¿Qué es FIDO? Explora el futuro sin contraseñas de la autenticación en línea

En la era digital, necesitamos iniciar sesión todos los días en una variedad de servicios en línea, desde correos electrónicos hasta cuentas bancarias, desde plataformas sociales hasta sistemas de trabajo. Los métodos tradicionales de verificación de contraseñas no solo son engorrosos y fáciles de olvidar, sino que también presentan graves riesgos de seguridad. Según el informe del IBM X-Force Threat Intelligence Index, cerca de un tercio de los ataques cibernéticos involucran el secuestro de cuentas de usuario válidas. Es en este contexto que el protocolo FIDO ha surgido, brindándonos una experiencia de verificación sin contraseña más segura y conveniente.

Conceptos básicos de FIDO

FIDO (Fast Identity Online) es un conjunto de estándares de verificación de identidad abiertos, promovidos por la Alianza FIDO desde su formación en julio de 2012. Esta alianza tiene como objetivo abordar el problema de la falta de interoperabilidad entre las tecnologías de verificación fuerte y reducir la dependencia de los usuarios en múltiples nombres de usuario y contraseñas.

FIDO2 es un estándar abierto de autenticación sin contraseña desarrollado conjuntamente por la Alianza FIDO y el Consorcio World Wide Web (W3C), publicado en 2018, que reemplaza el primer estándar FIDO 1.0 publicado en 2014. El núcleo de FIDO2 está compuesto por dos protocolos: Autenticación Web (WebAuthn) y Protocolo de Cliente a Autenticador versión 2 (CTAP2). Estos protocolos trabajan juntos, permitiendo a los usuarios iniciar sesión en sitios web o aplicaciones sin utilizar contraseñas tradicionales.

Cómo funciona FIDO: El uso ingenioso de la criptografía de clave pública

La verificación FIDO2 utiliza la tecnología de cifrado de clave pública para generar un par de claves único llamado “Passkey” que está asociado con la cuenta del usuario. Este par de claves contiene una clave pública almacenada en el proveedor de servicios y una clave privada que reside en el dispositivo del usuario.

Cuando el usuario desea Iniciar sesión en su cuenta, el proveedor de servicios envía un desafío al dispositivo del usuario (generalmente una cadena de caracteres aleatorios). El dispositivo solicitará al usuario que verifique su identidad ingresando un código PIN, utilizando verificación biométrica (como huellas dactilares o reconocimiento facial) o utilizando una clave de seguridad.

Si el usuario pasa la verificación con éxito, el dispositivo firmará el desafío con la clave privada y lo enviará de vuelta al proveedor de servicios. El proveedor de servicios utilizará la clave pública para verificar si se utilizó la clave privada correspondiente y, en función de ello, otorgará al usuario acceso a su cuenta.

Debido a que la clave privada siempre se almacena en el dispositivo del usuario y nunca sale de él, se reduce en gran medida el riesgo de vulnerabilidades de seguridad. Incluso si los servidores del proveedor de servicios son pirateados, los hackers solo pueden obtener la clave pública, lo cual es casi inútil para ellos.

Ventajas de FIDO: ¿Por qué es mejor que una contraseña?

En comparación con las contraseñas tradicionales, la verificación FIDO tiene múltiples ventajas significativas:

1. Mayor seguridad: el verificador FIDO2 asegura que las credenciales de inicio de sesión encriptadas sean únicas para cada plataforma y siempre se almacenan en el dispositivo del usuario, nunca en el servidor. Este método puede prevenir eficazmente ataques de phishing, robo de contraseñas, llenado de credenciales y ataques de reproducción.
2. Experiencia de usuario conveniente: los usuarios pueden autenticarse a través de métodos integrados simples (como el reconocimiento de huellas dactilares o el reconocimiento facial), eliminando la molestia de recordar contraseñas complejas. Un estudio ha demostrado que la verificación FIDO ofrece una alternativa más segura y conveniente que las contraseñas tradicionales y la autenticación de dos factores por SMS.
3. Protección de la privacidad: La verificación FIDO asegura que la clave de cifrado sea específica del sitio web, previniendo el rastreo entre sitios. Al utilizar la biometría, los datos biométricos no abandonan el dispositivo del usuario, proporcionando una protección adicional de la privacidad.
4. Interoperabilidad y escalabilidad: El estándar FIDO2 ha sido respaldado por la mayoría de los dispositivos de usuario, navegadores web, sistemas de inicio de sesión único, soluciones de gestión de identidad y acceso, servidores web y sistemas operativos (incluidos iOS, MacOS, Android y Windows). Habilitar la clave de contraseña FIDO2 en el sitio web también es muy sencillo, solo se necesita una simple llamada a la API de JavaScript.

