Cómo eliminar las contraseñas por completo

Implementar passkeys representa un salto monumental en la seguridad de la autenticación, pero no es el final del camino. Si ya has desplegado passkeys, es probable que estés celebrando la mejora de las métricas de seguridad, pero ¿cómo se pasa realmente de tener passkeys a lograr una autenticación completamente sin contraseñas?

Las passkeys ofrecen ventajas de seguridad críticas gracias a su diseño resistente al phishing, que utiliza criptografía de clave pública vinculada a dominios específicos, lo que hace imposible que los atacantes engañen a los usuarios para que se autentiquen en sitios fraudulentos. Eliminan la reutilización de credenciales, ya que cada passkey es única para un servicio específico, lo que significa que la vulneración de un servicio no afecta a otros. Además, proporcionan inmunidad a los ataques de fuerza bruta al reemplazar los secretos memorizados por claves criptográficas que no se pueden adivinar ni descifrar.

Sin embargo, estas potentes ventajas se desvanecen en el momento en que un usuario puede eludir la autenticación con passkey e iniciar sesión con una contraseña. Esto plantea una pregunta crucial: ¿Por qué las passkeys por sí solas no son suficientes para una seguridad completa? La respuesta reside en comprender que mientras la puerta de las contraseñas permanezca abierta, los atacantes intentarán entrar por ella. Aún más importante es la pregunta: ¿qué hace que la recuperación de cuentas sea la vulnerabilidad oculta que puede socavar toda tu implementación de passkeys? Brechas de seguridad recientes de alto perfil han demostrado que los atacantes se dirigen cada vez más a los flujos de recuperación en lugar de a la autenticación principal.

Este artículo te guiará a través del viaje completo, desde la implementación de passkeys hasta el logro de una verdadera seguridad sin contraseñas, abordando cada una de estas preguntas críticas con soluciones prácticas y ejemplos del mundo real.

La verdadera autenticación sin contraseñas significa eliminar por completo las contraseñas de tu arquitectura de seguridad. En un sistema sin contraseñas, los usuarios no pueden establecer, restablecer ni usar contraseñas en ningún momento de su proceso de autenticación. En su lugar, la autenticación se basa enteramente en métodos criptográficos como las passkeys.

Muchas organizaciones afirman ser "sin contraseñas" mientras siguen manteniendo las contraseñas en segundo plano como una opción de respaldo. Esto no es verdaderamente sin contraseñas, sino más bien opcional sin contraseñas. La distinción es importante porque mientras existan contraseñas en cualquier parte de tu sistema, incluidos los flujos de recuperación, seguirán siendo una vulnerabilidad explotable que los atacantes buscarán.

La verdadera seguridad sin contraseñas requiere tanto eliminar las contraseñas de la autenticación principal COMO garantizar que los procesos de recuperación sean igualmente resistentes al phishing.

Mantener las contraseñas como opción de respaldo preserva todos los vectores de ataque que las passkeys están diseñadas para eliminar. Los atacantes simplemente redirigen sus campañas de phishing para atacar la entrada de contraseñas, mientras que los ataques de credential stuffing y de pulverización de contraseñas continúan utilizando credenciales robadas de otras brechas. La ingeniería social sigue siendo efectiva, ya que los usuarios aún pueden ser engañados para que revelen sus contraseñas a falsos agentes de soporte.

Mientras existan las contraseñas, seguirán siendo el eslabón más débil, un único punto de entrada que elude por completo la seguridad resistente al phishing de las passkeys.

Tampoco basta con fijarse únicamente en la experiencia de inicio de sesión. Un vector de ataque crítico pero a menudo pasado por alto es el flujo de recuperación de cuentas. Incluso las organizaciones que han implementado passkeys pueden seguir siendo vulnerables si su proceso de recuperación se basa en métodos susceptibles de phishing, como los OTP por SMS o los enlaces mágicos por correo electrónico.

Consideremos la brecha de alto perfil de MGM Resorts en 2023, donde los atacantes no se dirigieron al sistema de autenticación principal, sino que explotaron el proceso de recuperación de cuentas mediante ingeniería social, eludiendo todas las medidas de seguridad primarias. Del mismo modo, la brecha en el sistema de soporte de Okta demostró cómo los flujos de recuperación pueden convertirse en el eslabón más débil, permitiendo a los atacantes restablecer credenciales y obtener acceso no autorizado a los entornos de los clientes.

