WebAuthn: el protocolo de identificación que acabará con las contraseñas en Internet

Y es que el uso de las contraseñas ha experimentado en los últimos años un lento pero continuado declive. Y eso es porque los usuarios cada vez utilizan más los dispositivos móviles y menos el ordenador. Por ello, los desarrolladores de aplicaciones que exigen un alto grado de confidencialidad de cara al usuario han empezado a sustituir los password de toda la vida por el sensor de huellas o el escáner facial para que el acceso a las mismas se haga con rapidez y comodidad desde los smartphones y las tabletas.

Incluso muchos ordenadores portátiles ya cuentan con sensores de huellas insertados en sus teclados y otras partes de su hardware para poder realizar esta función, vedada hasta ahora a las webs de las distintas compañías que siguen pidiendo un password para entrar a las áreas reservadas de sus clientes. Es cierto que algunos fabricantes como Apple incluyen una función de identificación mixta en su navegador Safari que permite, por ejemplo, autocompletar una contraseña a través de la huella o el Face ID, el nuevo sistema de autentificación presente en el iPhone X.

Pero el protocolo WebAuthn, creado tras de dos años de trabajo, promete revolucionar la forma de acceder a los diferentes servicios online, tanto a través de los navegadores web como de las aplicaciones para los dispositivos móviles. De esta forma, los usuarios podrán identificarse de inmediato a través sus huellas dactilares y su rostro utilizando móviles, tabletas, cámara webs y pendrives, con lo que rellenar a mano una contraseña sería totalmente innecesario, tal y como ha proclamado Microsoft, una las grandes empresas junto a Google y Mozilla que apoya este nuevo estándar con lo que estará presente en los principales navegadores del mercado como son Edge, Chrome y Firefox.

Con ese nuevo método, el usuario que quiera acceder por vez primera a una web que requiera su identificación podrá pedir que se le envíe un mensaje al móvil en vez de crear un password. Una vez que abierta esa alerta en el dispositivo en cuestión, se podrá seleccionar como iniciar la sesión en esa web, bien por huella dactilar, reconocimiento facial o código PIN. A partir de ese momento, siempre entraremos en esa página a través del método que hayamos escogido.

Además de cómodo, este nuevo sistema de identificación «es mucho más seguro que el anterior», tal como señala Diogo Pata, manager de preventas en Panda Security, la popular compañía antivirus bilbaína. De momento, se eliminaría la nada aconsejable costumbre que tienen muchos usuarios de utilizar siempre la misma contraseña para acceder a todos los servicios, por lo que, en caso de que hackeo de una de las cuentas, los piratas informáticos tienen acceso a todas las demás. Con el uso de las huellas se acaba ese riesgo.

Además, el WebAuthn es casi una vacuna contra el phishing, el conocido fraude informático en el que los hackers suplantan la personalidad de una entidad, por ejemplo, bancaria para hacerse con la contraseña personal de sus víctimas y quedarse con sus ahorros. Al no contar ya con passwords, los delincuentes informáticos no tendrán ya nada que robar. «Después de años de ataques cibernéticos cada vez más graves basados en robo de identidad, ahora es el momento para que los proveedores de servicios cambien el paradigma de autenticación que utilicen contraseñas vulnerables y adopten un nuevo que sea resistente», señala Pata que destaca el carácter «multiplataforma» de la nueva solución de logueo.

Se espera que la nueva forma de logueo crezca de forma exponencial hasta convertirse en el más utilizado en un periodo de tiempo relativamente corto debido a su compatibilidad con el estándar anterior, por lo que sería relativamente sencillo para los desarrolladores de aplicaciones y programadores web sustituir el anterior por el nuevo, tal y como están haciendo Paypal, Bank of America o eBay. Ahora tan sólo hace falta que el resto de compañías del sector abracen este nuevo estándar, algo que, visto el fuerte apoyo inicial con el que cuenta, «será más pronto que tarde», destaca el directivo de Panda.

De momento, ya está presente en Firefox y llegará en los próximos meses a Chrome y Edge. Apple, la otra gran compañía que usa su propio navegador como el Safari, ha expresado su apoyo a WebAuthn y asegura que sus ingenieros ya están trabajando para adoptarlo tanto vía web como en sus propias aplicaciones. Igual que Opera que también está en ello por lo que el éxito de este nuevo protocolo de seguridad es cuestión de tiempo. Será entonces cuando nosotros nos convirtamos en nuestra propia contraseña. En cuerpo y alma.