FIDO2: el nuevo estándar de seguridad para el inicio de sesión

El registro web con nombre de usuario y co­n­tra­se­ña ha dejado de estar a la última por varias razones. Por un lado, in­tro­du­cir datos de usuario se hace cada vez un proceso más engorroso, ya que el número de servicios a los que re­cu­rri­mos no deja de aumentar. Por el otro, la seguridad de los datos de acceso está más expuesta debido a las cre­cie­n­tes po­si­bi­li­da­des técnicas de los ci­be­r­de­li­n­cue­n­tes. Por ejemplo, los ataques de fuerza bruta o los correos ele­c­tró­ni­cos de phishing, que parecen ino­fe­n­si­vos al principio, se están volviendo cada vez más comunes y los usuarios a menudo ni siquiera se dan cuenta cuando les sustraen sus datos de acceso con éxito.

La norma de seguridad FIDO2 aborda este problema por medio de la au­te­n­ti­ca­ción de dos factores basada en el uso de claves de seguridad (FIDO2 key) y tokens de hardware. Gracias a la in­te­gra­ción del estándar WebAuthn del W3C, este pro­ce­di­mie­n­to no solo permite un inicio de sesión cifrado y anónimo, sino que prescinde de la co­n­tra­se­ña. Pero ¿cómo funcionan exac­ta­me­n­te las claves y tokens FIDO2 y qué necesitas para poder utilizar este pro­ce­di­mie­n­to de inicio de sesión para tus ac­ti­vi­da­des en la web?

FIDO2 es la última es­pe­ci­fi­ca­ción de la no comercial Alianza FIDO (Fast Identity Online), que se creó con el objetivo de de­sa­rro­llar es­tá­n­da­res abiertos y sin licencia para una au­te­n­ti­ca­ción mundial segura en la web. Después de FIDO Universal Second Factor (FIDO U2F) y FIDO Universal Au­the­n­ti­ca­tion Framework (FIDO UAF), FIDO2 ya es el tercer estándar que surge del trabajo de la Alianza.

La es­tru­c­tu­ra de FIDO2 está co­n­s­ti­tui­da por el Client to Au­the­n­ti­ca­tor Protocol (CTAP) y el estándar WebAuthn del W3C. Juntos permiten la au­te­n­ti­ca­ción cuando los usuarios se ide­n­ti­fi­can con au­te­n­ti­ca­do­res cri­p­to­grá­fi­cos (como los bio­mé­tri­cos o PIN) o externos (como las claves FIDO, los di­s­po­si­ti­vos po­r­tá­ti­les o los te­r­mi­na­les móviles) en un punto de acceso remoto de confianza de WebAuthn (también conocido como servidor de FIDO2), que suele pe­r­te­ne­cer a un sitio web o una apli­ca­ción web.

FIDO2 ofrece la opción de disponer de una au­te­n­ti­ca­ción de dos factores, en la que el nombre de usuario y la co­n­tra­se­ña habitual de inicio de sesión se co­m­ple­me­n­tan con una en­cri­p­ta­ción con claves FIDO2, así como un token FIDO2 adicional (hardware), o una au­te­n­ti­ca­ción co­m­ple­ta­me­n­te libre de co­n­tra­se­ña.

Ambas variantes permiten acabar con la conocida vu­l­ne­ra­bi­li­dad del inicio de sesión de usuario mediante nombre de usuario y co­n­tra­se­ña, así como au­te­n­ti­ca­cio­nes sencillas de dos factores (correo ele­c­tró­ni­co, apli­ca­cio­nes móviles, SMS), porque evitan que los ci­be­r­cri­mi­na­les se apoderen de la cuenta con patrones de ataque típicos como el de man-in-the-middle o el ya me­n­cio­na­do phishing. Incluso si los datos de inicio de sesión se ven co­m­pro­me­ti­dos, el inicio de sesión de FIDO2 solo tiene éxito con el token de hardware o la clave privada co­rre­s­po­n­die­n­te, que también está vinculada a un hardware dedicado.

El hecho de que FIDO2 sea un estándar abierto facilita a los de­sa­rro­lla­do­res de software y hardware la im­ple­me­n­ta­ción del pro­ce­di­mie­n­to en sus propios productos para ofrecer a los usuarios este método seguro de acceso.