Estos incidentes subrayan una verdad crucial: implementar passkeys sin asegurar el flujo de recuperación es como instalar una puerta de acero dejando las ventanas abiertas.

Lograr una verdadera autenticación sin contraseñas no es un solo paso, es un viaje estratégico que requiere una planificación cuidadosa, una implementación gradual y una optimización continua:

La primera fase se centra en introducir las passkeys como un método de autenticación adicional mientras se mantienen las opciones existentes como respaldo. Esta etapa de construcción de cimientos permite a los usuarios tener tiempo para entender y confiar en la nueva tecnología, manteniendo disponibles los métodos familiares para reducir la fricción.

Pasos clave de implementación:

• Integrar la autenticación con passkeys en tu flujo de autenticación existente
• Habilitar la creación de passkeys para usuarios nuevos y existentes
• Mantener las contraseñas y otros métodos de autenticación como alternativas
• Hacer un seguimiento de las tasas de creación de passkeys y los patrones de uso

Métricas de éxito:

• Porcentaje de usuarios que han creado al menos una passkey por encima del 50%
• Tasa de éxito en la creación de passkeys superior al 95%
• Uso inicial de passkeys para la autenticación que alcance el 20-30%

Una vez que las passkeys están disponibles, el enfoque se desplaza a impulsar la adopción y hacer de las passkeys el método de autenticación preferido. Esta fase transforma las passkeys de una opción alternativa a la elección de autenticación principal a través de la interacción estratégica con el usuario y la optimización.

Pasos clave de implementación:

• Hacer de la autenticación con passkey la opción por defecto en los flujos de inicio de sesión
• Implementar indicaciones inteligentes que fomenten la creación de passkeys después de inicios de sesión exitosos con contraseña
• Educar a los usuarios sobre los beneficios de seguridad y comodidad a través de mensajes en la aplicación
• Ofrecer incentivos para la adopción de passkeys (pago más rápido, funciones exclusivas)
• Realizar pruebas A/B con diferentes mensajes y enfoques de interfaz de usuario para maximizar la conversión
• Implementar políticas de acceso condicional que requieran passkeys para operaciones sensibles

Métricas de éxito:

• Más del 60% de los usuarios activos con al menos una passkey
• Más del 80% de los inicios de sesión utilizan passkeys para las cuentas habilitadas con passkey
• Tasa de fallo en la creación de passkeys inferior al 2%

Aquí es donde ocurre la verdadera transformación de la seguridad: eliminar las contraseñas por completo para los usuarios que utilizan passkeys de forma consistente. Esta fase elimina el principal vector de ataque al desactivar las contraseñas para los usuarios que han demostrado una adopción exitosa de passkeys.

Pasos clave de implementación:

• Analizar los patrones de autenticación de los usuarios utilizando sistemas de monitoreo inteligentes
• Identificar a los usuarios que utilizan exclusivamente passkeys con múltiples dispositivos compatibles con passkey
• Ofrecer la desactivación de la contraseña con mensajes claros sobre los beneficios de seguridad
• Verificar la disponibilidad de passkeys de respaldo (sincronizadas en la nube o en múltiples dispositivos)

Métricas de éxito:

• Más del 30% de los usuarios elegibles eliminan voluntariamente las contraseñas
• Cero aumento en las tasas de bloqueo de cuentas
• Puntuaciones de satisfacción del usuario mantenidas o mejoradas

La fase final aborda la última vulnerabilidad: transformar la recuperación de cuentas en un proceso resistente al phishing. Esta fase garantiza que los flujos de recuperación coincidan con el nivel de seguridad de la autenticación principal, previniendo ataques por la puerta trasera.

Pasos clave de implementación:

• Implementar la autenticación multifactor con al menos un factor resistente al phishing
• Factores resistentes al phishing disponibles:
  • Passkeys de respaldo: Passkeys de recuperación almacenadas en dispositivos secundarios o servicios en la nube que proporcionan una prueba criptográfica de identidad (la opción más extendida).
  • API de credenciales digitales: Estándar del W3C para afirmaciones de identidad verificadas criptográficamente de proveedores de confianza (tecnología emergente, aún no generalizada).
  • Llaves de seguridad de hardware: Tokens físicos FIDO2 registrados como factores de recuperación que no pueden ser objeto de phishing ni duplicados (requiere que los usuarios compren y mantengan dispositivos físicos).
  • Verificación de documentos de identidad con detección de vida: Escaneo de documentos de identidad gubernamentales combinado con acciones biométricas en tiempo real para demostrar la presencia física.

