¿Jaque mate a los hackers?, FIDO2 la opción para no depender de las contraseñas
¿Prefieres un resumen de este blog? ¡Da click en el botón de abajo y deja que ChatGPT te lo cuente! (también puedes probar con Perplexity)
Estamos entrando a la era passwordless y el futuro empieza a vislumbrar el siguiente nivel de las contraseñas aún más y FIDO2 viene haciendo ese trabajo durante años. Le cuento qué es FIDO2 y cómo este sistema será la herramienta que permitirá disminuir la dependencia excesiva a las contraseñas.
Vamos por el principio: ¿qué es FIDO2?
Las siglas FIDO2 significan ‘Fast Identity Online’, en español quiere decir identidad rápida en línea. FIDO2 es, en pocas palabras, un estándar de autenticación abierta, el cual representa un avance contundente en los mecanismos de accesos seguros y sin contraseña o passwordless.
Este sistema permite la autenticación de los usuarios sin que estos deban usar contraseñas tradicionales que usualmente carecen de niveles de seguridad altos o en su defecto que son fáciles de descifrar por herramientas IA para descifrar contraseñas.
Es, en resumen, una solución moderna que transforma la manera en que las organizaciones y los usuarios pueden acceder a los servicios digitales, por medio de la autenticación sin contraseñas, es resistente al phishing y además fácil de usar.
Aprenda: ¿cómo funciona FIDO2?
FIDO2 funciona por medio del uso de métodos criptográficos avanzados, para proteger las identidades de los usuarios. Esto proporciona una capa de protección robusta a través de varias plataformas.
Debe saber que la criptografía es la práctica de desarrollar y usar algoritmos codificados con el fin de proteger y ocultar la información que se envía o transmite. Por ello, la información enviada solo la podría leer el usuario que tiene el permiso y la capacidad de descifrarla, según IBM.
La finalidad de la criptografía es la de ocultar las comunicaciones para que aquellos usuarios no autorizados, no puedan consultarlas o acceder a estas.
FIDO2 usa la criptografía de calve pública para generar un par de claves de tipo criptográfico o claves de acceso. Las cuales están compuestas por: una clave pública que “permanece en poder del proveedor de servicios y una clave privada que reside en el dispositivo del usuario”, de acuerdo con IBM.
Ahora, es importante que sepa que las llaves de seguridad o tokens de hardware son dispositivos físicos (como un equipo, un teléfono móvil o una clave de seguridad dedicada) que transmiten información de autenticación directa a un servicio.
Entonces, la autenticación se daría así:
Se genera un par de claves criptográficas (proveedor y usuario)
El usuario inicia sesión en su cuenta y el proveedor de servicio envía un desafío al dispositivo.
El dispositivo solicita autenticación con PIN o biométrica.
Con la autenticación exitosa, el dispositivo del usuario usa la clave privada para firmar el dispositivo y lo envía al proveedor de servicios.
El proveedor de servicios usa la clave pública para verificar que se usó la clave privada correcta y otorga los accesos a la cuenta.
Este sistema FIDO2 fue desarrollado por FIDO Alliance, la coalición de líderes de la industria dedicada a eliminar la dependencia mundial de contraseñas.
Contenido relacionado: Phishing: ¿cómo evitar estafas a través de correo electrónico?
Descubra: ¿qué tipos de autenticadores FIDO2 existen?
Las verificaciones de acceso con FIDO2 se realizan usando un autenticador, que vendría siendo un dispositivo que es capaz de aceptar diversas formas de entrada del usuario, las cuales pueden ser un PIN, escaneo biométrico u otros gestos.
En ese sentido le voy a explicar sobre dos tipos de autenticadores FIDO2 que hemos identificado en ManageEngine, los autenticadores roaming y los de plataforma.
Autenticadores roaming o con dispositivos portátiles
Estos son los autenticadores que se valen de dispositivos portátiles (pueden ser en ocasiones tan grandes como una USB) que operan independientemente del dispositivo principal del usuario; esto implica que se deben conectar a los dispositivos a los que se desea ingresar. Algunos como las claves de seguridad portátiles como YubiKey y Google Titan.
La autenticación de los usuarios funciona al insertar una clave FIDO y al pulsar un botón o al proporcionar una entrada biométrica, como una huella digital, en el dispositivo móvil.
Estos son útiles debido a su versatilidad ya que permiten la autenticación de los usuarios en múltiples plataformas y dispositivos desde prácticamente cualquier lugar.
Autenticadores de plataforma
Cuando se habla de autenticadores de plataforma nos referimos a aquellos que están incorporados en los dispositivos del usuario (computadores de escritorio, portátiles, tabletas o teléfonos inteligentes).
Por ejemplo, un teléfono portátil que usa métodos biométricos de identificación bien sea facial o con huella dactilar. También aquellos que usan un PIN para desbloquear y firmar las credenciales criptográficas.
