Passkeys: Útiles, pero no están listas para su implementación en empresas

-


Apple, Google y Microsoft están promoviendo las Passkeys como una solución para la recuperación de cuentas, pero las empresas están adoptándolas lentamente.

El creciente respaldo a las Passkeys significa que finalmente los consumidores y las pequeñas empresas tienen una tecnología fácil de usar para el acceso sin contraseña a sitios web y aplicaciones en la nube, pero es probable que las empresas no vean una forma utilizable de la tecnología en un tiempo.

El enfoque de autenticación sin contraseña, basado en el estándar WebAuthn de la FIDO Alliance, permite a los desarrolladores aprovechar la tecnología de autenticación del dispositivo del usuario, como FaceID y los sensores de huellas dactilares, para iniciar sesión en servicios en la nube y aplicaciones web. Si bien WebAuthn resultó en muchas implementaciones, lo que agregó una complejidad significativa para los consumidores, las Passkeys son respaldadas por importantes empresas de Internet, incluidas Apple, Google y Microsoft, lo que simplifica drásticamente su uso para los consumidores.

Sin embargo, esa usabilidad, que podría extenderse a las pequeñas empresas nativas de la nube, no permite el control y la acreditación necesarios para las Passkeys en las grandes corporaciones, según Jasson Casey, CEO de Beyond Identity. En cambio, es probable que las Passkeys se desarrollen como un factor opcional en su infraestructura de clave pública (PKI) o en su sistema basado en credenciales actual.

"Honestamente, creo que será el resultado de una combinación de Passkeys y PKI que las empresas necesitan en última instancia", dice Casey. "Lo realmente interesante de las Passkeys es la idea de que hay una interfaz bien definida entre un navegador o agente de usuario y un autenticador real que gestiona credenciales y claves".

Las principales empresas han impulsado las Passkeys como una forma más segura de iniciar sesión en cuentas en línea. En junio, Google comenzó a permitir a las empresas cambiar a las **Passkeys** en lugar de usar contraseñas para los usuarios de Workspace. El 10 de octubre, la empresa comenzó a dar a los usuarios la opción de hacer que las Passkeys sean la opción predeterminada en sus cuentas personales, instándolos a hacer el cambio cuando inician sesión.

Apple y Microsoft han añadido soporte para Passkeys en sus hardware y software, con iOS, Mac OS y Windows 11 que admiten la tecnología.

Para las empresas, las Passkeys podrían eliminar parte del costo de mejorar la gestión de identidad y la autenticación, dice Steve Won, director de producto de 1Password, una empresa de gestión de identidad y contraseñas.

"Estoy muy optimista de que la adopción empresarial será totalmente viable en la próxima década", dice Won. "He hablado con tantas empresas que piensan, 'Dios mío, las Passkeys son básicamente certificados utilizables o ... Yubikeys utilizables. Los certificados son una pesadilla para gestionar, y en el caso de Yubikey, nadie quiere encargarse de gestionar hardware".

¿El fin del phishing?

Si se hacen correctamente, las Passkeys podrían eliminar los ataques de phishing dirigidos a la obtención de credenciales porque no hay contraseñas que robar. La especificación, que apunta a la interoperabilidad entre los mayores proveedores de identidad, permite que el dispositivo del usuario avale su identidad, utilizando claves privadas y públicas para iniciar sesión en el servicio.

Un punto importante fue el problema de recuperar las claves cuando se pierde un dispositivo, dice Casey de Beyond Identity.

"Una Passkey está realmente anclada en un enclave en mi dispositivo, así que si arrojo ese dispositivo al océano porque ... ni siquiera necesito una razón ... y compro un dispositivo nuevo, ¿cómo inicio sesión de nuevo? Eso se consideró un gran obstáculo para la comunidad B2C [empresa a consumidor]", dice.

Apple, Google y Microsoft solucionan este problema vinculando las claves a sus servicios. Un usuario que vuelva a iniciar sesión en uno de los servicios podrá recuperarse al recibir un nuevo conjunto de claves.

A pesar de la promesa de resistencia al phishing y de eliminar secretos compartidos, las empresas aún dudan en comprometerse con las Passkeys, dice Andras Cser, vicepresidente y analista principal de Forrester Research.

"Todavía vemos una adopción mínima en el mercado", dice. "Los proveedores de servicios, como minoristas, organizaciones de atención médica y compañías financieras, se preocupan por la acreditación de dispositivos y la presencia de la persona que se autentica".