Casos de uso prácticos de FIDO

La verificación FIDO se ha utilizado ampliamente en múltiples industrias y escenarios:

• Industria financiera: Weikang Technology de Taiwán se asocia con el 60% de los actores del sector financiero en toda la isla, incluidos el Banco de Cooperación y el Banco Mega, para liderar la implementación del servicio financiero FIDO. El Banco Mega y Mega Insurance fueron los primeros en implementar el FIDO financiero en junio de 2023, aplicándose en escenarios como la actualización de información de transacciones financieras en el mostrador en la nube, la apertura de cuentas de valores en línea y la vinculación de cuentas de liquidación.
• Servicios de pago: BC Card, la mayor empresa de procesamiento de pagos de Corea del Sur, utiliza la verificación FIDO en su aplicación de pago móvil paybooc, empleando tecnologías de reconocimiento biométrico como huellas dactilares, reconocimiento facial y de voz para iniciar sesión. Hasta mayo de 2018, más de 1,2 millones de usuarios se habían registrado en paybooc utilizando la autenticación biométrica, realizando más de 1 millón de transacciones al mes.
• Seguridad empresarial: La empresa HID ha lanzado una nueva generación de productos de verificación FIDO y ha incorporado la función de “Gestión de claves empresariales” (Enterprise Passkey Management, EPM), que ayuda a las empresas a implementar y gestionar claves de manera más eficiente. Según una investigación de FIDO Alliance, aproximadamente el 87% de las empresas ya han comenzado a adoptar la tecnología de claves.

El futuro desarrollo de FIDO

Con el desarrollo continuo de la identidad digital, los estándares FIDO también están evolucionando. En junio de 2023, dos especificaciones de la Alianza FIDO, FIDO UAF 1.2 y CTAP 2.1, fueron reconocidas como estándares internacionales por el Departamento de Normalización de las Telecomunicaciones de la Unión Internacional de Telecomunicaciones (UIT-T). Este hito establece estos estándares como estándares oficiales de la Unión Internacional de Telecomunicaciones para la infraestructura global de tecnologías de la información y la comunicación.

David Turner, director sénior de desarrollo de estándares de la Alianza FIDO, declaró: “La Alianza FIDO está mejorando la verificación de identidad en línea a través de estándares abiertos basados en tecnología de criptografía de clave pública, haciendo que la verificación sea más robusta y fácil de usar que las contraseñas o los códigos de un solo uso.”

Conclusión

El protocolo FIDO representa una forma de verificación de identidad más segura y conveniente, proporcionando una experiencia de autenticación que no requiere recordar contraseñas complejas a través de la criptografía de clave pública y tecnologías modernas de biometría. Con la creciente complejidad de las amenazas a la seguridad en línea y la profundización de la vida digital, la difusión y aplicación de los estándares FIDO serán cada vez más amplias, convirtiéndose en una piedra angular importante para construir un mundo digital seguro.

Tanto los usuarios individuales como las organizaciones empresariales se beneficiarán de comprender y adoptar la verificación FIDO, lo que ayudará a mejorar la seguridad en línea y a proporcionar una experiencia de usuario más fluida. A medida que la tecnología continúa desarrollándose y los estándares se perfeccionan, FIDO tiene el potencial de transformar por completo nuestra percepción y práctica de la autenticación en línea, logrando así un futuro sin contraseñas.