Volver al Blog
Application Security

Claves de acceso: las ventajas y riesgos de estas nuevas contraseñas

11 de junio de 2024 · 7 min por Matthijs Melissen, Security Specialist & Tech Lead

Contenido del artículo

¿Qué son las Claves de Acceso?

Las Claves de Acceso aseguran que los usuarios puedan iniciar sesión en aplicaciones y sitios web sin usar contraseñas. En lugar de una contraseña, el usuario confirma su identidad con un autenticador de hardware, como un lector de huellas dactilares o reconocimiento facial. Grandes actores como Apple, Google, Amazon, Microsoft, PayPal y WhatsApp ya utilizan esta tecnología.

¿Cómo funciona exactamente una Clave de Acceso?

Para cada sitio web o aplicación, se crean dos claves: una clave pública (conocida por el sitio web) y una clave privada (vinculada a tu dispositivo personal). La combinación de estas claves permite iniciar sesión. Si tu clave pública se expone a través de una brecha de datos, no hay problema: sin tu clave privada, un hacker no puede hacer nada.

Ventajas de las Claves de Acceso

  • Resistente a la adivinación: las claves de acceso son tan largas que es imposible adivinarlas.
  • Previene la reutilización de contraseñas: cada clave es única por sitio.
  • Protección contra phishing: las claves solo funcionan en la URL real de la aplicación.

Riesgos de las Claves de Acceso

WebAuthn es inherentemente muy seguro, pero debe ser implementado correctamente. Los riesgos de implementación incluyen:

  • Falta de verificación de firma: si no se verifica, un atacante puede iniciar sesión como cualquier usuario.
  • Confusión de origen: un atacante puede redirigir el inicio de sesión a un sitio malicioso.
  • Falta de verificación de presencia del usuario: las banderas UP y UV deben siempre verificarse.
  • Ataques CSRF: un atacante puede añadir su propia clave de acceso a la cuenta de la víctima.
  • Falta de verificación del contador: facilita el uso de autenticadores clonados.

Riesgos prácticos

Durante nuestra investigación de cinco partes confiables, encontramos una vulnerable a la confusión de origen, tres que no verificaron correctamente la presencia y verificación del usuario, y una aplicación con un contador de firma faltante. Todos los afectados fueron notificados y se proporcionaron soluciones.

Investigación en colaboración académica

Esta investigación fue realizada en colaboración con Peizhou Chen de la Universidad de Twente, quien completó su tesis de maestría sobre este tema en DEFION Security bajo la supervisión de Matthijs Melissen.

¿Quieres implementar passkeys de forma segura?

Contacta con nosotros Línea de incidentes 24/7