Nota sobre las opciones de recuperación: Aunque la API de credenciales digitales y las llaves de seguridad de hardware ofrecen una seguridad sólida, aún no están ampliamente adoptadas. La primera es una tecnología emergente y la segunda requiere que los usuarios compren dispositivos físicos.

Cuando las passkeys de respaldo no están disponibles, la verificación de documentos de identidad con detección de vida se convierte en una alternativa viable. A pesar de las posibles soluciones para eludir las comprobaciones de vida sin la posesión física de un documento de identidad, estos métodos siguen proporcionando una seguridad significativamente mayor que los OTP tradicionales, que pueden ser fácilmente interceptados mediante phishing, intercambio de SIM o ataques de intermediario (man-in-the-middle).

Métricas de éxito:

• El 100% de los flujos de recuperación incluyen factores resistentes al phishing
• Cero tomas de control de cuentas exitosas a través de procesos de recuperación
• Tasas de finalización de la recuperación mantenidas por encima del 90%

El movimiento hacia un sistema sin contraseñas está ganando impulso en toda la industria tecnológica, con empresas líderes que se están alejando de las contraseñas.

Varias empresas ya han logrado la eliminación completa de las contraseñas para sus operaciones internas. Okta, Yubico y Cloudflare han alcanzado efectivamente el uso cero de contraseñas internamente y sus flujos de inicio de sesión no aceptarán contraseñas en absoluto.

Los gigantes tecnológicos Google, Apple, Microsoft y X están eliminando activamente las contraseñas, pero no las han suprimido por completo. Su enfoque equilibra las mejoras de seguridad con la elección del usuario durante el período de transición.

Google ha adoptado una postura agresiva al activar por defecto la opción "Omitir contraseña cuando sea posible" para todas las cuentas, haciendo de las passkeys el método de autenticación preferido, aunque permite a los usuarios optar por no participar si lo necesitan. Este enfoque de exclusión voluntaria crea un fuerte impulso hacia un sistema sin contraseñas, manteniendo la flexibilidad para los usuarios que aún no están listos para la transición.

Microsoft va un paso más allá al permitir a los usuarios eliminar completamente sus contraseñas de sus cuentas hoy, con planes de "eliminar eventualmente el soporte de contraseñas por completo" en el futuro. Esta hoja de ruta clara indica a los usuarios que las contraseñas tienen los días contados, fomentando la adopción temprana de métodos sin contraseña.

Apple ha integrado las passkeys en todo su ecosistema y promueve activamente su uso, aunque las contraseñas del Apple ID siguen disponibles como opción de respaldo. Su enfoque aprovecha la sincronización perfecta entre los dispositivos de Apple para hacer que la adopción de passkeys sea lo más fluida posible.

Estas empresas no están forzando un cambio inmediato, pero están enviando un mensaje claro: las contraseñas desaparecerán una vez que la adopción alcance una masa crítica. Sus estrategias implican hacer de las passkeys la opción por defecto, educar a los usuarios sobre los beneficios y reducir gradualmente la funcionalidad de las contraseñas.

La decisión de eliminar las contraseñas no debe tomarse a la ligera ni aplicarse universalmente. En su lugar, adopta un enfoque gradual y basado en datos que considere el comportamiento del usuario, las capacidades de los dispositivos y los perfiles de riesgo.

Los sectores de alto riesgo que hoy en día sufren graves ataques de phishing deberían comenzar su transición sin contraseñas de inmediato, pero siguiendo un despliegue gradual y estratégico:

• Bancos e instituciones financieras: Objetivos principales para el robo de credenciales. Para los bancos europeos, las passkeys también se alinean con los requisitos de Autenticación Reforzada de Cliente (SCA) de la PSD2, proporcionando una MFA resistente al phishing que cumple con la normativa regulatoria al tiempo que mejora la experiencia del usuario.
• Proveedores de pagos y Fintech: El acceso directo a los fondos de los clientes los hace atractivos para el cibercrimen organizado.
• Plataformas de criptomonedas: Las transacciones irreversibles significan que las credenciales robadas conducen a pérdidas permanentes.
• Salud y seguros: Se enfrentan tanto a requisitos de cumplimiento como a riesgos para la seguridad del paciente por el robo de identidad médica.
• Gobierno e infraestructuras críticas: Son objetivo de actores estatales con sofisticadas campañas de spear-phishing.

