¿Qué es FIDO2 y cómo funciona? Ventajas y desventajas de la autenticación sin contraseña

Iniciar sesión en un sitio web o servicio utilizando la combinación tradicional de nombre de usuario y contraseña ya no es el método más seguro ni efectivo. A medida que los ciberdelincuentes se vuelven más avanzados tecnológicamente, los métodos de protección de datos también deben evolucionar. 

Es aquí donde los nuevos estándares de autenticación, como FIDO2, pueden ser una herramienta valiosa para abordar estos desafíos de seguridad. Pero ¿qué es la autenticación FIDO2 y qué herramientas se utilizan en lugar de contraseñas? ¿Cómo funcionan realmente las llaves de seguridad FIDO2?

En Hideez, hemos ayudado a docenas de organizaciones a habilitar una experiencia de inicio de sesión sin contraseñas durante los últimos años. Como miembro certificado de la Alianza FIDO y proveedor de llaves de seguridad aprobadas por Microsoft, seguimos a la vanguardia de las tendencias y avances en ciberseguridad. ¡Exploremos más sobre este tema!

¿Qué es FIDO2? El nuevo estándar sin contraseñas

FIDO significa "Fast Identity Online" (Identidad Rápida en Línea). Con un número dos agregado al final, este acrónimo se basa en trabajos previos realizados por la Alianza FIDO, particularmente en el desarrollo del estándar de autenticación "Universal 2nd Factor" (U2F).

La Alianza FIDO fue fundada en julio de 2012 por PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon y Agnitio. El objetivo de esta alianza era reducir la dependencia de las contraseñas tradicionales y mejorar el funcionamiento de la autenticación de identidad.

FIDO2 es el tercer estándar que surge de la Alianza FIDO, después del FIDO Universal Second Factor (U2F) y el FIDO Universal Authentication Framework (UAF).

El objetivo principal de FIDO2 es eliminar el uso de contraseñas y métodos tradicionales de autenticación multifactor (MFA), como códigos OTP, notificaciones push, códigos de verificación por SMS, etc., y reemplazarlos con métodos de inicio de sesión sin contraseña: huella digital, reconocimiento facial, bloqueo de pantalla o tokens de hardware. Así, la autenticación FIDO2 es mucho más amigable para el usuario y protege contra ataques comunes en línea como phishing, spoofing, keylogging, ataques de fuerza bruta, MITM y otras amenazas basadas en identidad.

¿Qué es un autenticador FIDO2?

Un autenticador FIDO2 es un dispositivo o software que admite el estándar FIDO2 para inicios de sesión sin contraseña. Diseñados para cumplir con el estándar FIDO2, estas herramientas generan y almacenan claves criptográficas, permitiéndote acceder a cuentas sin contraseñas. Se presentan en diversas formas, generalmente clasificadas en estas tres categorías:

• Autenticación biométrica (a menudo llamada “Passkeys”): La autenticación biométrica permite a los usuarios iniciar sesión escaneando su huella digital o rostro. Es una opción rápida, segura y conveniente, ampliamente compatible con teléfonos móviles y muchos laptops modernos.
• Bloqueo de pantalla:  En ausencia de sensores biométricos, los usuarios pueden autenticarse con un PIN específico del dispositivo o un bloqueo de pantalla para acceder a su cuenta. Esta opción es especialmente adecuada para computadoras de escritorio o dispositivos antiguos que carecen de biometría incorporada, manteniendo un proceso de autenticación seguro y accesible. 
• Llaves de seguridad física: También conocidas como tokens de hardware o llaves FIDO2, las llaves de seguridad física son dispositivos externos que permiten inicios de sesión sin contraseña conectándose a dispositivos finales mediante USB, NFC o Bluetooth. Ejemplos populares incluyen YubiKeys, Hideez Keys y Solokeys. Los propietarios de llaves de seguridad se autentican insertando o tocando la llave, a menudo en combinación con un PIN para mayor protección. Algunas llaves incluso incorporan sensores biométricos, combinando la seguridad de la autenticación por hardware con la conveniencia de la biometría.

¿Qué son los Passkeys y cómo se comparan con los autenticadores FIDO?

En mayo de 2022, Apple, Google y Microsoft realizaron un anuncio revolucionario: apoyarían la autenticación FIDO2 en sus plataformas bajo un nuevo nombre, "Passkeys". Al reunir todas las formas de autenticación FIDO2, buscan hacer que los inicios de sesión sin contraseñas sean más accesibles y fluidos tanto para consumidores individuales como para empresas.

