Cómo eliminar las contraseñas por completo

1. Introducción: Por qué la implementación de claves de acceso no es la meta#

Implementar claves de acceso representa un avance monumental en la seguridad de la autenticación, pero no es el viaje completo. Si ya has implementado claves de acceso, es probable que estés celebrando métricas de seguridad mejoradas, pero ¿cómo haces realmente la transición de tener claves de acceso a lograr una autenticación totalmente sin contraseñas?

Las claves de acceso ofrecen ventajas de seguridad fundamentales a través de su diseño resistente al phishing, que utiliza criptografía de clave pública vinculada a dominios específicos, lo que hace imposible que los atacantes engañen a los usuarios para que se autentiquen en sitios fraudulentos. Eliminan la reutilización de credenciales, ya que cada clave de acceso es única para un servicio específico, lo que significa que la filtración de un servicio no afecta a los demás. Además, proporcionan inmunidad a los ataques de fuerza bruta al reemplazar los secretos memorizados con claves criptográficas que no pueden adivinarse ni descifrarse.

Sin embargo, estas poderosas ventajas se evaporan en el momento en que un usuario puede eludir la autenticación de la clave de acceso e iniciar sesión con una contraseña. Esto plantea una pregunta crucial: ¿Por qué las claves de acceso por sí solas no bastan para una seguridad completa? La respuesta radica en comprender que mientras la puerta de las contraseñas permanezca abierta, los atacantes intentarán cruzarla. Aún más importante es la pregunta: ¿qué hace que la recuperación de cuentas sea la vulnerabilidad oculta que puede socavar toda tu implementación de claves de acceso? Las recientes filtraciones de alto perfil han demostrado que los atacantes apuntan cada vez más a los flujos de recuperación en lugar de la autenticación principal.

Este artículo te guiará a través de todo el viaje, desde la implementación de claves de acceso hasta lograr una verdadera seguridad sin contraseñas, abordando cada una de estas preguntas críticas con soluciones prácticas y ejemplos del mundo real.

¿Qué significa realmente "Sin contraseñas"?#

La verdadera autenticación sin contraseñas significa eliminar por completo las contraseñas de tu arquitectura de seguridad. En un sistema sin contraseñas, los usuarios no pueden configurar, restablecer ni usar contraseñas en ningún momento de su viaje de autenticación. En cambio, la autenticación se basa por completo en métodos criptográficos como las claves de acceso.

Muchas organizaciones afirman ser "sin contraseñas" mientras mantienen las contraseñas en un segundo plano como opción alternativa. Esto no es un verdadero sistema sin contraseñas, sino más bien contraseñas opcionales. La distinción es importante porque, siempre que existan contraseñas en cualquier parte de tu sistema, incluidos los flujos de recuperación, seguirán siendo una vulnerabilidad aprovechable que los atacantes buscarán comprometer.

2. Las dos puertas traseras que socavan la seguridad de las claves de acceso#

La verdadera seguridad sin contraseñas requiere tanto eliminar las contraseñas de la autenticación principal COMO asegurar que los procesos de recuperación sean igualmente resistentes al phishing.

2.1 Por qué las contraseñas como opción alternativa suponen un riesgo de seguridad significativo#

Mantener las contraseñas como una opción alternativa conserva todos los vectores de ataque que las claves de acceso están diseñadas para eliminar. Los atacantes simplemente redirigen sus campañas de phishing para atacar el ingreso de la contraseña, mientras que el relleno de credenciales y los ataques de rociado de contraseñas continúan usando credenciales robadas de otras filtraciones. La ingeniería social sigue siendo eficaz, ya que se puede engañar a los usuarios para que revelen contraseñas a agentes de soporte falsos.

Mientras existan contraseñas, seguirán siendo el eslabón más débil, un punto de entrada único que elude por completo la seguridad resistente al phishing de la clave de acceso.

2.2 La puerta trasera de recuperación de cuentas#

Tampoco basta con fijarse solo en la experiencia de inicio de sesión. Un vector de ataque crítico pero a menudo pasado por alto es el flujo de recuperación de cuentas. Incluso las organizaciones que han implementado claves de acceso pueden seguir siendo vulnerables si su proceso de recuperación depende de métodos vulnerables al phishing como OTP por SMS o enlaces mágicos por correo electrónico.

