Llevamos más de 60 años utilizando contraseñas en nuestros ordenadores pero ya no bastan para mantener a salvo los datos de los usuarios y las organizaciones. Los ataques de phishing no dejan de crecer y son cada vez más sofisticados, aprovechándose de la debilidad de algunas contraseñas. Algunos datos a destacar:
- En 2021, más del 60% de las vulneraciones de datos estuvieron relacionadas con el robo de credenciales o phishing.
- En 2022, las vulneraciones de datos causadas por phishing le costaron a las organizaciones, de media, alrededor de 4,91 millones de USD.
- Los ataques de phishing crecieron un 61% en 2022, alcanzando un total de 255 millones en un periodo de 6 meses.
Durante la última década, Google ha estado a la vanguardia en la lucha contra el phishing y otras ciberamenazas relacionadas con las contraseñas, y eso incluye nuestras defensas automatizadas asistidas por la IA de la compañía. Hemos sido pioneros en el desarrollo y la normalización de llaves de seguridad físicas a través de la alianza FIDO. La culminación de este esfuerzo han sido las passkeys o llaves de acceso, una alternativa más sencilla y más segura que las contraseñas, y que ha permitido ofrecer a miles de millones de personas una tecnología más resistente a los ataques de suplantación de identidad. A principios de mayo empezamos a ofrecer llaves de acceso como una opción adicional a los inicios de sesión para cuentas personales de Google. A partir de hoy, en versión beta abierta, los usuarios de más de 9 millones de organizaciones podrán iniciar sesión en sus cuentas de Google Workspace y Google Cloud utilizando Passkeys en lugar de contraseñas.
Las llaves de acceso presentan importantes ventajas en términos de seguridad y facilidad de uso para los usuarios. Nos sentimos orgullosos de ser el primer gran proveedor de nube pública en poner esta tecnología a disposición de nuestros clientes, desde pequeñas y grandes empresas hasta centros de enseñanza y administraciones públicas. Por supuesto, los usuarios podrán seguir utilizando contraseñas para acceder a sus cuentas personales y de trabajo de Google. Sin embargo, las llaves de acceso constituyen una alternativa más sencilla y segura, y reducen las posibilidades de sufrir phishing y otros ciberataques.
¿Qué son las llaves de acceso?
Las llaves de acceso son un nuevo método de inicio de sesión sin contraseña pensado para una experiencia de autenticación más cómoda y segura en sitios web y aplicaciones. En pocas palabras, los usuarios pueden iniciar sesión con una huella dactilar, reconocimiento facial u otros mecanismos de bloqueo de pantalla del tipo de los que se utilizan en teléfonos, portátiles y ordenadores de sobremesa. Las passkeys se basan en un estándar de la industria y están disponibles tanto en los navegadores más populares como en los sistemas operativos que utilizamos a diario, como Android, ChromeOS, iOS, macOS o Windows. A diferencia de las contraseñas, las passkeys no hay que recordarlas ni teclearlas. Tampoco están escritas en ninguna parte y no hay peligro de que se las facilitemos accidentalmente a quien no debemos. Sencillamente, son más fáciles de usar. Los primeros datos de Google (marzo – abril de 2023) apuntan a que las llaves de acceso son 2 veces más rápidas y 4 veces menos propensas a errores con respecto a las contraseñas convencionales.
Las passkeys se basan en los mismos protocolos criptográficos de clave pública que están detrás de las llaves de seguridad físicas, como la llave de seguridad Titan, y son resistentes al phishing y a otras modalidades de ataque online. Según un estudio de Google, las passkeys ofrecen una mayor protección contra los bots automatizados, los ataques masivos de phishing y los ataques selectivos, superando a las contraseñas temporales de un solo uso, SMSs e incluso las tradicionales autenticaciones de dos factores .
Precisamente por su mayor resistencia al phishing, los usuarios con alto riesgo de sufrir ataques selectivos y que están incluidos en nuestro Programa de protección avanzada pueden, desde ahora, utilizar llaves de acceso de forma adicional a sus llaves de seguridad física.
Un buen ejemplo es el de Snap Inc., que ya utiliza passkeys para reducir la carga de trabajo que supone la gestión de las contraseñas y para reforzar la seguridad de su personal. Según Jim Higgins, CISO de Snap Inc., «Asociarnos con el equipo de Google Workspace para transformar las contraseñas en llaves de acceso nos ha permitido reducir el riesgo de filtración de contraseñas y de apropiación de cuentas de nuestros empleados. Ahora, nuestro equipo de seguridad corporativa está profundizando en esta asociación con Google y ampliando la adopción de passkeys en toda nuestra empresa, para que la experiencia de acceso resulte más cómoda y segura».
El diseño de las passkeys también tiene en cuenta la privacidad del usuario. Cuando un usuario inicia sesión con una passkey en sus aplicaciones de Workspace, como Gmail o Google Drive, la llave puede confirmar que el usuario tiene acceso al dispositivo y puede desbloquearlo con una huella dactilar, reconocimiento facial u otro mecanismo de bloqueo de pantalla. Los datos biométricos del usuario nunca se envían a los servidores de Google ni a otros sitios web o aplicaciones.
Empieza el despliegue
Desde hoy, habilitaremos de forma gradual —y en el transcurso de las próximas semanas— llaves de acceso para usuarios y controles para los administradores de Workspace.
Los administradores podrán dar a sus usuarios la opción de omitir las contraseñas e iniciar sesión mediante una llave de acceso. Esta configuración está desactivada de forma predeterminada, lo que significa que los usuarios seguirán necesitando contraseñas para iniciar sesión, pero también se podrán crear y utilizar llaves de acceso como método de verificación en dos pasos. Para que los usuarios puedan omitir las contraseñas, los administradores deberán seguir unos sencillos pasos en la consola de administración.
Imagen: Freepik