Tanto las empresas como las organizaciones orientadas al consumidor deberían buscar alejarse de las contraseñas en favor de formas de autenticación más seguras y convenientes. Esta fue la opinión de los expertos en autenticación, hablando en Infosecurity Europe 2024. La gran cantidad de contraseñas que el usuario empresarial o consumidor promedio necesita recordar ahora causa dificultades prácticas, así como riesgos de seguridad. Siempre existe el peligro de que alguien “escriba una contraseña en una servilleta” o la guarde en un documento en línea. «La autenticación es uno de los pocos controles que dependen en gran medida del usuario», afirmó Raúl Zeppenfeldt, consultor principal de PA Consulting. «Es un defecto fundamental que no se puede controlar». Luego existe el riesgo de que incluso las contraseñas seguras puedan verse comprometidas; un riesgo que solo aumentará con tecnologías más nuevas como la computación cuántica. «Nadie puede recordar 40 contraseñas para las 40 aplicaciones que utiliza», afirmó Parul Khedwal, director de operaciones de seguridad de Trainline. «No se trata sólo de comodidad, sino también de seguridad». Pasar a la autenticación multifactor (MFA) mejorará las cosas, pero Khedwal sugirió que la autenticación sin contraseña es la mejor manera de mejorar la seguridad. Esta es una de las razones por las que se está adoptando en áreas sensibles, como las aplicaciones bancarias. “Es lo más importante. Los datos de las aplicaciones bancarias y los datos empresariales son los casos de uso clave para no utilizar contraseñas”, dijo. «La mayoría de las aplicaciones bancarias han eliminado las contraseñas». En cambio, utilizan biometría o autenticación sin contraseña. Consumo digital La necesidad de mejorar la autenticación se hace aún más urgente debido al mayor uso de sistemas digitales. Esto significa configurar y recordar más contraseñas. También significa más amenazas: los piratas informáticos criminales apuntan a la autenticación, y especialmente a las contraseñas débiles, como una forma de acceder a datos confidenciales o a sistemas empresariales. Según Zeppenfeldt, hasta el 90% de las infracciones se deben a violaciones de contraseñas. Eliminar las contraseñas reduce los riesgos y reduce los gastos generales de servicios como el restablecimiento de contraseñas. Zeppenfeldt ve un interés creciente en la confianza cero, así como en la autenticación sin contraseña. «El principio de confianza cero supone que las contraseñas serán adivinadas», dijo. En cambio, arquitecturas como la confianza cero funcionan con patrones de comportamiento, como que un usuario acceda a los sistemas a una hora inusual del día o fuera de su horario laboral normal. «Se está pasando de la seguridad estática a la seguridad adaptativa», explicó Zeppenfeldt. En Trainline, Khedwal está de acuerdo en que se necesita un nuevo enfoque. Incluso MFA es vulnerable a ataques avanzados, robando y luego volviendo a ejecutar tokens o contraseñas de un solo uso. «Se necesita una segunda capa para que sea más seguro en su conjunto», dijo. Prevenir la fatiga del usuario Alejarse de las contraseñas, e incluso de MFA, también puede ayudar a lidiar con la fatiga del usuario. Incluso los métodos de autenticación avanzados pueden convertirse en “memoria muscular”, advirtió Zeppenfeldt. Lea más de Infosecurity Europe: #Infosec2024: Cómo cambiar los comportamientos de seguridad más allá de la capacitación en concientización Los sistemas sin contraseña, incluso si no llegan a un entorno total de confianza cero, mejoran la comodidad y la seguridad. Los CISO deberían considerar enfoques como el modelo FIDO o las tecnologías web 3.0 como base para futuros sistemas de autenticación. Esto, añadió Zeppenfeldt, también debería proteger contra amenazas emergentes, incluida la inteligencia artificial y, potencialmente, los sistemas de computación cuántica que podrían, dentro de unos años, correr el riesgo de romper los métodos comunes de cifrado y autenticación.