AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Consejos

Facebook incorpora soporte para passkeys: un avance clave en la autenticación sin contraseñas

admin

Introducción

Meta Platforms ha anunciado la inminente integración de passkeys como método de autenticación en Facebook, marcando un paso relevante hacia la eliminación de contraseñas tradicionales. Esta decisión, alineada con la tendencia global de adoptar estándares FIDO2/WebAuthn, posiciona a Facebook como uno de los primeros gigantes tecnológicos en implementar esta tecnología a gran escala para sus más de 2.900 millones de usuarios activos mensuales. El soporte estará disponible inicialmente en dispositivos móviles Android e iOS, reforzando la apuesta por una seguridad más robusta y una experiencia de usuario más fluida.

Contexto del Incidente o Vulnerabilidad

La dependencia histórica de contraseñas ha sido, durante años, uno de los principales vectores de ataque en ciberseguridad. Phishing, ataques de fuerza bruta, credential stuffing y reutilización de credenciales han demostrado la fragilidad de los sistemas basados únicamente en contraseñas. Según el informe de Verizon DBIR 2023, el 80% de las brechas de seguridad están relacionadas con credenciales comprometidas. La adopción de tecnologías como passkeys responde a la urgente necesidad de mecanismos de autenticación resistentes a la suplantación y al robo de credenciales.

Detalles Técnicos

Passkeys es un estándar basado en FIDO2 y WebAuthn, diseñado para sustituir contraseñas por autenticación asimétrica basada en criptografía de clave pública. Al registrarse, el dispositivo genera un par de claves: la privada, almacenada localmente y protegida por el enclave seguro del hardware, y la pública, que se registra en el servidor de Facebook.

Los vectores de ataque tradicionales, como el phishing o el man-in-the-middle, resultan ineficaces, ya que la clave privada nunca abandona el dispositivo y no puede ser interceptada ni reutilizada. Facebook implementará la autenticación mediante biometría (huella dactilar, reconocimiento facial) o PIN local, facilitando el proceso al usuario y eliminando la gestión manual de contraseñas.

Los TTPs (Tactics, Techniques, and Procedures) asociados, como el credential harvesting (MITRE ATT&CK T1110) y el phishing (T1566), ven limitada su eficacia debido a la naturaleza de las passkeys. De momento, no se han reportado exploits funcionales capaces de sortear la protección de este estándar en los sistemas operativos móviles modernos.

Impacto y Riesgos

La inclusión de passkeys en Facebook supone una reducción significativa del riesgo asociado a la gestión de contraseñas. Sin embargo, los riesgos residuales se trasladan al compromiso del dispositivo: malware avanzado, explotación de vulnerabilidades en el TEE (Trusted Execution Environment) o ataques físicos podrían permitir el acceso a la clave privada, aunque la explotación masiva resulta mucho más compleja.

La migración a passkeys puede suponer retos en la interoperabilidad, especialmente en entornos corporativos donde el acceso multi-dispositivo es esencial. Además, la dependencia de proveedores de hardware y sistemas operativos actualizados plantea desafíos para organizaciones con parques tecnológicos heterogéneos.

Medidas de Mitigación y Recomendaciones

Para las organizaciones y administradores de sistemas, la recomendación es clara: promover la adopción de passkeys en combinación con políticas de seguridad de endpoint robustas. Es fundamental mantener actualizados los sistemas operativos móviles y restringir la instalación de aplicaciones no verificadas para minimizar la superficie de ataque.

A nivel de integración, Facebook aprovechará la API nativa de WebAuthn, lo que facilita la interoperabilidad con gestores de identidades empresariales compatibles con FIDO2, como Azure AD o Okta. Se recomienda revisar las políticas de acceso y asegurarse de que los usuarios entienden el funcionamiento y las ventajas de las passkeys frente a las contraseñas tradicionales.

Opinión de Expertos

Expertos en ciberseguridad, como Troy Hunt (creador de Have I Been Pwned), han señalado que la adopción de passkeys “marca el principio del fin de las contraseñas tradicionales, eliminando el eslabón más débil de la cadena de autenticación”. Desde la ENISA y el Centro Criptológico Nacional (CCN-CERT), se recomienda el uso de autenticación multifactor, donde las passkeys pueden integrarse como un factor primario o secundario, especialmente en cumplimiento con el RGPD y las directivas NIS2.

Implicaciones para Empresas y Usuarios

Para las empresas, la transición hacia passkeys representa una oportunidad para reducir el coste asociado a la gestión de contraseñas (reset, soporte técnico, formación) y mejorar la postura de seguridad ante amenazas avanzadas. El cumplimiento normativo, especialmente en sectores regulados, se ve facilitado por el uso de autenticación fuerte y resistente al phishing.

Los usuarios, por su parte, experimentarán una reducción drástica en incidentes de bloqueo de cuentas, phishing y robo de identidad. Sin embargo, deberán adaptarse a nuevos flujos de autenticación y garantizar la seguridad física de sus dispositivos.

Conclusiones

La integración de passkeys en Facebook es un hito en la evolución de la autenticación digital. Se espera que esta tendencia se extienda progresivamente a otros servicios de Meta y plataformas tecnológicas globales, consolidando el abandono definitivo de las contraseñas. Para los profesionales de ciberseguridad, la adopción temprana y la formación continua serán claves para maximizar los beneficios y minimizar los riesgos asociados a esta transición.

(Fuente: feeds.feedburner.com)