La autenticación basada en contraseñas queda obsoleta: claves de acceso y su alineación con ISO/IEC 27001
Introducción
La autenticación tradicional basada en contraseñas está demostrando ser insuficiente ante el panorama actual de amenazas y las crecientes exigencias regulatorias. A medida que los ciberataques evolucionan y el coste de las brechas de seguridad se incrementa —alcanzando cifras medias de 4,45 millones de dólares según el informe de IBM de 2023—, empresas de todo el mundo buscan alternativas más seguras, entre las que destacan los métodos passwordless, especialmente las passkeys. Este cambio no solo responde a necesidades operativas, sino que también es una exigencia para cumplir con marcos normativos como ISO/IEC 27001:2022 y su Anexo A, que orienta sobre controles de seguridad de la información.
Contexto del Incidente o Vulnerabilidad
Las contraseñas tradicionales presentan serias debilidades: reutilizaciones, phishing, ataques de fuerza bruta y exposición por brechas. En el último año, el 80% de los incidentes relacionados con compromisos de cuentas tuvieron como vector inicial la explotación de credenciales débiles o robadas (Verizon DBIR 2023). El auge del trabajo remoto y la nube ha incrementado la superficie de ataque, forzando a las organizaciones a replantear sus mecanismos de autenticación.
ISO/IEC 27001:2022, ampliamente adoptada en sectores regulados y críticos, refuerza la necesidad de proteger el acceso a la información, haciendo hincapié en los controles del Anexo A (como A.9.2.2 “Gestión de credenciales de usuario” y A.9.4.2 “Seguridad de la autenticación de usuarios”). En este contexto, las passkeys —basadas en estándares FIDO2/WebAuthn— emergen como una solución alineada con los requisitos de robustez y gestión segura de credenciales.
Detalles Técnicos
Las passkeys sustituyen la contraseña estática por claves criptográficas asimétricas. El proceso se basa en la generación de un par de claves público-privada en el dispositivo del usuario. La clave privada nunca abandona el dispositivo, mientras que la pública se almacena en el servidor de autenticación. El protocolo WebAuthn, estándar del W3C y FIDO Alliance, es el principal framework utilizado, y se integra nativamente en sistemas operativos modernos (Windows Hello, macOS, Android) y navegadores principales.
Los vectores de ataque tradicionales, como el phishing o los ataques de relleno de credenciales, quedan anulados, ya que el proceso de autenticación requiere la posesión física del dispositivo y, habitualmente, un segundo factor biométrico o PIN local. Según MITRE ATT&CK, las técnicas asociadas a robo de credenciales (T1555, T1110) y phishing (T1566) se mitigan significativamente.
No obstante, existen riesgos residuales: ataques contra el almacenamiento seguro del dispositivo, ingeniería social focalizada o exploits sobre implementaciones vulnerables de WebAuthn. Se recomienda monitorización continua de indicadores de compromiso (IoC), como intentos anómalos de registro o uso de passkeys en endpoints no autorizados.
Impacto y Riesgos
La transición a autenticación passwordless reduce la superficie de ataque y la probabilidad de éxito de campañas automatizadas de credential stuffing o spear-phishing. Sin embargo, también introduce desafíos técnicos y de gestión: compatibilidad con aplicaciones heredadas, gestión de dispositivos perdidos o comprometidos, y necesidad de formación para usuarios y personal de TI.
Un fallo en la implementación —como la mala protección de la clave privada en el dispositivo o la ausencia de políticas de recuperación robustas— puede derivar en la denegación de acceso legítimo o, en casos extremos, en la suplantación si se compromete el endpoint.
Desde una perspectiva de cumplimiento, adoptar passkeys y eliminar contraseñas simplifica cumplir controles como los de ISO/IEC 27001 Anexo A, NIS2 (Directiva 2022/2555 de la UE), o RGPD (artículo 32 sobre seguridad del tratamiento).
Medidas de Mitigación y Recomendaciones
– Realizar un análisis de riesgos específico para la transición a autenticación passwordless, identificando aplicaciones críticas y flujos de acceso sensibles.
– Adoptar passkeys soportadas por dispositivos certificados FIDO2 y plataformas con almacenamiento seguro (TPM, Secure Enclave).
– Implementar gestión centralizada de acceso, idealmente integrada con soluciones IAM/CIAM compatibles con passwordless.
– Definir políticas claras de recuperación y reemplazo de passkeys, minimizando el riesgo de lockout o ingeniería social.
– Monitorizar logs de autenticación y aplicar análisis de comportamiento para detectar actividades anómalas.
– Mantener formación continua para usuarios y administración sobre buenas prácticas y riesgos emergentes.
Opinión de Expertos
Especialistas en normativas de seguridad y CISO consultados subrayan que el passwordless no es solo una tendencia, sino una necesidad estratégica para reducir el vector de ataque más explotado. “El cumplimiento de ISO 27001 Anexo A se ve facilitado por la robustez inherente de las passkeys, siempre que la implementación sea rigurosa”, afirma Javier Ortega, experto en auditoría TIC. Sin embargo, recalcan la importancia de diseñar procesos de recuperación seguros y garantizar la interoperabilidad con sistemas legacy.
Implicaciones para Empresas y Usuarios
Las corporaciones que migren a passkeys verán reducido su riesgo operativo y sus costes asociados a gestión de contraseñas (soporte, resets, etc.), además de facilitar la auditoría y el cumplimiento normativo. Sin embargo, deben preparar una estrategia de transición gradual, evaluando compatibilidades y actualizando sus políticas de acceso. Para los usuarios, la experiencia mejora sustancialmente, eliminando la fricción de recordar múltiples contraseñas y aumentando la seguridad personal.
Conclusiones
La adopción de passkeys y la autenticación passwordless representa un avance clave para mitigar riesgos, cumplir requisitos regulatorios como ISO/IEC 27001 y NIS2, y robustecer la postura de ciberseguridad. La correcta alineación de estos sistemas con los controles del Anexo A, junto a una gestión adecuada de riesgos y recuperación, es esencial para una implantación exitosa y segura.
(Fuente: www.bleepingcomputer.com)