Los expertos en seguridad coinciden en que una de las claves para garantizar la seguridad de nuestras cuentas es usar diferentes contraseñas fuertes para cada servicio. La teoría es sencilla, pero lo cierto es que, si miramos las contraseñas más usadas en 2018, veremos que en la práctica no lo es tanto. Recordar contraseñas es tedioso, más si son largas, con números y caracteres especiales, más aún si no usamos un gestor de contraseñas como LastPass o One Password.
Sería mucho más sencillo poder acceder a Facebook, Instagram, Twitter o Amazon o cualquier servicio usando nuestra huella dactilar o la cara, puesto que son más difíciles de hackear. Eso es posible en sistemas de escritorio (véase Microsoft Hello), pero en móviles es algo que todavía queda relegado a un par de aplicaciones, generalmente bancarias. Sin embargo, Android consiguió la certificación FIDO2 el pasado 25 de febrero, lo que significa que, desde ahora, este sistema de seguridad biométrica puede ser una realidad.
¿Qué es FIDO2?
Esquema del funcionamiento de FIDO2.
Empecemos por el principio. FIDO2 es un estándar de autenticación FIDO (Fast Identity Online) creado por la Alianza FIDO (entre los que están Google, Amazon, Mozilla, Alibaba o Facebook) compuesto por dos elementos: WebAuthn, creada por el consorcio W3C, y CTAP (Protocolo de Autenticación del Cliente). Reducido a palabras más llanas, es un sistema que permite al usuario "aprovechar dispositivos comunes para autenticarse fácilmente en los servicios en línea, tanto en entornos móviles como de escritorio".
Siendo algo más técnicos, WebAuthn define una API web estándar que se puede integrar en los navegadores y aplicaciones. CTAP, por su parte, se encarga de permitir que los dispositivos externos, como un móvil o una llave de seguridad física, accedan a esta API y puedan autenticar al usuario. De esa forma, si la app de Facebook fuese compatible con FIDO, cualquier persona podría usar el lector de huellas o el desbloqueo facial para iniciar sesión, olvidándose así de la contraseña.
En la experiencia real, el proceso de autenticación con FIDO es sencillo y funciona de la siguiente forma:
- Cuando el usuario accede a una web, se le pide que elija un autenticador FIDO (el móvil, o más bien, el lector de huellas del móvil, por ejemplo).
- El usuario desbloquea el dispositivo autenticador (el móvil) usando la huella, la cara o, si lo desea, un patrón de puntos o una contraseña.
- Se crea una par de claves privada/pública único para cada dispositivo, servicio y cuenta de usuario.
- La clave pública se manda al servicio y se vincula a la cuenta de usuario. La clave privada se queda almacenada en el dispositivo de forma local. Con esto, el registro estaría completo.
- Cuando el usuario quiera acceder a la web en cuestión, debe desbloquear el dispositivo autenticador usando la huella (o lo que haya elegido previamente).
- El dispositivo usa el identificador de la cuenta provisto por el servicio para seleccionar la clave correcta y acceder a la web.
- El dispositivo envía la clave cifrada al servicio, que la verifica con la clave pública que se envió previamente y, si coincide, inicia la sesión.
En cierto modo, es un sistema similar a los mensajes cifrados de extremo a extremo. Eso significa que, más allá de ser un sistema de acceso más sencillo, es también más seguro. Hackear una huella dactilar es difícil, sobre todo si el sensor es ultrasónico, al igual que hackear una cara, más todavía si el terminal tiene un sensor TrueDepth.
La llegada de FIDO2 a los móviles
El Samsung Galaxy S10+ ha sido el primer dispositivo en conseguir la certificación biométrica de FIDO gracias al lector de huellas ultrasónico.
Por el momento, el único sistema operativo móvil compatible con FIDO2 es Android. De acuerdo a la Alianza FIDO, todos los dispositivos con Android 7.0 Nougat o superior serán compatibles con este servicio. Los nuevos terminales lo serán por defecto y los antiguos lo serán después de una actualización de los Servicios de Google Play.
Gracias a esta certificación, los desarrolladores pueden añadir FIDO2 a sus apps para que el usuario no tenga que introducir una contraseña, sino que pueda usar el lector de huellas o el desbloqueo facial para acceder. Después de todo, como ya hemos dicho, la huella o la cara son el sistema de bloqueo más seguro y, en la práctica, en la práctica, cortaría casi de raíz los ataques de phising.
En cuanto a dispositivos, el Samsung Galaxy S10+, presentado recientemente, es el primer smartphone en conseguir la certificación biométrica FIDO gracias, principalmente, a su sensor de huellas ultrasónico. Esta certificación, en palabras de la Alianza, "valida que el nuevo sistema de reconocimiento de huellas dactilares en pantalla cumple con los estándares de la industria para la verificación del usuario y la detección de ataques de spoofing".
La pelota, ahora, está en el campo de los desarrolladores. Son estos los que ahora deben implementar este protocolo en sus aplicaciones para hacerlas compatibles con FIDO2 y ofrecer a los usuarios un método de autenticación más sencillo y más seguro. Hablamos de un estándar, lo que significa que es el mismo protocolo para todos los servicios. Es una llave maestra que no solo abre las puertas de todas las apps y webs, sino que supone un duro golpe a los hackers.
Ver 2 comentarios