Para estas organizaciones, la acción inmediata es crítica, pero el éxito aún requiere un enfoque de despliegue metódico y gradual. Empieza hoy, pero despliega estratégicamente para asegurar una alta adopción y evitar el bloqueo de usuarios.

Comienza con un subgrupo más pequeño: Inicia tu transición sin contraseñas con los usuarios que demuestren un uso consistente de passkeys. Estos primeros adoptantes te ayudarán a identificar posibles problemas antes de un despliegue más amplio.

Analiza los patrones de comportamiento del usuario:

• Frecuencia de inicio de sesión y métodos utilizados
• Tipos de dispositivos y compatibilidad con passkeys
• Intentos de autenticación fallidos
• Uso del flujo de recuperación
• Patrones de autenticación entre dispositivos

Usuarios elegibles para la desactivación de contraseñas según estos patrones:

• Se autentican consistentemente mediante passkeys, demostrando que se sienten cómodos con la tecnología.
• Usan passkeys en múltiples dispositivos, lo que indica que tienen métodos de acceso de respaldo.
• No han usado contraseñas ni flujos de recuperación en los últimos 30-60 días, demostrando que no dependen de la autenticación basada en contraseñas.

Corbado proporciona una plataforma integral para guiar a las organizaciones a través de las cuatro fases del viaje sin contraseñas descrito anteriormente. Desde la implementación inicial de passkeys hasta lograr la eliminación completa de las contraseñas, la solución de Corbado se encarga de la complejidad técnica mientras proporciona las herramientas necesarias para una adopción exitosa por parte de los usuarios.

Soporte en las Fases 1 y 2: Corbado ofrece una integración perfecta de passkeys con las pilas de autenticación existentes, indicaciones inteligentes que maximizan las tasas de adopción y análisis detallados para seguir la creación y los patrones de uso de passkeys. La función Passkey Intelligence de la plataforma optimiza automáticamente la experiencia del usuario basándose en las capacidades del dispositivo y el comportamiento del usuario, asegurando una incorporación fluida.

Implementación en las Fases 3 y 4: Para las organizaciones listas para eliminar las contraseñas por completo, Corbado permite la desactivación gradual de las contraseñas basándose en la preparación del usuario, manteniendo al mismo tiempo flujos de recuperación seguros y resistentes al phishing.

Al gestionar la compatibilidad multiplataforma, los mecanismos de respaldo y la optimización de la experiencia del usuario, Corbado acelera la transformación hacia un sistema sin contraseñas de años a meses, permitiendo a las organizaciones centrarse en su negocio principal mientras logran una autenticación resistente al phishing.

El viaje hacia una verdadera autenticación sin contraseñas responde a las dos preguntas críticas que planteamos al principio:

¿Por qué las passkeys por sí solas no son suficientes para una seguridad completa? Porque la seguridad es tan fuerte como su eslabón más débil. Mientras las contraseñas sigan disponibles, incluso como respaldo, los atacantes simplemente se dirigirán a ellas a través de phishing, credential stuffing o ataques de degradación. Cada contraseña en tu sistema socava los beneficios de resistencia al phishing de las passkeys.

¿Qué hace que la recuperación de cuentas sea la vulnerabilidad oculta? Los flujos de recuperación son a menudo la puerta trasera olvidada. Como demostraron las brechas de MGM Resorts y Okta, los atacantes eluden cada vez más las robustas implementaciones de passkeys explotando métodos de recuperación más débiles como los OTP por SMS o los enlaces mágicos por correo electrónico. Es como instalar una puerta de acero dejando las ventanas abiertas.

La verdadera seguridad sin contraseñas requiere completar todo el viaje: implementar passkeys, impulsar la adopción, eliminar las contraseñas por completo y asegurar los flujos de recuperación con métodos resistentes al phishing. Solo cerrando todas las puertas de las contraseñas, incluidas las ocultas en los procesos de recuperación, las organizaciones pueden lograr una autenticación verdaderamente segura.