Reino Unido recomienda abandonar las contraseñas tradicionales y adoptar claves de acceso biométricas

El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC, por sus siglas en inglés) anunció el jueves que está "renovando décadas de prácticas de seguridad" al recomendar las claves de acceso como la opción más segura para proteger cuentas en línea, según informó la BBC.

Las claves de acceso, conocidas como passkeys en inglés, son un método de autenticación que no requiere que los usuarios recuerden códigos o combinaciones de letras, números y símbolos. En su lugar, utilizan información digital única vinculada a la cuenta del usuario y específica para cada sitio o aplicación, empleando criptografía para realizar verificaciones a nivel del dispositivo.

El sistema funciona mediante lo que se denomina criptografía de clave pública. "En lugar de crear y recordar un secreto compartido, como una contraseña, tu dispositivo genera un par de claves seguras: una parte permanece en tu dispositivo y la otra reside en el servicio al que te estás conectando", explicó Daniel Card, del Instituto Colegiado de Tecnologías de la Información del Reino Unido (BCS), según la BBC.

El proceso generalmente implica realizar la misma acción que se usa para desbloquear el dispositivo, como utilizar sensores biométricos integrados para escanear la huella digital o el rostro, o ingresar un código PIN. Solo se intercambia la confirmación de que se completó la verificación, no la información biométrica en sí.

Jonathan Ellison, director de resiliencia nacional del NCSC, calificó las claves de acceso como "una alternativa fácil de usar que proporciona una mayor resiliencia general", según la BBC. Añadió que también podrían ayudar a aliviar "los dolores de cabeza que recordar contraseñas nos ha causado durante décadas".

La recomendación llega después de años de advertencias contra el uso de códigos simples fácilmente adivinables como "123456" o nombres de mascotas como contraseñas. En un contexto de crecientes violaciones de datos, el NCSC también ha repetido advertencias contra la reutilización de la misma contraseña para diferentes sitios.

Según el NCSC, las claves de acceso pueden ofrecer mayor protección porque son únicas para cada sitio web en el que se registran y no hay información secreta compartida. "Estas claves de seguridad físicas son totalmente resistentes a los intentos de phishing y no pueden ser interceptadas o robadas por atacantes remotos, lo que significa que solo el titular de la clave puede acceder a sus cuentas", afirmó Niall McConachie, director regional de la empresa de ciberseguridad Yubico, según la BBC.

La agencia británica reconoció que anteriormente no había recomendado cambiar a claves de acceso debido a "desafíos de implementación", como su adopción lenta y soporte irregular. Muchas plataformas todavía no permiten a los usuarios utilizar claves de acceso en lugar de o además de contraseñas.

Sin embargo, según Fido Alliance, una asociación industrial que promueve las claves de acceso como camino hacia un "futuro sin contraseñas", la tecnología ahora cuenta con soporte en todos los principales sistemas operativos, navegadores de internet y proveedores externos. Plataformas como Apple, Google y X ya permiten a las personas usarlas en lugar de contraseñas, según la BBC.

McConachie señaló que el creciente apoyo a las claves de acceso, incluida la adopción por parte del gobierno británico en servicios digitales el año pasado, demuestra que "esto no es solo una tendencia de nicho", según la BBC.

La advertencia sobre contraseñas complejas no es nueva. El Dr. Ian Levy, director técnico del NCSC, había señalado previamente que las contraseñas complicadas con letras mayúsculas, números y caracteres especiales son fácilmente olvidadas y "tontas", según informó el Daily Mail. Forzar a las personas a intentar recordar tal información para una variedad de sitios podría en realidad reducir la seguridad.

Levy explicó que considerando la vida privada y laboral de todos, los diferentes servicios que tienen y las diferentes contraseñas con complejidad promedio e intervalo de cambio promedio, "en términos generales es lo mismo que pedirle a alguien que recuerde un número diferente de 600 dígitos cada mes", según el Daily Mail. "Si alguien dice usa una contraseña de 12 caracteres con números, caracteres en mayúsculas y minúsculas y caracteres especiales, es tonto", añadió.

Ciaran Martin, jefe del NCSC, admitió que incluso él tiene dificultades para recordar sus contraseñas de internet, según el Daily Mail. En declaraciones al programa Today de BBC Radio 4, Martin dijo que pedir a las personas que cambien y recuerden frecuentemente contraseñas para todos los diferentes sitios que usan no es justo ni efectivo.

"Tenemos que hacer que sea más fácil para las personas operar de manera segura. Hicimos un trabajo donde calculamos qué estamos pidiendo a las personas que hagan. Calculamos que lo que estamos pidiendo a cada ciudadano británico que haga es memorizar un nuevo número de seiscientos dígitos cada mes. No creo que pudiera hacer eso, ninguna de mis mejores personas podría hacer eso", declaró Martin, según el Daily Mail.

Martin también mencionó que existen gestores de contraseñas y formas de evaluar la exposición en línea para determinar qué realmente importa.

A pesar del optimismo, algunos expertos advierten que las claves de acceso no son una solución perfecta. Card señaló que "no son una bala de plata", según la BBC. Perder el dispositivo o el acceso a él por completo también puede dificultar la configuración de claves de acceso.

No obstante, Card agregó que "pasar de contraseñas a gestores de contraseñas, autenticación multifactor basada en aplicaciones y ahora claves de acceso es un cambio significativo en la reducción del riesgo", según la BBC. "Por eso organizaciones como el NCSC las están respaldando, y por eso muchos en la comunidad de seguridad ya las están adoptando donde están disponibles".

El anuncio se produjo durante la apertura formal del centro de ciberseguridad, que fue inaugurado por la Reina. Gran Bretaña ha invertido casi 2.000 millones de libras esterlinas en el centro con el objetivo de convertir al país en el lugar más seguro para trabajar y vivir en línea, según el Daily Mail.

En un discurso durante la apertura del nuevo centro, el entonces canciller Philip Hammond advirtió que la creciente conectividad en línea de los productos es "una fuente de vulnerabilidad" y que las empresas deben "agudizar su enfoque", según el Daily Mail. "Aquellos que quieren explotar esa vulnerabilidad no han estado inactivos", añadió Hammond. "Los ataques cibernéticos que estamos viendo están aumentando en frecuencia, gravedad y sofisticación. En los primeros tres meses de su existencia, el NCSC ya se ha movilizado para responder a ataques en 188 ocasiones".

Martin también declaró que ha habido un "cambio significativo" en los ataques cibernéticos de Rusia contra Occidente, según el Daily Mail. "Eso ha tomado ampliamente dos formas en términos de interés y espionaje y servicios nacionales críticos. La era digital permite nuevas formas potencialmente más peligrosas de llevarlo a cabo y atacar infraestructura nacional crítica", afirmó.

Miles de ataques se lanzan cada año contra empresas, instituciones e individuos del Reino Unido, con la amenaza aumentando rápidamente a medida que se implementan nuevos dispositivos, según el Daily Mail.