como decía al inicio, Apple y Google --también Microsoft-- tienen intención de acelerar la implementación de passkeys en sus principales plataformas, para lograr alcanzar cuanto antes el tan ansiado futuro sin contraseñas.

En el caso de Google y sus plataformas, se espera que 2022 y 2023 sean años clave para la implementación de passkeys en plataformas como Chrome y Android. De hecho, Android 13 ya introduce soporte nativo para passkeys, y lo mismo sucede con iOS 16 y macOS Ventura en el caso de Apple.

El soporte, por tanto, estará listo a finales de año. Pero mejor no desinstales tu gestor de contraseñas todavía: habrá que esperar a que las páginas web y aplicaciones vayan introduciendo la posibilidad de usar passkeys como método de identificación de los usuarios, y, si la acogida es positiva, puede que incluso se conviertan en el sistema por defecto a la hora de registrarse.

No parece, por tanto, que las contraseñas vayan a desaparecer a corto o medio plazo. Pero si la acogida por parte de las principales páginas web y aplicaciones de todo el mundo avanza a buen ritmo, la transición podría llevarse a cabo de una manera más ágil, y pronto podríamos hablar de un Internet mucho más seguro para los usuarios.

Queremos saber tu opinión. ¡Comenta!
Para ti