Considera la filtración de alto perfil de MGM Resorts en 2023, donde los atacantes no atacaron el sistema de autenticación principal, sino que explotaron el proceso de recuperación de cuentas a través de la ingeniería social, eludiendo todas las medidas de seguridad principales. Del mismo modo, la filtración del sistema de soporte de Okta demostró cómo los flujos de recuperación pueden convertirse en el eslabón más débil, permitiendo a los atacantes restablecer las credenciales y obtener acceso no autorizado a los entornos de los clientes.

Estos incidentes subrayan una verdad crucial: implementar claves de acceso sin asegurar el flujo de recuperación es como instalar una puerta de acero y dejar las ventanas abiertas.

3. El viaje sin contraseñas#

Lograr una verdadera autenticación sin contraseñas no es un solo paso: es un viaje estratégico que requiere una planificación cuidadosa, un diseño y estrategia de producto reflexionados, una implementación gradual y una optimización continua:

3.1 Fase 1: Añadir claves de acceso#

La primera fase se centra en introducir las claves de acceso como un método de autenticación adicional mientras se mantienen las opciones existentes como alternativas. Esta etapa de construcción de la base da tiempo a los usuarios para entender y confiar en la nueva tecnología, al tiempo que mantiene los métodos familiares disponibles para reducir la fricción.

Pasos clave de la implementación:

• Integra la autenticación con claves de acceso en tu flujo de autenticación existente
• Habilita la creación de claves de acceso para usuarios nuevos y existentes
• Mantén las contraseñas y otros métodos de autenticación como alternativas
• Rastrea las tasas de creación de claves de acceso y los patrones de uso

Métricas de éxito:

• Porcentaje de usuarios que han creado al menos una clave de acceso superior al 50 %
• Tasa de éxito de la creación de claves de acceso superior al 95 %
• Uso inicial de claves de acceso para la autenticación alcanzando un 20 a 30 %

3.2 Fase 2: Aumentar la adopción de claves de acceso#

Una vez que las claves de acceso están disponibles, la atención se centra en impulsar la adopción y convertir las claves de acceso en el método de autenticación preferido. Esta fase transforma las claves de acceso de una opción alternativa a la principal opción de autenticación mediante un compromiso estratégico del usuario y la optimización.

Pasos clave de la implementación:

• Convierte la autenticación con claves de acceso en la opción predeterminada en los flujos de inicio de sesión
• Implementa indicaciones inteligentes que fomenten la creación de claves de acceso tras los inicios de sesión exitosos con contraseña
• Educa a los usuarios sobre los beneficios de seguridad y comodidad a través de mensajes integrados en la aplicación
• Ofrece incentivos para la adopción de claves de acceso (proceso de pago más rápido, funciones exclusivas)
• Realiza pruebas A/B con diferentes enfoques de mensajería e IU para maximizar la conversión
• Implementa políticas de acceso condicional que exijan claves de acceso para operaciones confidenciales

Métricas de éxito:

• Más del 60 % de los usuarios activos con al menos una clave de acceso
• Más del 80 % de los inicios de sesión utilizando claves de acceso para las cuentas habilitadas para claves de acceso
• Tasa de fracaso de la creación de claves de acceso inferior al 2 %

3.3 Fase 3: Eliminar las contraseñas#

Aquí es donde ocurre la verdadera transformación de la seguridad: eliminar por completo las contraseñas para los usuarios que usan claves de acceso sistemáticamente. Esta fase elimina el vector de ataque principal al desactivar las contraseñas de los usuarios que han demostrado una adopción exitosa de las claves de acceso.

Pasos clave de la implementación:

• Analiza los patrones de autenticación de los usuarios utilizando sistemas de monitoreo inteligentes
• Identifica a los usuarios que utilizan exclusivamente claves de acceso con varios dispositivos preparados para claves de acceso
• Ofrece la desactivación de la contraseña con mensajes claros sobre las ventajas de seguridad
• Verifica la disponibilidad de claves de acceso de respaldo (sincronizadas en la nube o en varios dispositivos)

Métricas de éxito:

• Más del 30 % de los usuarios aptos eliminan voluntariamente las contraseñas
• Ningún aumento en las tasas de bloqueo de cuentas
• Puntuaciones de satisfacción del usuario mantenidas o mejoradas

3.4 Fase 4: Recuperación resistente al phishing#

La fase final aborda la última vulnerabilidad: transformar la recuperación de cuentas en un proceso resistente al phishing. Esta fase garantiza que los flujos de recuperación coincidan con el nivel de seguridad de la autenticación principal, evitando ataques de puerta trasera.