Las empresas necesitan más que Passkeys

Los problemas a los que se enfrentan las empresas son diferentes. Para las empresas, las Passkeys prometen proporcionar una PKI estandarizada como una forma de interactuar con recursos en línea, siempre que se cumplan cuatro requisitos, dice Casey. El sistema debe garantizar que las claves no pueden moverse; soluciona el problema de recuperación de dispositivos perdidos; funciona en todo tipo de dispositivos, navegadores y servicios en línea; y proporciona a las empresas una gestión de políticas centralizada para dispositivos.

"Un sistema de Passkeys eficaz tendrá un sistema PKI distribuido y automatizado en el fondo que proporciona garantías de seguridad similares pero sin requerirle gestionar activamente el servicio... independientemente de si el dispositivo está gestionado o son dispositivos BYOD", dice Casey. "Los sistemas PKI clásicos no hacen nada de eso por usted, no sin una enorme carga administrativa".

Si bien algunas pequeñas empresas pueden exigir el uso de Passkeys, es más probable que las empresas ofrezcan la tecnología como una opción de autenticación para sus clientes.

Otra posibilidad de Confianza Cero

Si los proveedores de Passkeys y las empresas de gestión de identidad y acceso (IAM) resuelven los problemas de uso empresarial de las Passkeys, podrían despegar en el mundo empresarial. Si bien los consumidores necesitan servicios fáciles de usar, las empresas pueden exigir que sus empleados utilicen una tecnología específica, incluso si esa tecnología tiene una cur

va de aprendizaje o agrega algunos pasos a los flujos de trabajo diarios, dice Ian Hassard, director senior de gestión de productos en Okta, un proveedor de inicio de sesión único.

"Si observas que la identidad del cliente se centra en equilibrar la seguridad y la fricción, porque si hay demasiada fricción, la gente no compra tus productos", dice. "Pero en la identidad de la fuerza laboral, si estás gestionando a tu fuerza laboral, tienes un poco más de audiencia cautiva en el sentido de que puedes aplicar más fricción para garantizar un mayor nivel de garantía y seguridad".

Okta, por ejemplo, se enfoca en la gestión de identidades, privilegios de acceso y asegurarse de que el dispositivo del usuario tenga los controles de seguridad adecuados y no muestre signos de compromiso, dice Hassard. Todo esto es fundamental para un enfoque de Confianza Cero en seguridad.

"Quieres la seguridad de que el dispositivo no está comprometido", dice. "Porque obviamente mucha de esta tecnología es genial hasta que el dispositivo del cliente está completamente comprometido, y eso no es algo bueno."


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Falsos sitios de DocuSign y Gitcode propagan NetSupport RAT mediante ataque PowerShell en múltiples etapas

-
Imagen
Cazadores de amenazas están alertando sobre una nueva campaña que utiliza sitios web falsos para engañar a usuarios desprevenidos y hacer que ejecuten scripts maliciosos de PowerShell en sus máquinas, infectándolas con el malware NetSupport RAT. El equipo de Investigaciones de DomainTools (DTI) informó que identificó “scripts PowerShell maliciosos en múltiples etapas” alojados en sitios trampa que se hacen pasar por Gitcode y DocuSign. “Estos sitios intentan engañar a los usuarios para que copien y ejecuten un script inicial de PowerShell desde el comando ‘Ejecutar’ de Windows”, indicó la empresa en un informe técnico compartido con The Hacker News. “Al hacerlo, el script de PowerShell descarga otro script que actúa como descargador y lo ejecuta en el sistema, lo que a su vez recupera cargas útiles adicionales y las ejecuta, instalando finalmente NetSupport RAT en las máquinas infectadas.” Ciberseguridad Se cree que estos sitios falsos se propagan mediante tácticas de ingeniería so...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más

El FBI advierte sobre suplantación de correo electrónico por parte del actor de amenazas norcoreano Kimsuky

-
Imagen
El actor de amenazas norcoreano Kimsuky está aprovechando nuevas tácticas de suplantación de correo electrónico en sus recientes campañas de spearphishing, advirtieron conjuntamente el Buró Federal de Investigaciones (FBI), el Departamento de Estado de EE. UU. y la Agencia de Seguridad Nacional (NSA) el jueves en un aviso conjunto . Kimsuky, también conocido como Emerald Sleet o APT43, es una subunidad de la Oficina General de Reconocimiento (RGB) del ejército norcoreano y es conocido por sus campañas de spearphishing destinadas a recopilar inteligencia sobre asuntos que afectan los intereses norcoreanos. Esto incluye información sobre eventos geopolíticos y las estrategias de política exterior de los adversarios de Corea del Norte. El modus operandi del grupo es hacerse pasar por periodistas legítimos, grupos de expertos, académicos y otros expertos en asuntos del este asiático, convenciendo a las víctimas de abrir enlaces o documentos maliciosos bajo el pretexto de ofrecer una entrev...
Leer más