WebAuthn (Web Au­the­n­ti­ca­tion)

A medida que acu­mu­la­mos actividad en la red, aumenta en pro­po­r­ción el número de nombres de usuario y co­n­tra­se­ñas que ha de re­co­r­dar­se o guardarse de alguna manera. Ya sea en las redes sociales, tiendas online o cuentas de correo ele­c­tró­ni­co, para todo es necesario disponer de datos de acceso privados. En el futuro empero navegar por Internet podría ser mucho más cómodo para los in­te­r­nau­tas, por lo menos si depende del Consorcio de la World Wide Web (W3C). El nuevo estándar WebAuthn pretende convertir a las co­n­tra­se­ñas en algo del pasado sin poner en peligro la seguridad de los datos sensibles.

Durante mucho tiempo, la única forma de verificar la identidad del usuario en la red fue el uso combinado de un nombre de usuario y una clave. Con el nombre de usuario (en muchos casos, la cuenta de correo ele­c­tró­ni­co) el usuario indica a qué cuenta quiere acceder y, con la clave o co­n­tra­se­ña, que solo él conoce, confirma su identidad.

Pero este método de ve­ri­fi­ca­ción ha de­mo­s­tra­do sus carencias en los últimos años, en parte porque requiere de los usuarios un mínimo esfuerzo que muchos reducen uti­li­za­n­do co­m­bi­na­cio­nes de ca­ra­c­te­res fáciles de memorizar (y de descifrar) o empleando la misma clave para varias cuentas di­fe­re­n­tes. Cuando este problema se hizo patente, se de­sa­rro­lla­ron los gestores de co­n­tra­se­ñas y la au­te­n­ti­ca­ción en dos pasos o MFA, siglas de Mu­l­ti­fa­c­tor Au­the­n­ti­ca­tion, pero los usuarios siguen sin sentirse cómodos con ellos y evitan uti­li­zar­los.

Esto hizo que el Consorcio de la World Wide Web, una unión de empresas de in­fo­r­má­ti­ca que publica re­gu­la­r­me­n­te es­tá­n­da­res para la web, se pusiera manos a la obra para encontrar una solución. Gracias a su coope­ra­ción con la FIDO (Fast IDentity Online) Alliance, que agrupa a varias empresas con el objetivo de de­sa­rro­llar medidas ho­mo­gé­neas de au­te­n­ti­ca­ción, la han en­co­n­tra­do. Con el proyecto FIDO2, el W3C y la Alianza FIDO han de­sa­rro­lla­do varias medidas de seguridad, entre ellas, el Client to Au­the­n­ti­ca­tor Protocol (CTAP) y el nuevo estándar WebAuthn.

El nuevo sistema de au­te­n­ti­ca­ción web aspira a co­n­ve­r­ti­r­se en una forma única de ve­ri­fi­ca­ción que, en lugar de usar co­n­tra­se­ñas, utilizará datos bio­mé­tri­cos: el estándar prevé que los usuarios confirmen su identidad por huella dactilar o re­co­no­ci­mie­n­to facial. En la ac­tua­li­dad, muchos di­s­po­si­ti­vos, sobre todo teléfonos móviles y or­de­na­do­res po­r­tá­ti­les, ya están equipados con el hardware y software necesario para ello, por lo que los ob­s­tácu­los para los usuarios serían re­la­ti­va­me­n­te escasos ‒contando, además, que el sistema es co­m­pa­ti­ble con el uso de tokens. Como esta in­fo­r­ma­ción es inherente a los usuarios, no se puede olvidar o entregar a otra persona de forma in­vo­lu­n­ta­ria, de modo que, con la WebAuthn, el phishing podría pre­vi­si­ble­me­n­te formar parte del pasado en poco tiempo.

La nueva Web Au­the­n­ti­ca­tion deberá funcionar en el futuro en todos los na­ve­ga­do­res. Chrome, Firefox, Edge y Safari (en parte), por ejemplo, ya soportan el estándar. Con este método, las páginas web que han de verificar la identidad del usuario recurren a la API de au­te­n­ti­ca­ción web en el navegador. El usuario, por su parte, confirma ser quien es en su propio equipo con un escáner de huella dactilar o con un token conectado a su ordenador. Los datos pe­r­so­na­les de identidad, como la huella digital, no abandonan el di­s­po­si­ti­vo. Es el navegador el que envía la ve­ri­fi­ca­ción de su identidad, cifrada por medio de una clave pública, al servicio web. El usuario no ha tenido que in­tro­du­cir ni un nombre ni una co­n­tra­se­ña.

