AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

### Empresas líderes adoptan passkeys: sistemas compatibles y mejores prácticas de implementación

admin

#### Introducción

El ecosistema corporativo está experimentando una transformación significativa en materia de autenticación, motivada por la necesidad de reducir el riesgo de ataques de phishing y mejorar la experiencia de usuario. En este contexto, los passkeys —claves de acceso sin contraseña basadas en estándares FIDO2/WebAuthn— se están consolidando como el nuevo estándar para la autenticación segura. En este artículo, analizamos qué sistemas y aplicaciones empresariales soportan passkeys en 2024, cómo implementarlos correctamente y qué consideraciones técnicas deben tener en cuenta los responsables de seguridad y administradores de TI.

#### Contexto del Incidente o Vulnerabilidad

El uso extendido de contraseñas conlleva riesgos documentados como reutilización de credenciales, ataques de fuerza bruta y phishing. Según el informe Verizon DBIR 2023, el 74% de las brechas de seguridad involucran el factor humano, y el robo de credenciales sigue siendo vector principal. Los passkeys eliminan la contraseña tradicional, sustituyéndola por comprobaciones criptográficas de clave pública/privada, mitigando ataques como credential stuffing y phishing avanzado.

#### Detalles Técnicos

##### Sistemas y aplicaciones con soporte de passkeys

A junio de 2024, los principales sistemas y plataformas empresariales que soportan passkeys son:

– **Microsoft Entra ID (Azure AD):** Permite el registro y uso de passkeys FIDO2 en dispositivos Windows 10/11 y acceso web a Microsoft 365, SharePoint, Teams y otros servicios integrados.
– **Google Workspace:** Soporta passkeys como método de autenticación para Google Account, Gmail, Drive y resto de apps de la suite, tanto en navegadores modernos como en dispositivos móviles (Android, iOS).
– **Apple Business Manager y Apple ID:** Permite login con passkeys en dispositivos Apple y servicios iCloud, Safari y aplicaciones compatibles.
– **Okta y otras soluciones IAM:** Okta, Ping Identity y ForgeRock han integrado passkeys en sus portales de Single Sign-On (SSO), permitiendo su uso como segundo o primer factor.
– **Salesforce:** Desde la versión Spring ‘24, Salesforce permite a los usuarios autenticarse con passkeys mediante WebAuthn.
– **GitHub, Dropbox, 1Password y otras aplicaciones SaaS:** Todas ofrecen soporte para passkeys en login web y apps móviles.

##### Implementación técnica de passkeys

– **Estándares:** Basados en FIDO2 (WebAuthn + CTAP2), compatibles con navegadores modernos (Chrome, Edge, Firefox, Safari).
– **Dispositivos:** Uso de hardware (YubiKey, Feitian, SoloKey), autenticadores integrados (Windows Hello, Touch ID, Face ID) y móviles (Android, iOS).
– **Almacenamiento:** Las passkeys pueden sincronizarse de forma segura a través del cloud (Google, Apple, Microsoft) o almacenarse localmente en el dispositivo.
– **Frameworks y APIs:** WebAuthn API para integración web; SDKs de FIDO Alliance para aplicaciones nativas.

##### TTP MITRE ATT&CK

– **Prevención de ataques de phishing (T1566) y robo de credenciales (T1110).**
– **Dificulta el movimiento lateral** al eliminar credenciales reutilizables.

##### IoC y consideraciones de seguridad

– Monitorización de intentos de registro no autorizados de passkeys.
– Auditoría de logs de autenticación para detectar registros y accesos anómalos.

#### Impacto y Riesgos

La implantación de passkeys reduce drásticamente el riesgo de ataques basados en credenciales. Sin embargo, existen riesgos asociados:

– **Pérdida de acceso:** Usuarios que pierden todos sus dispositivos autenticadores pueden quedar bloqueados si no se implementan procesos de recuperación robustos.
– **Sincronización y control:** El almacenamiento cloud de passkeys puede suponer un vector si la sincronización entre dispositivos no está correctamente securizada.
– **Compatibilidad:** Algunas aplicaciones legacy o sistemas internos pueden no soportar aún WebAuthn, exigiendo coexistencia temporal con métodos tradicionales.

#### Medidas de Mitigación y Recomendaciones

– **Política de autenticación adaptativa:** Habilitar passkeys como primer factor y mantener alternativas seguras (MFA) para contingencias.
– **Gestión del ciclo de vida:** Implementar procedimientos para revocación, recuperación y registro de nuevos dispositivos.
– **Formación y concienciación:** Instruir a los usuarios sobre el registro y uso seguro de passkeys.
– **Auditoría continua:** Revisar logs de autenticación y accesos para detectar anomalías.
– **Cumplimiento normativo:** Garantizar que el almacenamiento y gestión de claves cumplen con GDPR, NIS2 y normativas sectoriales.

#### Opinión de Expertos

Andréa Dufour, CISO de una multinacional tecnológica, afirma: *“La adopción de passkeys supone un avance significativo en la estrategia Zero Trust, eliminando la dependencia de contraseñas y reduciendo la superficie de ataque. No obstante, la clave está en una implementación gradual y en la gestión eficaz de excepciones y recuperación de cuentas”*.

Por su parte, el analista de amenazas de Kaspersky, Dmitry Galov, advierte: *“Aunque los passkeys dificultan seriamente el phishing, los atacantes están innovando en técnicas para secuestrar sesiones autenticadas o explotar la sincronización cloud. La vigilancia debe mantenerse”*.

#### Implicaciones para Empresas y Usuarios

– **Empresas:** Mejoran su postura de seguridad, reducen costes asociados a gestión de contraseñas y soporte, y cumplen requisitos regulatorios de autenticación fuerte (PSD2, NIS2).
– **Usuarios finales:** Experimentan autenticación más rápida y sencilla, pero deben responsabilizarse de la gestión de sus dispositivos de acceso.
– **Mercado:** Se prevé que para 2025 más del 60% de las grandes compañías europeas tengan implementados passkeys, favoreciendo la interoperabilidad y la reducción de incidentes de seguridad por credenciales comprometidas.

#### Conclusiones

La adopción de passkeys en el entorno corporativo está acelerándose, impulsada por el soporte de los principales proveedores de identidad y aplicaciones SaaS. Su implementación adecuada requiere planificación, actualización de políticas y una estrategia de gestión del ciclo de vida de autenticadores. Constituyen un paso crucial hacia la erradicación de las contraseñas, pero exigen atención continua a la evolución de las tácticas de los atacantes y a los procesos de recuperación.

(Fuente: www.kaspersky.com)