El gran objetivo de la Alianza FIDO es la pro­gre­si­va eli­mi­na­ción de las co­n­tra­se­ñas de la web, lo que ha hecho avanzar el de­sa­rro­llo de FIDO2. Para ello, primero se configura la ruta de co­mu­ni­ca­ción segura entre el cliente (navegador) y los re­s­pe­c­ti­vos servicios web para que esté di­s­po­ni­ble de forma pe­r­ma­ne­n­te para po­s­te­rio­res inicios de sesión. Con este fin se generan y verifican las claves FIDO2 (FIDO2-keys) me­n­cio­na­das al principio, que pro­po­r­cio­nan el cifrado básico del pro­ce­di­mie­n­to de inicio de sesión. Este pro­ce­di­mie­n­to es el siguiente:

1. El usuario se registra en un servicio online y genera en el di­s­po­si­ti­vo un par de claves nuevo, que consiste en una clave privada y una clave FIDO2 pública.
2. Mientras que la clave privada se almacena en el di­s­po­si­ti­vo y solo se conoce en el lado del cliente, la clave pública se registra en la base de datos de claves del servicio web.
3. Las au­te­n­ti­ca­cio­nes po­s­te­rio­res solo son posibles si se aporta la clave privada, que siempre debe de­s­blo­quear­se mediante la acción del usuario. Entre las diversas opciones se puede in­tro­du­cir un PIN, pulsar un botón, entrar un comando oral o insertar un hardware de dos factores por separado (FIDO2 token). Algunos sistemas ope­ra­ti­vos, como Windows 10 y Android, ahora también pueden actuar como tokens de seguridad.

La es­pe­ci­fi­ca­ción FIDO2 determina todos los co­m­po­ne­n­tes que son ne­ce­sa­rios para el pro­ce­di­mie­n­to de au­te­n­ti­ca­ción actual:

El primero y más im­po­r­ta­n­te es el estándar múltiple WebAuthn del W3C, que permite a los servicios en línea habilitar la au­te­n­ti­ca­ción FIDO a través de una API Web estándar (escrita en Ja­va­S­cri­pt) que también se im­ple­me­n­ta en varios na­ve­ga­do­res y sistemas ope­ra­ti­vos. Las apli­ca­cio­nes que ya soportan el estándar publicado en marzo de 2019 incluyen Windows, Android e iOS (Versión 13 o superior), así como los na­ve­ga­do­res Google Chrome, Mozilla Firefox, Microsoft Edge y Apple Safari (Versión 13 o superior).

El segundo co­m­po­ne­n­te crucial es el Protocolo de Cliente a Au­te­n­ti­ca­dor (CTAP). Este protocolo permite a los distintos tokens FIDO2 in­ter­ac­tuar con los na­ve­ga­do­res y también actuar como au­te­n­ti­ca­do­res. Por lo tanto, tanto el navegador utilizado, como el token de hardware deseado, deben poder co­mu­ni­car­se a través de CTAP para poder utilizar esta función de seguridad (incluido el inicio de sesión sin co­n­tra­se­ña).

En la in­tro­du­c­ción ya ex­pli­ca­mos por qué los pro­ce­di­mie­n­tos de inicio de sesión sin co­n­tra­se­ña o con au­te­n­ti­ca­ción de dos factores, como el FIDO2, son el futuro. En co­m­pa­ra­ción con el tra­di­cio­nal inicio de sesión con clave, presentan muchas menos zonas vu­l­ne­ra­bles frente a los ci­be­r­de­li­n­cue­n­tes. Las co­n­tra­se­ñas pueden ave­ri­guar­se con las he­rra­mie­n­tas adecuadas, mientras que los atacantes ne­ce­si­ta­rían el token de seguridad de hardware para obtener acceso no au­to­ri­za­do a una cuenta de usuario protegida por FIDO2. A esto se añade que un token FIDO2 puede uti­li­zar­se para di­fe­re­n­tes servicios web en lugar de tener que crear y recordar varias co­n­tra­se­ñas di­fe­re­n­tes.

Ventajas de la au­te­n­ti­ca­ción FIDO2:

Aunque el proceso FIDO2 es ventajoso en muchos aspectos, también tiene sus puntos débiles. Ac­tua­l­me­n­te, existen pocos servicios web que ofrezcan esta forma de au­te­n­ti­ca­ción, lo que se co­n­s­ti­tu­ye como un requisito im­pre­s­ci­n­di­ble para poder uti­li­zar­la. Si es posible utilizar FIDO2, también hay que pla­ni­fi­car costes adi­cio­na­les para la compra de tokens de seguridad externos; es­pe­cia­l­me­n­te en empresas donde cada empleado necesita su propia clave de seguridad, el cambio a FIDO2 puede ser costoso.

Por último, el método de au­te­n­ti­ca­ción es­ta­n­da­ri­za­da requiere un paso adicional en co­m­pa­ra­ción con un inicio de sesión de co­n­tra­se­ña común cuando se im­ple­me­n­ta como co­m­po­ne­n­te adicional la au­te­n­ti­ca­ción de dos factores. Por lo tanto, si te conectas a uno o más servicios varias veces al día, debes contar con que FIDO2 no es una de las técnicas de conexión más eficaces.