Día Internacional de la Contraseña: ¿La biometría mató a la clave?

El ecosistema de la ciberdelincuencia avanza a pasos agigantados y la tecnología intenta seguirle, a veces sin mucho éxito. Si hace años las contraseñas eran una buena forma de mantener nuestros dispositivos y cuentas seguras, hoy el auge de los ciberataques ha demostrado que, por sí solas, no representan un mayor obstáculo para los atacantes.

En la mayor parte de los casos, esto no tiene que ver con la tecnología de la contraseña en sí, sino que en el uso que le dan los usuarios. Según un informe elaborado por Kaspersky,  el 20% de los españoles usan siempre la misma clave. Esto supone un problema, ya que los atacantes que roban contraseñas pueden venderlas en la dark web, afectando no solo a la cuenta atacada, sino que a todas las demás que posean la misma clave. 

De la misma forma, la Guardia Civil ha alertado sobre la debilidad de las contraseñas que los usuarios eligen para proteger sus cuentas y publicó el listado de las claves más repetidas. Desde 2014, las contraseñas ‘123456’ y ‘password’ se han mantenido como las favoritas de los usuarios.

La biometría llega para quedarse

Con la llegada de la identificación facial o con huella dactilar a los smartphones, la biometría como factor de autenticación ha registrado una evolución significativa, lo que, sumado a un auge del teletrabajo y a la necesidad de las empresas de proteger sus sistemas en cualquier lugar, ha llevado a las organizaciones a invertir cada vez más en soluciones biométricas de seguridad, según el informe European Human Augmentation Forecast, 2021-2026, elaborado por la firma de análisis IDC.

De hecho, el estudio prevé que esta inversión aumente año a año a un ritmo del 20% y llegue a los 6.100 millones de dólares para 2026. Además, estima que en 2023, un 59% de las empresas europeas utilizarán soluciones biométricas. 

Siguiendo esta tendencia, Google anunció este jueves que acabará con las contraseñas para ingresar a sus cuentas y que desde hoy se puede acceder a ellas a través del nuevo estándar de seguridad que utiliza los sensores biométricos de los dispositivos, Passkey. Así, el desbloqueo se puede realizar mediante huella digital, reconocimiento facial o un PIN local.

Con este tipo de tecnología se reduce el riesgo de ser víctima de un ataque de phishing o SIM swapping, además deja de lado uno de los grandes problemas de las contraseñas para los usuarios: recordarlas. 

Pero si quieres seguir usando contraseñas…

Como no todos los dispositivos tienen sensores biométricos y hay aplicaciones que aún requieren contraseñas, Kaspersky entrega una serie de recomendaciones para fortalecer la ciberseguridad, entre las que se encuentran dejar de lado la clave de toda la vida ‘1234’ e inventar una que tenga un mínimo de 10 a 12 caracteres; usar gestores de contraseñas; usar diferentes claves para las distintas cuentas y cambiarlas periódicamente; aplicar la autenticación multifactor (que requiere de dos o más formas de verificación de identidad); y asegurarse, a través de sitios web dedicados a ello, de que las contraseñas no hayan sido comprometidas. 

Por su parte, ESET agrega unos cuantos consejos más para los usuarios, como usar palabras que compongan frases largas (son más difíciles de hackear, pero fáciles de recordar para las personas) y utilizar una gran variedad de caracteres.

También hacen recomendaciones para las empresas: establecer un período de caducidad breve para las contraseñas iniciales (cuando hay un nuevo empleado, por ejemplo), pero no tener fecha de caducidad para las que ya están activas (a las personas les da pereza cambiar sus claves tan seguido y recurren a contraseñas simples); no utilizar la autenticación en base al conocimiento, como el nombre de tu madre u otro tipo de preguntas, ya que le entrega al ciberdelincuente más información; o incluir una lista negra de contraseñas comunes que sean inaceptables.