Estn los das contados para contraseas como 123456? Mientras que Microsoft impulsa un mundo lejos de las contraseas, esto es lo que su organizacin debe considerar antes de desprenderse de ellas.

El concepto sin contrasea promete hacer la vida mucho ms fcil, tanto para los usuarios como para los departamentos de seguridad. Ofrece la tentadora perspectiva de reducir los costos administrativos, mejorar la productividad y reducir el riesgo ciberntico. Sin embargo, a pesar de estos llamativos beneficios, su implementacin tanto para las empresas del sector B2C (acrnimo de Business to consumer, en ingls) como para el sector B2B (Business to business) no ha sido tan fuerte como podra haberse esperado.

No obstante, cuando la compaa de software ms grande del mundo decide respaldar un nuevo paradigma tecnolgico, al menos hay que tomar nota. Hace bastante que Microsoft describi a las contraseas como inconvenientes, inseguras y costosas. En marzo de 2021, la compaa introdujo una solucin de autenticacin sin contrasea para clientes comerciales. Y, en septiembre, anunci que extendera el soporte para todos los usuarios. Por lo cual, se podra decir que la era de la autenticacin sin contrasea finalmente ha llegado.

Cuando las contraseas ya no son adecuadas para su propsito


Las contraseas han existido durante casi tanto tiempo como las computadoras y su desaparicin ha sido predicha muchas veces. Pero, sin embargo, todava siguen en uso, asegurando todo, desde aplicaciones corporativas hasta la banca en lnea, el correo electrnico y cuentas de comercio electrnico.
El problema es que ahora tenemos demasiadas de estas credenciales para administrar y recordar. Una estimacin sugiere que el 57% de los trabajadores estadounidenses han anotado contraseas corporativas en notas adhesivas, mientras que una encuesta realizada en 2021 por ESET Latinoamrica que el 49% de los usuarios anotan sus contraseas para no olvidarlas y 38% lo hace en un papel. Y el nmero crece constantemente a medida que expandimos nuestra huella digital. A modo de referencia, una estimacin de octubre de 2020 afirmaba que en promedio una persona utiliza alrededor de 100 contraseas, casi un 25% ms que antes de que comenzara la pandemia.

Desde una perspectiva de ciberseguridad, el desafo con las contraseas est bien documentado: Proporcionan a los atacantes un objetivo que es cada vez ms fcil de obtener mediante robo, ataques de phishing, o mediante fuerza bruta. Una vez que tienen las claves en su poder, los atacantes pueden hacerse pasar por usuarios legtimos, superando los mecanismos de seguridad perimetrales y permaneciendo ocultos dentro de las redes corporativas durante mucho tiempo. Actualmente, el tiempo necesario para identificar y contener una brecha de datos es de 287 das.

Los administradores de contraseas y mtodos como el inicio de sesin nico (en ingls, Single Sign-on) ofrecen alguna forma de contencin para estos desafos, almacenando y recordando claves complejas para cada cuenta, para que los usuarios no tengan que hacerlo. Sin embargo, todava no son universalmente populares entre los consumidores. El resultado? Los usuarios reutilizan en mltiples cuentas credenciales que son fciles de recordar, tanto para sus cuentas de uso personal como corporativas, quedando expuestos a ataques de fuerza bruta como el credential stuffing.

No se trata solo de riesgos de seguridad. Las contraseas requieren mucho tiempo y dinero para que los equipos de IT las administren, y puedan agregar una friccin adicional al recorrido del cliente. Las brechas pueden requerir reinicios masivos en grandes volmenes de cuentas, lo que puede interferir con la experiencia del usuario en entornos B2B y B2C.