Pasos clave de la implementación:

• Implementa la autenticación multifactor con al menos un factor resistente al phishing
• Factores resistentes al phishing disponibles:
  • Claves de acceso de respaldo: Claves de acceso de recuperación almacenadas en dispositivos secundarios o servicios en la nube que proporcionan una prueba criptográfica de identidad (la opción más ampliamente disponible).
  • API de credenciales digitales: Estándar W3C para aserciones de identidad verificadas criptográficamente de proveedores confiables (tecnología emergente, aún no generalizada).
  • Llaves de seguridad de hardware: Tokens FIDO2 físicos registrados como factores de recuperación que no pueden sufrir phishing o duplicarse (requiere que los usuarios compren y mantengan dispositivos físicos).
  • Verificación de documentos de identidad con detección de vida: Escaneo de identificaciones gubernamentales combinado con acciones biométricas en tiempo real para demostrar la presencia física.

Nota sobre las opciones de recuperación: Si bien la API de Credenciales Digitales y las Llaves de Seguridad de Hardware ofrecen una gran seguridad, aún no se han adoptado ampliamente; la primera es todavía una tecnología emergente y la segunda requiere que los usuarios compren dispositivos físicos.

Cuando las claves de acceso de respaldo no están disponibles, la verificación de documentos de identidad con detección de vida se convierte en una alternativa viable. A pesar de las posibles soluciones para eludir las comprobaciones de vida sin la propiedad física de una identificación, estos métodos siguen proporcionando una seguridad significativamente mayor que las OTP tradicionales, que pueden interceptarse fácilmente a través de phishing, el intercambio de SIM o ataques de intermediario.

Métricas de éxito:

• El 100 % de los flujos de recuperación incluyen factores resistentes al phishing
• Cero toma de control de cuentas exitosa a través de los procesos de recuperación
• Tasas de finalización de recuperación mantenidas por encima del 90 %

4. Ejemplos de empresas que comenzaron a eliminar contraseñas#

El movimiento sin contraseñas está ganando impulso en toda la industria de la tecnología, con empresas líderes alejándose de las contraseñas.

4.1 Organizaciones totalmente sin contraseñas#

Varias empresas ya han logrado la eliminación completa de contraseñas en sus operaciones internas. Okta, Yubico y Cloudflare han llegado efectivamente a cero uso de contraseñas internamente y sus flujos de inicio de sesión no aceptarán contraseñas en absoluto.

4.2 Empresas en transición activa#

Los gigantes tecnológicos Google, Apple, Microsoft y X están desaprobando activamente las contraseñas, pero no las han eliminado por completo. Su enfoque equilibra las mejoras de seguridad con la elección del usuario durante el período de transición.

Google ha adoptado una postura agresiva al activar la opción "Omitir la contraseña cuando sea posible" de forma predeterminada para todas las cuentas, lo que convierte a las claves de acceso en el método de autenticación preferido, al tiempo que permite a los usuarios inhabilitarlo si es necesario. Este enfoque crea un fuerte impulso hacia un entorno sin contraseñas mientras mantiene la flexibilidad para los usuarios que aún no están listos para la transición.

Microsoft va un paso más allá al permitir a los usuarios eliminar por completo sus contraseñas de sus cuentas en la actualidad, con planes de "eliminar eventualmente el soporte para contraseñas por completo" en el futuro. Esta hoja de ruta clara indica a los usuarios que las contraseñas tienen los días contados, lo que fomenta la adopción temprana de métodos sin contraseñas.

Apple ha integrado claves de acceso en todo su ecosistema y promueve activamente su uso, aunque las contraseñas del ID de Apple siguen estando disponibles como opción alternativa. Su enfoque aprovecha la sincronización perfecta en todos los dispositivos Apple para que la adopción de las claves de acceso se realice con la menor fricción posible.