Entonces, ¿los Passkeys son simplemente autenticadores FIDO2 con un nuevo nombre? No del todo. Los Passkeys comparten la misma estructura fundamental que los autenticadores FIDO2, pero existe una diferencia clave. Mientras que las especificaciones tradicionales de FIDO2 requieren que la clave privada nunca salga de tu dispositivo, los Passkeys pueden funcionar de dos maneras distintas:

• Passkeys sincronizados utilizan almacenamiento en la nube (como iCloud, Google Password Manager o Microsoft Authenticator) para sincronizar sin problemas las credenciales en todos los dispositivos del usuario. Esto significa que ya no te quedarás fuera de tus cuentas si pierdes el acceso a un dispositivo. Los Passkeys sincronizados mantienen una fuerte seguridad y permiten un acceso fácil entre dispositivos, haciendo que iniciar sesión sea sencillo, ya sea en tu laptop, tablet o teléfono.
• Passkeys ligados a dispositivos, por otro lado, permanecen vinculados a un dispositivo físico específico, como una llave de seguridad física o un teléfono móvil. Estos Passkeys se adhieren a los principios de seguridad más estrictos, garantizando que tus credenciales no funcionen en ningún otro hardware. Esto los hace ideales para organizaciones con políticas de seguridad estrictas, ya que limitan el acceso a un solo dispositivo autorizado, agregando una capa adicional de control.

El cambio a un modelo multiplataforma y multidispositivo ha hecho que la autenticación FIDO2 sea práctica tanto para uso personal como empresarial. Sin embargo, las herramientas sin contraseña se utilizan de manera bastante diferente entre individuos y empresas, principalmente debido a diferencias en escala, gestión de usuarios y requisitos regulatorios.

Ventajas y desventajas de FIDO2

Ventajas de FIDO2

La autenticación FIDO2 ofrece numerosos beneficios para la seguridad moderna. Aquí hay algunas razones destacadas por las que está ganando popularidad entre usuarios individuales y empresas:

• Seguridad robusta: La mayor ventaja de FIDO2 es que reduce significativamente la ventana de ataque para los ciberdelincuentes. Para acceder a tu información privada, los atacantes necesitarían un autenticador FIDO2, que generalmente está siempre contigo en forma de tu dispositivo o biometría.
• Compatibilidad con Zero Trust: El modelo Zero Trust opera bajo el principio de "nunca confíes, siempre verifica", crucial en entornos de trabajo distribuidos. FIDO2 encaja perfectamente con este modelo, ofreciendo autenticación multifactor resistente al phishing que se alinea con los principios de Zero Trust.
• Mejor experiencia de usuario: Un flujo más simplificado, ya que no tendrás que recordar múltiples contraseñas y detalles de inicio de sesión para cada una de tus cuentas. La llave de seguridad FIDO2 U2F funciona en todas las plataformas compatibles, ofreciendo máxima seguridad y conveniencia.

Desventajas de FIDO2

Por supuesto, como cualquier otro método de seguridad, el estándar FIDO2 tiene ciertas desventajas. Estas no son insalvables, pero deberías tenerlas en cuenta si planeas implementar la autenticación FIDO2 sin contraseñas como práctica de seguridad:

• Adopción limitada por parte de los consumidores: Aunque la adopción de FIDO2 está creciendo, aún no es universal entre los servicios web. Como consumidor, puedes habilitar el inicio de sesión sin contraseñas para servicios populares como Facebook, Twitter, Google, Dropbox, GitHub y muchos otros. Sin embargo, muchos sitios web aún no son compatibles con FIDO2. En el lado empresarial, las empresas se benefician de las soluciones de inicio de sesión único (SSO) sin contraseñas.
• Consideraciones empresariales: Aunque los Passkeys sincronizados son una mejora respecto a las contraseñas, para organizaciones que necesitan un control estricto sobre la identidad de los usuarios, los Passkeys sincronizados pueden no ser ideales. En estos casos, los Passkeys vinculados a dispositivos con llaves de seguridad físicas FIDO2 ofrecen máxima seguridad y cumplimiento, lo que los convierte en la mejor opción para entornos empresariales con estándares de seguridad estrictos.

¿Cómo habilitar la autenticación FIDO2?

La autenticación FIDO2 permite a los usuarios iniciar sesión de forma segura sin contraseñas, aprovechando pares de claves públicas y privadas y métodos fuertes resistentes al phishing. Aquí hay una guía paso a paso para habilitar la autenticación FIDO2 tanto para uso personal como empresarial:

Para uso personal

Para configurar inicios de sesión sin contraseñas como usuario individual, debes seguir estos pasos:

1. Verifica la compatibilidad

• Asegúrate de que los servicios web que utilizas admitan FIDO2 o inicios de sesión basados en Passkeys.
• Plataformas populares como Google, Microsoft y Apple ahora ofrecen soporte para Passkeys para inicios de sesión seguros.

2. Accede a la configuración de seguridad

• Ve a la página de Seguridad o Configuración de cuenta de tu cuenta.
• Busca una opción etiquetada como Llave de seguridad, Passkey o Inicio de sesión sin contraseña (la terminología puede variar según el servicio).