La API se escribe en Ja­va­S­cri­pt. Esto hace que los ad­mi­ni­s­tra­do­res web lo tengan muy fácil para im­ple­me­n­tar la Web Au­the­n­ti­ca­tion en sus páginas, lo que debería co­n­tri­buir a su rápida expansión. Si los pro­vee­do­res quieren ga­ra­n­ti­zar un acceso a sus servicios aún más seguro, pueden combinar la API de WebAuthn con la MFA: la au­te­n­ti­ca­ción con datos bio­mé­tri­cos seguiría pe­r­mi­tie­n­do, pese a todo, la au­te­n­ti­ca­ción con co­n­tra­se­ña.

Dado que los in­te­r­nau­tas ya no son re­s­po­n­sa­bles de crear y almacenar co­n­tra­se­ñas y nombres de usuario, des­apa­re­ce el riesgo de que utilicen los mismos datos de acceso para distintas cuentas. El nuevo estándar WebAuthn crea datos de registro únicos para cada cuenta, de modo que lo único que ha de hacer el usuario para utilizar este método de ve­ri­fi­ca­ción es re­gi­s­trar­se una sola vez en el servicio web con su ide­n­ti­fi­ca­dor personal (huella digital, token, etc.).

En co­n­tra­po­si­ción a otras medidas más antiguas basadas en el uso de claves, la WebAuthn ofrece varias ventajas para los usuarios y los pro­vee­do­res de servicios en la web. La comodidad es el factor que, por encima de todo, debería convencer a los in­te­r­nau­tas, porque ya no tendrían que memorizar más in­fo­r­ma­ción. De aquí también se derivaría una mayor seguridad, porque el uso de claves no es un método seguro al cien por cien: si, por un lado, pueden romperse con ataques de fuerza bruta o con tablas arcoíris, entre otros métodos, por el otro, son fáciles de in­te­r­ce­p­tar con phishing. Con la WebAuthn, en cambio, no hay co­n­tra­se­ña que pueda ir a las manos equi­vo­ca­das.

Tampoco sirve de nada lanzar un ataque de hombre in­te­r­me­dio o man in the middle, puesto que no se envían datos sensibles que puedan in­te­r­ce­p­tar­se. El método de clave pública protege de forma cri­p­to­grá­fi­ca el envío del ce­r­ti­fi­ca­do de au­te­n­ti­ca­ción.

El que los datos sensibles no abandonen el di­s­po­si­ti­vo del usuario también implica un beneficio para los ad­mi­ni­s­tra­do­res web. Hoy en día, los pro­vee­do­res de servicios han de invertir mucha energía y co­m­pe­te­n­cia técnica en proteger los datos de acceso de sus clientes o usuarios. Si los de­li­n­cue­n­tes logran colarse en sus bases de datos, las co­n­se­cue­n­cias pueden ser fatales, tanto para las empresas que no han podido evitar el ataque, como para los de­s­pro­te­gi­dos usuarios, que quizá se co­n­vie­r­ten en víctimas del robo de datos, sobre todo, si utilizan los mismos datos de acceso para otras pla­ta­fo­r­mas.

WebAuthn está co­n­si­de­ra­do un método mucho más seguro que la au­te­n­ti­ca­ción en dos pasos porque, si bien la solicitud de un dato de ide­n­ti­fi­ca­ción extra garantiza una mayor pro­te­c­ción, tampoco es un método co­m­ple­ta­me­n­te seguro. Muchas formas de au­te­n­ti­ca­ción, como la co­n­tra­se­ña One Time enviada por SMS, que también se ha co­n­ve­r­ti­do en blanco de los ataques de phishing, pueden in­te­r­ce­p­tar­se sin di­fi­cu­l­tad. A esto se añade que la WebAuthn es mucho más rápida y amigable que la MFA.

Los in­co­n­ve­nie­n­tes aparecen en el momento de registrar un nuevo au­te­n­ti­ca­dor para una cuenta, por ejemplo, si el usuario pierde el token y necesita uno nuevo. Co­ne­c­tar­lo con el perfil del usuario no es fácil puesto que, de lo contrario, supondría un riesgo demasiado elevado. Para poder hacerlo, el usuario debe poseer un au­te­n­ti­ca­dor de repuesto, definido ex­plí­ci­ta­me­n­te para ello, o poner en marcha un re­s­ta­ble­ci­mie­n­to total, lo que equi­va­l­dría al re­s­ta­ble­ci­mie­n­to de la co­n­tra­se­ña y está indicado sobre todo para servicios que no requieren un elevado estándar de seguridad.