No se debe creer todo lo que se lee, especialmente cuando forma parte de una estrategia de marketing destinada a vender servicios de seguridad.
Un ejemplo reciente de la exageración que puede surgir de tales estrategias es la investigación publicada hoy por SquareX, una startup que ofrece servicios para asegurar navegadores y otras aplicaciones del lado del cliente. La compañía afirma, sin fundamento, haber encontrado una “vulnerabilidad importante en passkeys” que socava las promesas de seguridad de Apple, Google, Microsoft y miles de otras empresas que han adoptado con entusiasmo esta tecnología.
Un ataque cuestionable
El ataque denominado “Passkeys Pwned”, descrito en la investigación, fue demostrado a principios de este mes en una presentación en Defcon. Se basa en una extensión de navegador maliciosa, instalada previamente a través de un ataque de ingeniería social, que secuestra el proceso de creación de una passkey para su uso en Gmail, Microsoft 365 o en cualquiera de los miles de sitios que ahora utilizan esta forma alternativa de autenticación.
Detrás de escena, la extensión permite crear un par de claves y lo vincula al dominio legítimo gmail.com, pero el par de claves es creado por el malware y controlado por el atacante. De esta manera, el adversario tiene acceso a aplicaciones en la nube que las organizaciones utilizan para sus operaciones más sensibles.
Los investigadores de SquareX afirmaron en un borrador de su trabajo que “este descubrimiento rompe el mito de que las passkeys no pueden ser robadas, demostrando que el ‘robo de passkeys’ no solo es posible, sino tan trivial como el robo de credenciales tradicionales”. Añadieron que esto es un llamado de atención, ya que aunque las passkeys parecen más seguras, gran parte de esta percepción proviene de una nueva tecnología que aún no ha sido sometida a décadas de investigación y pruebas de seguridad.
Recapitulación sobre FIDO
Las passkeys son una parte fundamental de las especificaciones FIDO (Fast IDentity Online), redactadas por la Alianza FIDO, una coalición de cientos de empresas a nivel mundial. Una passkey es un par de claves criptográficas públicas y privadas que utiliza algoritmos criptográficos comprobados. Durante el proceso de registro, se crea un par de claves único para cada sitio web en el que el usuario se inscribe. El sitio web almacena la clave pública, mientras que la clave privada permanece únicamente en el dispositivo de autenticación del usuario.
Cuando el usuario inicia sesión, el sitio web envía una cadena de datos pseudoaleatoria. El dispositivo de autenticación utiliza la clave privada vinculada al dominio del sitio web para firmar criptográficamente la cadena de desafío. Luego, el navegador envía la respuesta firmada de vuelta al sitio web, el cual verifica la firma utilizando la clave pública del usuario. Si la firma es válida, el usuario accede al sistema.
A pesar de que las passkeys aún tienen un camino por recorrer antes de estar listas para muchos usuarios, ofrecen una alternativa de autenticación que es considerablemente más resistente a los tipos de toma de control de cuentas que han atormentado a los servicios en línea y a sus usuarios durante décadas. A diferencia de las contraseñas, los pares de claves de passkeys no pueden ser phished, ya que están vinculados al dominio real de gmail.com.
Malentendidos sobre la seguridad
SquareX sostiene que todo esto ha cambiado porque encontró una manera de secuestrar el proceso de registro de passkeys. Sin embargo, estas afirmaciones se basan en una falta de familiaridad con las especificaciones FIDO y una comprensión errónea de la seguridad en general.
Primero, la afirmación de que Passkeys Pwned demuestra que las passkeys pueden ser robadas es incorrecta. Si el usuario objetivo ya ha registrado una passkey para Gmail, esa clave permanecerá almacenada de manera segura en el dispositivo de autenticación. El atacante nunca se acerca a robarla. Utilizar malware para secuestrar el proceso de registro es algo completamente diferente. Si un usuario ya tiene una passkey registrada, Passkeys Pwned bloqueará el inicio de sesión y devolverá un mensaje de error que le pide al usuario que registre una nueva passkey. Si el usuario cae en la trampa, la nueva clave será controlada por el atacante. En ningún momento se roban passkeys.
La investigación también ignora que las especificaciones FIDO dejan claro que las passkeys no ofrecen defensa contra ataques que comprometen el sistema operativo o el navegador en ejecución, y por lo tanto no forman parte del modelo de amenaza de FIDO.
En conclusión, aunque SquareX tiene razón al afirmar que las passkeys no han sido sometidas a décadas de investigación de seguridad, por el momento siguen siendo la mejor defensa contra ataques que dependen de técnicas como el phishing de credenciales, la reutilización de contraseñas y las filtraciones de bases de datos.
Fuente original: ver aquí