Estas empresas no obligan a realizar un cambio inmediato, pero envían un mensaje claro: las contraseñas desaparecerán una vez que la adopción alcance la masa crítica. Sus estrategias implican establecer las claves de acceso de forma predeterminada, educar a los usuarios sobre sus beneficios y reducir gradualmente la funcionalidad de las contraseñas.

5. ¿Cuándo deberías empezar a eliminar las contraseñas?#

La decisión de eliminar las contraseñas no debe apresurarse ni aplicarse de manera universal. En su lugar, adopta un enfoque gradual y basado en datos que tenga en cuenta el comportamiento del usuario, las capacidades del dispositivo y los perfiles de riesgo.

5.1 Quiénes deberían comenzar su viaje sin contraseñas de inmediato#

Los sectores de alto riesgo que sufren graves ataques de phishing hoy en día deberían comenzar de inmediato su transición para eliminar las contraseñas, pero aún así seguir un despliegue gradual y estratégico:

• Bancos e instituciones financieras: Objetivos principales para el robo de credenciales. Para los bancos europeos, las claves de acceso también se ajustan a los requisitos de Autenticación Reforzada de Clientes (SCA) de la PSD2, proporcionando MFA resistente al phishing que cumple con las normas regulatorias al tiempo que mejora la experiencia del usuario.
• Proveedores de pago y tecnología financiera (Fintech): El acceso directo a los fondos de los clientes los hace atractivos para el cibercrimen organizado.
• Intercambios de criptomonedas: Las transacciones irreversibles significan que las credenciales robadas conllevan pérdidas permanentes.
• Salud y seguros: Se enfrentan a exigencias de cumplimiento y a riesgos para la seguridad del paciente debido al robo de identidad médica.
• Gobierno e infraestructura crítica: Atacados por actores de estados-nación con sofisticadas campañas de spear-phishing.

Para estas organizaciones, la acción inmediata es crítica, pero el éxito sigue requiriendo un enfoque de implementación metódico y gradual. Empieza hoy mismo, pero implementa de manera estratégica para asegurar una alta adopción y evitar bloqueos de los usuarios.

5.2 Estrategia de implementación gradual#

Comienza con un subgrupo más pequeño: Empieza la transición a eliminar contraseñas con los usuarios que demuestren un uso sistemático de claves de acceso. Estos primeros usuarios te ayudarán a identificar posibles problemas antes de una implementación más amplia.

Analiza los patrones de comportamiento del usuario:

• Frecuencia de inicio de sesión y métodos utilizados
• Tipos de dispositivos y compatibilidad con claves de acceso
• Intentos de autenticación fallidos
• Uso del flujo de recuperación
• Patrones de autenticación multidispositivo

Usuarios aptos para la desactivación de la contraseña según estos patrones:

• Se autentican sistemáticamente mediante claves de acceso: demostrando que se sienten cómodos con la tecnología.
• Usan claves de acceso en varios dispositivos: indicando que disponen de métodos de acceso de respaldo.
• No han utilizado contraseñas ni flujos de recuperación en los últimos 30 a 60 días: demostrando que no dependen de la autenticación basada en contraseñas.

6. Cómo puede ayudar Corbado#

Corbado proporciona una plataforma integral para guiar a las organizaciones en las cuatro fases del viaje sin contraseñas descrito anteriormente. Desde la implementación inicial de las claves de acceso hasta lograr la eliminación completa de contraseñas, la solución de Corbado se encarga de la complejidad técnica, proporcionando al mismo tiempo las herramientas necesarias para la adopción exitosa por parte de los usuarios.

Apoyo a las Fases 1 y 2: Corbado ofrece una integración fluida de las claves de acceso en las pilas de autenticación existentes, indicaciones inteligentes que maximizan las tasas de adopción y analíticas detalladas para hacer un seguimiento a la creación de claves de acceso y los patrones de uso. La función de Inteligencia de claves de acceso de la plataforma optimiza automáticamente la experiencia del usuario basándose en las capacidades del dispositivo y el comportamiento del usuario, garantizando una incorporación sin problemas.

Implementación de las Fases 3 y 4: Para las organizaciones que están listas para eliminar las contraseñas por completo, Corbado permite la desactivación gradual de las contraseñas basada en la preparación del usuario, mientras mantiene flujos de recuperación seguros y resistentes al phishing.