Cmo la eliminacin de las contraseas puede beneficiar a su negocio

En este contexto, la autenticacin sin contrasea ofrece un gran salto. Mediante el uso de una aplicacin de autenticacin biomtrica, como el reconocimiento facial o una clave de seguridad, o un cdigo nico enviado por correo electrnico/mensaje de texto, las organizaciones pueden eliminar de un solo golpe los dolores de cabeza de seguridad y administracin asociados con las credenciales estticas.
Al adoptar este enfoque para operaciones B2B y B2C, las organizaciones pueden:

  • Mejorar la experiencia del usuario: Haciendo que los inicios de sesin sean ms fluidos y eliminando la necesidad de que los usuarios recuerden sus contraseas. Esto incluso podra impulsar mejores ventas si menos carritos de compras quedan abandonados debido a problemas de inicio de sesin.
  • Mejorar la seguridad: Si no hay contraseas para robar, las organizaciones pueden eliminar un vector clave que compromete la seguridad. Se afirma que, el ao pasado, las contraseas fueron las culpables del 84% de las brechas de datos. Al menos esto generar mayor dificultad a los atacantes para obtener lo que buscan. Y en el caso de los ataques de fuerza bruta, que actualmente se registran miles de millones cada ao, se convertirn en cosa del pasado.
  • Reduccin en los costos y el dao a la reputacin: al minimizar los daos financieros provocados por los ataques de ransomware y las brechas de datos. Tambin reducir los costos de administracin IT asociados con el restablecimiento de contraseas y la investigacin de incidentes. Un informe indica que podra costar hasta 150 euros (200 dlares) por el restablecimiento de cada contrasea y unas 30.000 horas en prdida de productividad por ao. Esto sin mencionar el tiempo extra invertido por los equipos de IT que podran emplearse en tareas de mayor valor.


Qu est frenando la autenticacin sin contrasea?


Sin embargo, sin contraseas no es sinnimo de panacea. An existen varias barreras para su implementacin, incluyendo:

  • La seguridad no est 100% asegurada: Los ataques de SIM swapping, por ejemplo, pueden ayudar a los atacantes a eludir los cdigos de acceso de un solo uso (OTP) enviados va mensaje de texto (SMS). Y, si los atacantes pueden acceder a dispositivos y mquinas, por ejemplo, va spyware, tambin podran interceptar estos cdigos de un solo uso.
  • La biometra no es infalible: Al autenticarse con un atributo fsico que el usuario no puede cambiar o restablecer, el riesgo aumenta si los atacantes encuentran una manera de comprometer el sistema. Ya se estn desarrollando tcnicas de aprendizaje automtico para socavar la tecnologa de reconocimiento de voz y de imagen.
  • Altos costos: Las PyMEs (pequeas y medianas empresas) con una gran base de usuarios o clientes pueden encontrar que implementar alguna tecnologa sin contrasea termina siendo bastante costoso, sin mencionar los potenciales costos involucrados en la emisin de dispositivos o tokens de reemplazo, si corresponde. Usar un proveedor establecido como Microsoft tiene ms sentido, aunque habr un costo de desarrollo interno asociado.
  • Reticencia del usuario: Hay una razn por la cual las contraseas han resistido a lo largo del tiempo, a pesar de sus principales deficiencias de seguridad: los usuarios saben instintivamente cmo usarlas. Superar el miedo a lo desconocido podra abordarse ms fcilmente en un entorno empresarial, donde los usuarios no tendrn otra opcin que seguir las reglas. Pero en un mundo B2C podra crear la suficiente friccin adicional para desmotivar a los clientes. Por lo tanto, se debe tener cuidado para que el proceso de inicio de sesin sea lo ms fluido e intuitivo posible.


A medida que la era post pandemia efectivamente comience, hay dos tendencias que sern las que den forma al futuro sin contrasea: un aumento en el uso de servicios en lnea para el consumidor y la aparicin del trabajo hbrido. Con el dispositivo mvil en el centro de ambos, parece tener sentido que cualquier estrategia corporativa sin contraseas comience aqu.

Phil Muncaster en
https://www.welivesecurity.com/la-es/2022/02/21/autenticacion-sin-contrasena-desafio-empresas/