Microsoft ha dado un paso más en el camino hacia un internet sin contraseñas. La compañía ha anunciado este jueves que permitirá a los consumidores iniciar sesión en sus cuentas con Microsoft Authenticator (una aplicación), Windows Hello (un sistema que utiliza tecnología de reconocimiento de huellas dactilares, biométrica o facial para identificar de forma exclusiva a un usuario), una clave de seguridad o un código de verificación por SMS o correo electrónico. No es la primera compañía que lo hace. La diferencia con otros intentos de otras empresas es que, en este caso, el usuario que lo desee podrá prescindir por completo este sistema de autenticación .
“Las contraseñas han sido, hasta ahora el mal necesario”, asegura, Alfredo Reino, experto en ciberseguridad de la empresa Secureworks. “El sector está de acuerdo que el mecanismo de contraseñas ha dado su servicio, porque era lo único que se podía hacer. Pero ya está trayendo más problemas que soluciones”.
Eliminar la contraseña de las cuentas de Microsoft es un proceso relativamente sencillo. Como sucede en otros servicios, hay que descargar en el móvil la aplicación Microsoft Authenticator, y vincularla a la cuenta personal de Microsoft. Una vez hecho esto, hay que visitar account.microsoft.com y elegir las opciones de seguridad avanzadas y, a continuación, habilitar las cuentas sin contraseña en la sección de seguridad adicional. A continuación, aprobar el cambio desde la aplicación Authenticator y las contraseñas en Microsoft serán historia. Es un proceso parecido al que aplica Adobe. Un cambio que, por cierto, es reversible.
Reino es de la opinión de que efectivamente nos acercamos a un “internet sin contraseñas”. Al menos desde el punto de vista del usuario. “Probablemente nunca lleguemos a erradicarlas por completo. Estos mecanismos está bien para cosas en lo que son humanos los que interactúan, pero internet no es solo eso, hay muchísimos sistemas en las que no se pueden usar este tipo de sistemas de doble o triple factor (aquellos en los que la web envía, por ejemplo, un código SMS para confirmar la identidad).
Para demostrar que alguien es quien dice ser se usan tres vías tradicionales, explica Marta Beltrán, coordinadora del Grado en Ingeniería de la Ciberseguridad de la Universidad Rey Juan Carlos. “Algo que solo esa persona conoce (como un PIN o contraseña), algo que solo ella tiene, como una llave o tarjeta; o algo que solo ella es o hace, como una huella dactilar, su iris, los latidos del corazón, algún gesto o un patrón de movimiento. “Ninguno de estos métodos de autenticación está libre de problemas”, sentencia.
¿Cuál es el problema de las contraseñas? “No hay nada que sea 100% seguro”, advierte Reino. “Contra un atacante con recursos, conocimiento y motivación da igual el sistema que uses”. Los usuarios, por lo general, tendemos a tener problemas para memorizarlas, a no ser que empleemos un gestor de contraseñas, los cuales no suelen ser demasiado sencillos de usar. “Esto nos lleva a que la mayor parte de usuarios utilicen la misma clave para todos los servicios. Por ello, el procedimiento preferido de los ciberpiratas, una vez han logrado hackear una clave, es tratar de entrar en otros servicios usando la misma”.
La doble o triple autentificación puede ser una solución. “Desde el punto de vista de la seguridad, la mejora está en usar más de un factor de autenticación”, asegura Marta Beltrán. Es el llamado MFA (autenticación multifactor, es decir, el control de acceso informático en el que a un usuario se le concede acceso si presenta dos o más pruebas de que es quien dice ser). “Así, aunque uno se vea comprometido, no se produce una suplantación necesariamente”.
Microsoft, obviamente, no es la primera compañía que ha introducido este tipo de sistemas. Adobe cuenta con su propia app de autenticación para acceder a la Creative Cloud (la red de programas creativos de la compañía, como Photoshop, Illustrator, Premiere o After Effects, entre otros). Google, Apple y otros también están trabajando para reducir la dependencia de las contraseñas. Google Chrome permite iniciar sesión sin contraseña, y las actualizaciones de iOS 15 y macOS Monterey de Apple incluyen desde junio pasado la función Passkeys, una unción que tiene previsto ampliar a los iPhone.