Al gestionar la compatibilidad multiplataforma, los mecanismos de respaldo y la optimización de la experiencia del usuario, Corbado acelera la transformación sin contraseñas de años a meses, lo que permite a las organizaciones centrarse en su actividad principal, mientras logran una autenticación resistente al phishing.

Conclusión#

El viaje hacia la verdadera autenticación sin contraseñas responde a las dos preguntas críticas que planteamos al principio:

¿Por qué las claves de acceso solas no bastan para la seguridad completa? Porque la seguridad es tan fuerte como su eslabón más débil. Mientras las contraseñas sigan estando disponibles, incluso como alternativa, los atacantes simplemente recurrirán a ellas como objetivo a través de phishing, ataques de relleno de credenciales o de degradación. Cada contraseña de tu sistema socava los beneficios resistentes al phishing de las claves de acceso.

¿Qué hace que la recuperación de la cuenta sea una vulnerabilidad oculta? Los flujos de recuperación suelen ser la puerta trasera olvidada. Como demostraron las filtraciones a MGM Resorts y Okta, los atacantes eluden cada vez más las implementaciones sólidas de claves de acceso, al explotar métodos de recuperación más débiles como SMS OTP o enlaces mágicos por correo electrónico. Es como instalar una puerta de acero y dejar las ventanas abiertas.

La verdadera seguridad sin contraseñas requiere completar el viaje: implementar claves de acceso, impulsar la adopción, eliminar las contraseñas por completo y proteger los flujos de recuperación con métodos resistentes al phishing. Solo al cerrar todas las puertas con contraseña, incluidas las que se ocultan en los procesos de recuperación, las organizaciones pueden lograr una autenticación verdaderamente segura.

Acerca de Corbado

Corbado es la Passkey Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys →

Preguntas frecuentes#

¿Qué señales indican que un usuario está listo para la desactivación de contraseñas en una transición sin contraseñas?#

Los usuarios son aptos para la desactivación de contraseñas cuando se autentican de manera sistemática mediante claves de acceso en varios dispositivos y no han usado contraseñas ni flujos de recuperación en los últimos 30 a 60 días. Iniciar la desactivación con este grupo reduce el riesgo y ayuda a detectar problemas antes de una implementación más amplia. La fase 3 tiene como objetivo que el 30 % o más de los usuarios aptos eliminen voluntariamente las contraseñas.

¿Qué opciones resistentes al phishing existen para la recuperación de cuentas cuando las claves de acceso de respaldo no están disponibles?#

Existen cuatro factores de recuperación resistentes al phishing: claves de acceso de respaldo en dispositivos secundarios, llaves de seguridad de hardware (tokens físicos FIDO2), la API de Credenciales Digitales (un estándar del W3C aún emergente) y la verificación de documentos de identidad con detección de vida. Los OTP tradicionales por SMS y los enlaces mágicos por correo electrónico siguen siendo vulnerables al phishing, al intercambio de SIM y a los ataques de intermediario, lo que los hace insuficientes para flujos de recuperación seguros.

¿Por qué tuvo éxito la brecha de MGM Resorts incluso con una sólida autenticación principal implementada?#

La filtración de MGM Resorts en 2023 tuvo éxito al atacar el proceso de recuperación de cuentas a través de la ingeniería social en lugar del sistema de inicio de sesión principal, eludiendo por completo todas las medidas de seguridad principales. Esto demuestra que implementar claves de acceso sin asegurar los flujos de recuperación deja una puerta trasera crítica abierta, equivalente a instalar una puerta de acero mientras se dejan las ventanas abiertas.

¿Qué métricas de adopción deberían alcanzar los equipos antes de avanzar de opciones con claves de acceso a eliminar las contraseñas por completo?#

Antes de entrar en la fase 3, los equipos deben alcanzar un 60 % o más de usuarios activos con al menos una clave de acceso, un 80 % o más de inicios de sesión con claves de acceso en cuentas habilitadas para ello y una tasa de fracaso en la creación de claves de acceso inferior al 2 %. El éxito de la fase 3 se mide logrando que el 30 % o más de los usuarios aptos eliminen voluntariamente las contraseñas sin un aumento en las tasas de bloqueo de cuentas.