Cuando la mayor empresa de software del mundo decide apoyar un nuevo enfoque tecnológico, es hora de prestar atención. Microsoft ha descrito las contraseñas como "incómodas, inseguras y caras" y ahora se está moviendo rápidamente para consolidar nuevos métodos de autenticación. Por fin ha llegado la era de la autenticación sin contraseña.

De hecho, nuestra vida en Internet gira en torno a las contraseñas. Son la puerta de entrada a nuestras redes sociales, correos electrónicos, Netflix, a las compras en sitios de comercio electrónico, la comprobación de saldos bancarios y el pago de facturas y otros servicios digitales. Hoy en día, accedemos de forma segura a nuestros objetos de valor en Internet mediante combinaciones aleatorias de letras, números y caracteres especiales. 

Al menos, debería ser así.

Desde septiembre de 2021, los usuarios de Microsoft ya no necesitan utilizar contraseñas para iniciar sesión en sus cuentas. Esto se debe a que se observó que los usuarios podrían utilizar su aplicación autenticadora, como Windows Hello, una llave de seguridad física o un código de verificación enviado por mensaje de texto basado en SMS para iniciar sesión en soluciones como Outlook, OneDrive y otros servicios de Microsoft. 

Con este cambio, la autenticación sin contraseña se está popularizando y convirtiendo en una tendencia entre otros proveedores de soluciones tecnológicas. 

Pero, ¿qué pasa con la contraseña?

Parte del problema está relacionado con el uso de las propias contraseñas. Cada día, el usuario necesita recordar un gran número de contraseñas. Es entonces cuando adopta buenas prácticas de seguridad y establece un valor diferente para cada cuenta.

Según una investigación de Tech.co, los usuarios digitales gestionaron una media de 100 contraseñas cada uno en 2020. Esto representa un aumento del 25% con respecto a las 70-80 claves de acceso que rastrearon en 2019. Este aumento puede reflejar la dependencia de los usuarios de los servicios digitales en respuesta a los acontecimientos de 2020.

Si los usuarios tienen que recordar tantas contraseñas, quieren que les resulte lo más sencillo posible, lo que a menudo socava la seguridad. Según una encuesta de Specops Software, el 29,03 % de los encuestados afirma no utilizar más de una contraseña para sus cuentas, lo que significa que reutiliza la misma contraseña en toda su presencia digital. 

La encuesta también muestra que sólo el 22,58% de los usuarios afirmaron utilizar códigos de acceso completamente distintos entre sí. El resto reveló adoptar pequeñas variaciones de la misma contraseña para sus cuentas.

Pero ése es sólo uno de los problemas relacionados con el uso de contraseñas.

La eliminación de contraseñas puede ayudar a prevenir los ataques de ransomware

En la fase inicial de un ataque de ransomware, los atacantes investigan los sistemas del mismo modo que un ladrón investigaría una casa o un negocio. La principal diferencia es que estas operaciones se realizan a gran escala. Los adversarios utilizan una amplia gama de recursos para rastrear Internet y encontrar puntos débiles en la red de una empresa.

La vulnerabilidad más común que explotan los atacantes son las contraseñas. Tras escanear la red y encontrar los puertos de red que suelen utilizar varias herramientas de acceso remoto, los adversarios intentan un ataque de fuerza bruta. Estos ataques están muy automatizados y utilizan herramientas que intentan iniciar sesión con millones de contraseñas comunes hasta encontrar una que funcione.

Una vez que el atacante encuentra una contraseña determinada, la utiliza él mismo para obtener acceso e iniciar la segunda fase del ataque o, lo que es más habitual, vender el acceso a la red comprometida a otros atacantes en la dark web o incluso en foros de la web abiertos.

¿Cómo puede ayudar la eliminación de contraseñas a prevenir el ransomware?

Hay algunas estrategias para mitigar los ataques de ransomware que las empresas pueden emplear. La primera de ellas es implantar la autenticación multifactor (MFA) o la autenticación de dos factores (2FA), especialmente para los sistemas que proporcionan acceso remoto a los sistemas informáticos.

La estrategia principal es la AMF sin contraseña. Elimina por completo el uso de la contraseña de la transacción de autenticación y no se basa en otros factores considerados débiles en el proceso de autenticación.

Dado el panorama actual de amenazas de ransomware, no es aconsejable confiar únicamente en las contraseñas. Añadir un factor adicional, como un token, para habilitar la autenticación multifactor (MFA) es al menos una buena práctica, pero la práctica líder es pasar a la autenticación sin contraseña.

Bill Gates predijo el fin de las contraseñas hace casi 15 años

Lo hizo durante su intervención en la Conferencia de Seguridad RSA de San Francisco, en la que afirmó que las contraseñas no pueden "hacer frente al reto" de mantener segura la información crítica. Desde entonces, muchas empresas han hecho caso a las palabras del fundador de Microsoft y han desarrollado otras formas de realizar la autenticación en línea.

De hecho, es difícil no llegar a la conclusión de que los sistemas de contraseñas quedarán pronto obsoletos. En la práctica, aún se están desarrollando muchas soluciones y tardarán algún tiempo en perfeccionarse y popularizarse, por lo que las contraseñas seguirán existiendo durante algún tiempo. 

Pero la conclusión es que el futuro de las contraseñas se reduce al tiempo que las empresas estén dispuestas a mantener las brechas de seguridad y las listas interminables de contraseñas, combinado con la rapidez con la que los ciberdelincuentes perfeccionen nuevos métodos para romper los métodos de cifrado, encuentren formas de realizar accesos indebidos y lleven a cabo sus delitos.