¿Qué es una autenticación sin contraseña?

Podemos despedirnos de las contraseñas. Hay muchas personas que ya se han acostumbrado a ser autenticadas sin tener que dar una contraseña, por ejemplo, mediante la identificación por Face ID en el sistema iOS o mediante el escaneado de la huella dactilar en Android, y cada vez más las organizaciones se pasan a la autenticación sin contraseña, un método de demostrar la identidad del usuario online utilizando un factor distinto a la contraseña con el objetivo de mejorar la seguridad.

Observemos más de cerca la autenticación sin contraseña: veamos por qué es más segura y mucho más cómoda para los usuarios finales.

El problema de las contraseñas

Las contraseñas plantean muchas cuestiones, tanto en términos de la seguridad de su uso como en la repercusión que tienen sobre la experiencia del usuario final.

El principal problema es también el más obvio y es algo de lo que todos nos hemos sentido culpables alguna vez: olvidarnos de la contraseña. Y no es de extrañar: una persona tiene, de media, la abrumadora cifra de 80 contraseñas distintas.

Recordarlas todas se ha convertido en un complicado test de memoria y, además, no ayuda mucho el hecho de que probablemente cada cuenta tiene unos requisitos distintos de complejidad en la creación de la contraseña. Por lo tanto, la experiencia del usuario final queda negativamente afectada si no es capaz de recordar cuál es la correcta.

El enorme número de contraseñas que se supone que debe recordar el usuario medio de internet nos lleva inevitablemente al siguiente problema: el “reciclaje” de contraseñas. Se calcula que 2 de cada 3 personas utilizan la misma contraseña para varias cuentas para ayudarse a recordarlas.

La reutilización de contraseñas plantea un problema grave de seguridad para los usuarios. Algunas violaciones importantes de datos, como la reciente de Easyjet en el Reino Unido, en la que se pusieron en riesgo los datos de 9 millones de personas, suelen conllevar que haya agentes criminales que, a través de la denominada "internet oscura", se adueñen de los datos legítimos de acceso a cuentas.

Esto, a su vez, comporta ataques de "credential stuffing" o relleno de credenciales, en los que los delincuentes se aprovechan de la tendencia de los usuarios a reutilizar las contraseñas cogiendo grandes cantidades de datos revelados e introduciéndolos en masa en distintos sitios web para descubrir si pueden acceder a alguna otra cuenta utilizando las mismas contraseñas legítimas.

Hay que destacar que, puesto que este método pueden obtenerse grandes beneficios, eso implica que los culpables suelan ser organizaciones criminales ya asentadas que utilizan tecnología de "machine learning" de alta gama.

Además de todo esto, utilizar las contraseñas como método de autenticación, irónicamente, puede dificultar la seguridad del usuario final.

Según un informe de la empresa de telecomunicaciones Verizon, el 81% de los ataques de piratas informáticos se producen como resultado de contraseñas robadas o reutilizadas o bien demasiado sencillas.

Los datos de las contraseñas de inicio de sesión son un objetivo claro de métodos de fraude online como el "phishing" o los ataques tipo "man-in-the-middle" y "rat-in-the-browser" (RitB), en los que los "fraudsters" dirigen a los usuarios a páginas de navegación falsas que parecen oficiales, para animarles a introducir sus contraseñas. Luego roban esos datos y pueden acceder a las cuentas de los usuarios.

Autenticación sin contraseña

Puesto que resulta fácil acceder a las contraseñas o interceptarlas, las organizaciones han estado buscando otros métodos de autenticación que las sustituyan. Entre los distintos ejemplos de autenticación sin contraseña, se incluyen los siguientes:

• Correo electrónico: se verifica al usuario mediante un "magic link" (o en algunos casos un código de un solo uso). Un "magic link" o enlace mágico es cuando se crea código exclusivo para el usuario y se le envía por correo electrónico. El usuario accede a su correo y hace clic en el enlace y, en ese momento, el servicio al que están intentando acceder identifica el código y lo cambia por un código activo, y les da acceso.
• SMS: se envía al usuario un "one-time passcode" o código de un solo uso mediante un SMS a su número de teléfono. Luego el usuario introduce el código y obtiene el acceso. 
• Autenticación multifactor: se trata de una combinación de factores que el usuario proporciona, como los PIN, las preguntas de seguridad o la información de contacto.
• Biometría: puede ser desde el escaneo de la huella dactilar o el reconocimiento facial para establecer que un usuario es quien dice ser, hasta la biometría del comportamiento.

Los beneficios de no usar contraseña

• Autenticar a los usuarios sin usar una contraseña les protege de todos los ataques que se basan en acceder a esa contraseña. Eso significa que se reducirían los ataques del tipo "man-in-the-middle" o RitB o el "phishing".
• Al eliminar las contraseñas y no poder sufrir "phishing", robos o reutilizaciones, los administradores de la organización a la que intenta acceder el usuario pueden asumir un mayor control sobre su seguridad.
• La mayor ventaja de la autenticación sin contraseña tiene que ser el efecto positivo que causa sobre la experiencia general del usuario final. Los usuarios ya no tendrán que recordar varias contraseñas distintas o arriesgarse a que se ponga en peligro su seguridad por el hecho de que sean reutilizadas.
  
  

La biometría del comportamiento: el método más seguro de autenticación sin contraseñas

Los problemas con los ataques fraudulentos continúan aunque la autenticación se realice sin contraseña. Se sabe, por ejemplo, que se ha intentado atacar la autenticación por SMS en multitud de ocasiones.

Además, los usuarios todavía puede ser el objetivo de ataques con RitB, especialmente si reutilizan sus contraseñas en distintas cuentas, puesto que los "fraudsters" pueden crear páginas de navegación falsas que parezcan oficiales en las que se anima a los usuarios a introducir su código de un solo uso.

En cuanto a la biometría física, pese a que es una forma más eficiente y precisa de autenticar a los usuarios mediante su dispositivo, esta información también puede, en cierta medida, ser recogida, reproducida y reutilizada.

Sin embargo, la biometría del comportamiento es absolutamente única de cada usuario y, a la vez, resulta imposible de imitar. Entre los parámetros que observa la biometría del comportamiento, se incluyen la forma habitual en la que un usuario teclea o mueve el ratón o incluso el ángulo único con el que un usuario suele sostener su teléfono.

El propio intento de reproducir el patrón único de comportamiento del usuario ya sería considerado sospechoso por una herramienta de análisis de la biometría del comportamiento.

La biometría del comportamiento es, por tanto, el método más preciso y completo para autenticar a un usuario a través de su dispositivo, verificando si el usuario es quien dice ser y que no se ha manipulado o robado su cuenta.

Y autenticar a los usuarios mediante su biometría del comportamiento puede hacerse de forma invisible y continua desde un segundo plano y durante toda la sesión del usuario, sin añadir ninguna fricción a su viaje y conservando esa valiosa ventaja que ofrece la autenticación sin contraseña: una experiencia sin fricciones y más positiva para el usuario final.