¿Se pueden hackear las Passkeys?

¿Se pueden hackear las Passkeys?#

Las Passkeys, por diseño, son significativamente más seguras que las contraseñas tradicionales y son mucho más difíciles de hackear debido a su naturaleza criptográfica. Sin embargo, como cualquier tecnología, no son completamente inmunes a ciertas vulnerabilidades.

---

Entendiendo la seguridad de las Passkeys#

Las Passkeys se basan en el estándar WebAuthn y utilizan criptografía de clave pública para autenticar a los usuarios sin depender de contraseñas tradicionales. Esto las hace inherentemente más seguras contra amenazas comunes como el phishing, credential stuffing y los ataques de fuerza bruta. He aquí por qué las passkeys se consideran seguras:

• Infraestructura de Clave Pública: Las Passkeys utilizan un par de claves pública-privada, donde la clave privada nunca sale del dispositivo del usuario, lo que hace casi imposible que los atacantes la intercepten.

• Eliminación de Contraseñas: Dado que las passkeys no dependen de secretos compartidos (como contraseñas), eliminan el riesgo de reutilización de credenciales, una vulnerabilidad común en los sistemas basados en contraseñas.

• Protección contra Phishing: Los ataques de phishing son ineficaces contra las passkeys porque una passkey siempre está vinculada al origen (ID del relying party) para el que fue creada.

• Sin Credential Stuffing: Las Passkeys son únicas para cada servicio y solo la clave pública se almacena en el servidor. Esto significa que, en caso de que un relying party sea comprometido, no tiene ningún impacto en otros relying parties.

• Sin Ataques de Fuerza Bruta: Las Passkeys se basan en criptografía asimétrica y no pueden ser adivinadas, lo que las hace inmunes a los ataques de fuerza bruta.

• Sin Ataques Man-in-the-Middle: Los ataques man-in-the-middle no son factibles con las passkeys porque la clave privada utilizada para la autenticación nunca sale del dispositivo del usuario, asegurando que no se transmita información sensible que pueda ser interceptada o alterada.

• SIN Ataques Replay: Los ataques replay no son posibles con las passkeys porque cada sesión de autenticación genera un desafío criptográfico único y de un solo uso que no puede ser reutilizado o replicado por un atacante.

Sin embargo, aunque las passkeys ofrecen una seguridad superior, no son completamente inmunes al hacking:

• Ataques a la Cadena de Suministro: Un dispositivo comprometido a nivel del fabricante podría ser manipulado para filtrar claves criptográficas.

• Ingeniería Social: Aunque el phishing es menos efectivo, los atacantes aún podrían usar técnicas de ingeniería social para engañar a los usuarios y que creen passkeys para sitios web maliciosos.

• Robo de Sesión: Las Passkeys hacen que la parte de autenticación sea segura y sencilla para los usuarios. Sin embargo, dependiendo de la implementación del relying party, la sesión aún podría ser robada y utilizada para fines maliciosos.

---

Acerca de Corbado

Corbado es la Passkey Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys →