Cómo utilizar passkeys en dispositivos ajenos, transferirlas de forma segura y proteger cuentas con métodos de respaldo
Introducción
El uso de passkeys está revolucionando la autenticación en línea, permitiendo a usuarios y empresas superar las limitaciones de las contraseñas tradicionales y reducir significativamente el riesgo de ataques de phishing, robo de credenciales y accesos no autorizados. Sin embargo, a medida que esta tecnología se adopta de forma masiva, surgen nuevas preguntas técnicas sobre cómo gestionar passkeys en escenarios complejos: acceso desde dispositivos ajenos, transferencia segura entre dispositivos y establecimiento de métodos de respaldo robustos para recuperar el acceso a cuentas protegidas.
Contexto del Incidente o Vulnerabilidad
La autenticación mediante passkeys —basada en el estándar FIDO2/WebAuthn— se apoya en claves criptográficas asimétricas, almacenadas de forma segura en el dispositivo del usuario (TPM, Secure Enclave, hardware dedicado o llavero seguro del sistema operativo). Esto plantea retos para la portabilidad: ¿cómo puede un usuario acceder a su cuenta desde un dispositivo de un tercero sin exponer su clave privada? ¿Qué ocurre si el dispositivo se pierde, es robado o sustituido? ¿Qué mecanismos están implementando los principales proveedores para mitigar estos riesgos y garantizar tanto la seguridad como la usabilidad?
Detalles Técnicos
Passkeys y FIDO2/WebAuthn
Las passkeys son pares de claves asimétricas generadas durante el registro en un servicio compatible con FIDO2/WebAuthn. La clave privada nunca abandona el dispositivo; sólo se transmite la clave pública al proveedor de servicios. La autenticación se realiza firmando un reto con la clave privada local, garantizando resistencia a ataques de phishing y replay.
Acceso desde Dispositivos Ajenos
Para permitir el inicio de sesión desde un dispositivo que no posee la passkey, la mayoría de los proveedores implementan la opción de “usar passkey desde otro dispositivo”. El proceso habitual es:
1. El usuario selecciona “Usar passkey desde otro dispositivo” en la pantalla de inicio de sesión.
2. Se muestra un código QR en el dispositivo ajeno.
3. El usuario escanea el código QR con su propio dispositivo (móvil, tablet, portátil) donde reside la passkey.
4. Se establece una conexión segura (generalmente Bluetooth LE o comunicación directa vía Internet, autenticada y cifrada).
5. La autenticación se completa en el dispositivo ajeno, pero la clave privada nunca se transfiere.
Transferencia de Passkeys entre Dispositivos
La sincronización de passkeys entre dispositivos es soportada por plataformas como Apple iCloud Keychain, Google Password Manager y Microsoft Authenticator, empleando cifrado de extremo a extremo (E2EE). El proceso puede implicar:
– Sincronización automática entre dispositivos bajo la misma cuenta.
– Exportación/importación manual, protegida por autenticación biométrica o PIN.
– En Android, desde Android 14, se soporta la transferencia de passkeys mediante Nearby Share, también cifrada.
IoC y TTP relevantes
Aunque aún no hay incidentes masivos explotando passkeys, los TTP identificados en MITRE ATT&CK serían relacionados con técnicas de ingeniería social para obtener acceso físico al dispositivo, manipulación de sistemas de sincronización o interceptación de la comunicación inicial de emparejamiento (QR/Bluetooth).
Impacto y Riesgos
La adopción de passkeys mitiga riesgos asociados a robo de contraseñas, credential stuffing y phishing. Sin embargo, emergen nuevos vectores de ataque:
– Compromiso de dispositivos con passkeys (malware, acceso físico, jailbreak/root).
– Robo o pérdida del dispositivo principal sin respaldo adecuado.
– Falsificación de interfaces de escaneo QR para phishing.
– Sincronización insegura o errores de implementación en la protección criptográfica.
Según datos de Gartner, en 2024 más del 60% de las aplicaciones empresariales soportarán autenticación sin contraseña, pero sólo el 30% de las empresas implementan políticas robustas de gestión de credenciales de recuperación.
Medidas de Mitigación y Recomendaciones
– Habilitar la sincronización segura de passkeys entre dispositivos, usando gestores con cifrado de extremo a extremo.
– Configurar métodos de autenticación de respaldo (OTP, tokens hardware FIDO2, autenticación por correo/SMS con protección antifraude).
– Monitorizar y auditar los registros de emparejamiento de dispositivos y accesos desde ubicaciones atípicas.
– Desactivar passkeys en dispositivos comprometidos mediante paneles de gestión centralizada.
– Actualizar políticas de seguridad para contemplar la gestión de dispositivos perdidos o robados.
– Revisar la implementación de QR/Bluetooth para evitar vulnerabilidades de “relay attack”.
Opinión de Expertos
Especialistas en autenticación como Yubico y miembros del FIDO Alliance destacan que “la clave para un despliegue seguro de passkeys reside en la gestión del ciclo de vida de los dispositivos y en la educación del usuario sobre los mecanismos de respaldo”. Desde el sector del pentesting, se insiste en la necesidad de pruebas regulares de las rutas de recuperación y de validación de la robustez de la sincronización E2EE.
Implicaciones para Empresas y Usuarios
Las empresas deben revisar sus procedimientos de onboarding y offboarding de empleados, integrando la gestión de passkeys y dispositivos de respaldo en los flujos de alta/baja. La adopción de passkeys puede suponer un reto de compatibilidad en entornos con dispositivos legacy o sistemas no actualizados. A nivel normativo, la protección de datos personales (clave pública asociada a identidades) debe cumplir con GDPR; la NIS2 exige la adopción de MFA robusto en infraestructuras críticas, para lo cual las passkeys constituyen una opción preferente.
Conclusiones
Las passkeys son una evolución clave hacia la autenticación sin contraseña, pero su despliegue seguro exige una gestión avanzada de dispositivos, métodos de recuperación y controles de acceso. Las organizaciones deben anticipar los escenarios de uso desde dispositivos ajenos, la transferencia segura y la pérdida de acceso, alineando sus políticas con los requisitos regulatorios y las mejores prácticas del sector.
(Fuente: www.kaspersky.com)