¿Cómo funciona? Bueno, el usuario debe iniciar la sesión en los servicios compatibles con FIDO haciendo uso del dispositivo y luego se verifica la identidad por medio del mismo dispositivo, bien sea con un escaneo biométrico o con un PIN.
Windows Hello, Apple Touch ID o Android Biometrics, son algunos ejemplos de autenticadores de plataforma.
Del teletrabajo a las finanzas: casos reales que marcan la diferencia con FIDO2
Imagine a una empresa con cientos de empleados trabajando desde casa. Usar contraseñas para conectarse a la VPN puede ser la pesadilla para el equipo de soporte técnico y un blanco fácil para los atacantes.
Las contraseñas pueden ser débiles, pueden perderse u olvidarse con facilidad o como ya le he contado, en otros blogs, pueden ser muy fáciles de hackear con programas de IA, si no cuentan con características súper fuertes en su elaboración.
Los empleados pueden autenticarse de forma segura usando datos biométricos o llaves de seguridad físicas, eliminando las contraseñas y reduciendo drásticamente el riesgo de robo de credenciales, si cuentan con un sistema FIDO2.
Ahora en el caso de una tienda online, en la que cada cliente nuevo representa una oportunidad pero también un riesgo, FIDO2 ayuda a simplificar la verificación de la identidad digital, haciendo que registrarse, comprar y pagar sea rápido, seguro y confiable. Esto no solo mejora la experiencia del cliente, sino que fortalece la confianza en la marca.
Si hablamos del sector bancario, la protección de cada transacción es vital. FIDO2 permite a los clientes autorizar pagos con solo una huella dactilar o por medio del reconocimiento facial. De esta manera se bloquean los intentos de fraude sin complicar el proceso. Así, la seguridad no interrumpe la experiencia, sino que la potencia.
Incluso los servicios gubernamentales se benefician. La declaración de impuestos o el acceso a la seguridad social ya no requieren recordar múltiples credenciales. Esto pues con un sistema FIDO2 se puede ofrecer un acceso seguro, intuitivo y alineado con las políticas de protección de datos más estrictas.
Contenido relacionado:Evite ser víctima de los ciberataques de la inteligencia rusa
Tome nota de las ventajas que ofrece FIDO2
FIDO2 desde su lanzamiento, en el 2013, por la FIDO Alliance, tuvo como objetivo reducir la dependencia de la autenticación basada en contraseñas. Y si bien los estándares apenas empezaron a ser reconocidos en el 2015 a nivel mundial hoy en día es usada por más de 15 mil millones de cuentas usuarios en todo el mundo.
Este sistema se usa no solo en dispositivos, también en sitios web y aplicaciones y es compatible con la mayoría de dispositivos, navegadores web, sistemas de servicio único (SSO), soluciones de gestión de identidades y accesos (IAM), servidores web y sistemas operativos como iOS, macOS, Android y Windows.
Sus ventajas son obvias, pero además pueden potenciarse con herramientas como Identity360. De esta forma, las organizaciones obtienen una solución de autenticación moderna, robusta y altamente personalizable.
Estas son algunas de las ventajas más destacadas de esta integración:
Inicio de sesión sin contraseñas: ya no es necesario recordar ni gestionar múltiples contraseñas. FIDO2 permite iniciar sesión usando biometría o llaves físicas, brindando una experiencia sin fricciones.
Hasta cinco claves por usuario: con Identity360Plus, los usuarios pueden registrar múltiples dispositivos, lo que les da flexibilidad para trabajar desde donde lo necesiten sin comprometer la seguridad.
Autenticadores a la medida: las organizaciones pueden elegir entre autenticadores de plataforma (integrados en el dispositivo) o roaming (llaves físicas), adaptándolos a distintos escenarios de uso.
Menor carga para TI: al eliminar problemas comunes como el restablecimiento de contraseñas o cuentas bloqueadas, se reducen los costos de soporte técnico y se mejora la eficiencia operativa.
Seguridad contra el phishing: la autenticación FIDO2 está vinculada al dispositivo del usuario y a la página web legítima, haciendo imposible que ataques como el phishing o man-in-the-middle tengan éxito.
Cumplimiento normativo asegurado: FIDO2 permite cumplir con regulaciones como el RGPD, al tiempo que ofrece una base sólida para las necesidades de autenticación del futuro.
FIDO2 representa un cambio de paradigma y el gran paso en la tecnificación en la autenticación de usuarios.
Es un mecanismo ahora extendido que permite proteger con mayores niveles de seguridad el trabajo remoto, por ejemplo, pero además de las transacciones bancarias, servicios digitales o accesos gubernamentales. Es una herramienta que va ganando cada vez más popularidad y que vale la pena conocer más.