En agosto, el La compañía de infraestructura de Internet Cloudflare fue uno de los cientos de objetivos en una ola masiva de phishing criminal que logró violar a numerosas compañías tecnológicas. Si bien algunos empleados de Cloudflare fueron engañados por los mensajes de phishing, los atacantes no pudieron penetrar más profundamente en los sistemas de la empresa. Esto se debe a que, como parte de los controles de seguridad de Cloudflare, cada empleado debe usar una clave de seguridad física para probar su identidad al iniciar sesión en todas las aplicaciones. Semanas más tarde, la empresa anunció una colaboración con el fabricante de tokens de autenticación de hardware Yubikey para ofrecer claves con descuento a los clientes de Cloudflare.
Sin embargo, Cloudflare no era la única empresa que se preocupaba por la protección de seguridad de los tokens de hardware. A principios de este mes, Apple anunció el soporte de clave de hardware para ID de Apple, siete años después de implementar por primera vez la autenticación de dos factores en las cuentas de usuario. Y hace dos semanas, el navegador Vivaldi anunció el soporte de clave de hardware para Android.
La protección no es nueva, y muchas de las principales plataformas y empresas han apoyado durante años la adopción de claves de hardware y han requerido que los empleados las usen como lo hizo Cloudflare. Pero este último aumento en el interés y la implementación se produce en respuesta a una serie de amenazas digitales en aumento.
“Las claves de autenticación física son algunos de los métodos más efectivos hoy en día para protegerse contra la usurpación de cuentas y el phishing”, dice Crane Hassold, director de inteligencia de amenazas en Abnormal Security y exanalista de comportamiento digital del FBI. “Si lo piensa como una jerarquía, los tokens físicos son más efectivos que las aplicaciones de autenticación, que son mejores que la verificación por SMS, que es más efectiva que la verificación por correo electrónico”.
La autenticación de hardware es muy segura, porque necesita poseer físicamente la clave y producirla. Esto significa que un phisher en línea no puede simplemente engañar a alguien para que entregue su contraseña, o incluso una contraseña más un código de segundo factor, para ingresar a una cuenta digital. Ya lo sabes intuitivamente, porque esta es toda la premisa de las llaves de la puerta. Alguien necesitaría su llave para abrir la puerta principal, y si pierde la llave, generalmente no es el fin del mundo, porque alguien que la encuentre no sabrá qué puerta abre. Para las cuentas digitales, existen diferentes tipos de llaves de hardware que se basan en los estándares de una asociación de la industria tecnológica conocida como FIDO Alliance, que incluyen tarjetas inteligentes que tienen un pequeño chip de circuito, tarjetas táctiles o llaveros que usan comunicación de campo cercano, o cosas como Yubikeys que se conectan a un puerto de su dispositivo.
Es probable que tenga docenas o incluso cientos de cuentas digitales, e incluso si todas admitieran tokens de hardware, sería difícil administrar las claves físicas para todas ellas. Pero para sus cuentas más valiosas y aquellas que son un respaldo para otros inicios de sesión, es decir, su correo electrónico, la seguridad y la resistencia al phishing de las claves de hardware pueden significar una gran tranquilidad.
Mientras tanto, después de años de trabajo, la industria de la tecnología finalmente dio pasos importantes en 2022 hacia un futuro sin contraseña prometido desde hace mucho tiempo. El movimiento se basa en una tecnología llamada «llaves de paso» que también se basan en los estándares FIDO. Los sistemas operativos de Apple, Google y Microsoft ahora son compatibles con la tecnología, y muchas otras plataformas, navegadores y servicios la han adoptado o están en proceso de hacerlo. El objetivo es facilitar a los usuarios la administración de la autenticación de su cuenta digital para que no usen soluciones alternativas inseguras como contraseñas débiles. Sin embargo, por mucho que lo desee, las contraseñas no van a desaparecer pronto, gracias a su absoluta ubicuidad. Y en medio de todo el alboroto sobre las claves de paso, los tokens de hardware siguen siendo una opción de protección importante.
“FIDO ha estado posicionando las claves de paso en algún lugar entre las contraseñas y los autenticadores FIDO basados en hardware, y creo que es una caracterización justa”, dice Jim Fenton, consultor independiente de seguridad y privacidad de identidad. “Si bien las claves de acceso probablemente serán la respuesta correcta para muchas aplicaciones de consumo, creo que los autenticadores basados en hardware seguirán desempeñando un papel en las aplicaciones de mayor seguridad, como para el personal de las instituciones financieras. Y los consumidores más enfocados en la seguridad también deberían tener la opción de usar autenticadores basados en hardware, particularmente si sus datos han sido violados anteriormente, si tienen un patrimonio neto alto o si simplemente les preocupa la seguridad”.
Si bien al principio puede parecer desalentador agregar una mejor práctica más a su lista de tareas pendientes de seguridad digital, los tokens de hardware son realmente fáciles de configurar. Y obtendrá mucho kilometraje con solo usarlos en un par de, ejem, llave cuentas