Las passkeys son un método de autenticación basado en criptografía asimétrica que reemplaza las contraseñas tradicionales. Funcionan mediante un par de claves, pública y privada, donde la primera se almacena en un servidor y la segunda en el dispositivo del usuario.
Esta característica hace que su sistema de autenticación sea a prueba de robos y, en teoría, sean inmunes a los ataques de phishing.
Leé también: Cibercriminales crearon una red de inteligencia artificial para hackear cuentas de Gmail en todo el mundo
Al mantenerse guardadas, el usuario no necesita recordar sus claves de acceso y los ciberdelincuentes no tienen posibilidad de interceptarlas. Por ese motivo, son varias las empresas que ya las usan para acceder a servicios y aplicaciones: Google, Amazon y Apple, por ejemplo, las implementaron para ingresar o verificar la identidad de los usuarios en sus entornos.
Sin embargo, y aunque este sistema es más difícil de hackear y por ende más seguro que las contraseñas, presenta posibles vulnerabilidades y desafíos.
Por ejemplo, la adopción generalizada de passkeys se ve obstaculizada por inconsistencias entre plataformas: una passkey configurada en Chrome para Windows no es compatible con dispositivos iOS. Así, hay diferentes estándares y empresas como Apple, Google y Microsoft promueven sus propias soluciones de sincronización, lo que genera confusión en los usuarios.
Además, si bien las passkeys no se almacenan en servidores externos, su sincronización a través de la nube podría exponerlas si los sistemas de almacenamiento son vulnerables. Y si un dispositivo físico (teléfono, computadora) es comprometido o robado, un atacante podría acceder a las passkeys almacenadas localmente, si logra superar medidas de seguridad como biometría o bloqueo con PIN.
Leé también: Una multa sin precedentes: un banco deberá devolverle $140 millones a una pyme que sufrió una ciberestafa
El primer ataque exitoso a passkeys
Según informó Dark News, newsletter especializado en ciberseguridad, un investigador descubrió una forma de comprometer las passkeys en lo que sería el primer ataque de phishing exitoso contra este método.
Tobia Righi, un researcher de seguridad informática, demostró que mediante un dispositivo conectado al Bluetooth de la víctima puede engañar a un usuario a usar su passkey para loguearse en el dispositivo del atacante y así ceder la sesión.
Para lograrlo un ciberdelincuente podría un dispositivo pequeño (como una Raspberry Pi) para crear una red WiFi gratuita que imita a una oficial y pública, como por ejemplo la de un aeropuerto, restaurante o lugar concurrido, para engañar a los usuarios.
Al intentar conectarse, la víctima llega a una página que pide verificarse con una cuenta de redes sociales (como Facebook o Google). Pero antes de hacerlo, el atacante redirige a la víctima a un sistema de autenticación llamado WebAuthn, que usa dispositivos físicos (como un teléfono o llave USB) para verificar la identidad a través de un QR. El atacante extrae un enlace de ese QR y lo envía al usuario or Bluetooth. Al hacer clic en ese enlace, la víctima permite al atacante acceder a su cuenta.
Leé también: Los ataques de ciberseguridad no paran de crecer en Argentina: estas son las amenazas más frecuentes
Una vez que la víctima completa la autenticación, el dispositivo del atacante guarda los datos de sesión (como cookies o claves de acceso). Con esta información, el ciberdelincuente puede entrar a la cuenta de la víctima sin necesidad de su contraseña ni passkey.
El ataque es particularmente peligroso porque los aeropuertos y lugares públicos son lugares en donde la gente necesita conectarse y confían en las redes que aparecen. Esto las convierte en zonas de alto riesgo.
Además, si la víctima usa la misma cuenta para servicios como bancos o correos, el atacante podría acceder a otra información sensible y privada.