3. Registra tu autenticador FIDO2

• Sigue las instrucciones para registrar tu dispositivo habilitado para biometría o una llave de seguridad física.
• Durante la configuración, el servicio creará un par de claves públicas y privadas único para tu cuenta.

4. ¡Disfruta de inicios de sesión sin problemas! En inicios de sesión futuros, utilizarás tu método FIDO2 elegido en lugar de una contraseña.

Ejemplo de configuración de Passkeys en Google Workspace

Para uso empresarial

Implementar la autenticación FIDO2 en un entorno organizacional requiere una planificación estratégica. Así es como puedes empezar:

1. Evalúa las necesidades de seguridad

• Define grupos de usuarios en función de sus niveles de acceso. Por ejemplo, los usuarios generales pueden utilizar Passkeys sincronizados en dispositivos personales o corporativos. Mientras tanto, los usuarios privilegiados (p. ej., gerentes o ejecutivos) pueden requerir llaves de seguridad físicas para una mayor seguridad.
• Evalúa los requisitos de cumplimiento y el modelo de amenazas de tu organización para decidir sobre la combinación adecuada de soluciones FIDO2.

• En los Estados Unidos, existen regulaciones como HIPAA, PCI DSS y las directrices de FFIEC, que enfatizan mecanismos sólidos de autenticación, especialmente en los sectores de salud, finanzas y gobierno. En Europa, DORA y la Directiva NIS2 tienen reglas similares para proteger infraestructuras críticas contra ciberamenazas.

2. Elige tu proveedor de soluciones

• Selecciona un proveedor que se integre bien con tus sistemas IAM (por ejemplo, Microsoft Active Directory, Okta, Ping Identity, etc.).
• Busca una empresa que admita una variedad de métodos compatibles con FIDO2, incluidos biometría, autenticación móvil y llaves FIDO2. Asegúrate de que la solución sea fácilmente escalable a medida que crezca tu organización.
• Evalúa las capacidades de integración con sistemas existentes, como aplicaciones heredadas, inicios de sesión en estaciones de trabajo y entornos de Protocolo de Escritorio Remoto (RDP). Las características avanzadas como autenticación adaptativa, monitoreo de amenazas en tiempo real y políticas personalizables para diferentes grupos de usuarios pueden mejorar aún más la seguridad y la usabilidad.

3. Inicia un proyecto piloto

Colabora con tu proveedor de autenticación sin contraseñas para lanzar un programa piloto de implementación de autenticación sin contraseñas en aplicaciones empresariales seleccionadas. Comienza con un pequeño grupo de usuarios para evaluar la usabilidad, la compatibilidad con flujos de trabajo y la satisfacción general de los empleados. Utiliza esta fase para recopilar comentarios e identificar posibles desafíos antes de escalar la solución a toda la organización.

Prueba Hideez para un acceso sin contraseñas

Si no sabes por dónde empezar, Hideez está aquí para simplificar tu transición hacia la autenticación sin contraseñas. Con nuestro portal en la nube Basic Identity, puedes habilitar Single Sign-On (SSO) sin contraseñas gratuito para hasta 50 usuarios. Esta solución permite a los empleados iniciar sesión en servicios web utilizando Passkeys sincronizados en sus dispositivos personales, aprovechando las funciones biométricas integradas para una autenticación segura y sin problemas. Es una forma fácil y económica de probar los beneficios de trabajar sin contraseñas sin comprometerse con integraciones complejas.

Para organizaciones con necesidades más sofisticadas, Hideez ofrece el servicio Enterprise Identity diseñado para manejar entornos de TI complejos y escenarios de autenticación únicos. Nuestras soluciones admiten una amplia gama de métodos compatibles con FIDO2, incluidas llaves de seguridad de hardware, biometría y autenticadores móviles, garantizando flexibilidad y adaptabilidad para casos de uso diversos. Ya sea para asegurar inicios de sesión en sistemas heredados, estaciones de trabajo o entornos RDP, Hideez proporciona opciones integrales adaptadas a tus requisitos. Con una prueba gratuita de 30 días, puedes explorar cómo la autenticación sin contraseñas mejora la seguridad, reduce la fricción del usuario y elimina los riesgos relacionados con contraseñas.

¿Listo para adoptar el futuro de la autenticación? ¡Reserva una demostración hoy mismo y descubre cómo Hideez puede ayudarte a transformar tu estrategia de seguridad!

Preguntas frecuentes

1. ¿Qué es FIDO U2F y cómo funciona?

FIDO U2F (Universal 2nd Factor) es un estándar de seguridad desarrollado para mejorar la autenticación en línea mediante la adición de un segundo factor sólido a los inicios de sesión basados en contraseñas tradicionales. Utiliza una llave de seguridad de hardware, como un dispositivo USB o NFC, que genera una clave criptográfica única para cada servicio. Los usuarios se autentican tocando su llave o insertándola en su dispositivo, proporcionando autenticación de dos factores (2FA) resistente al phishing. U2F no reemplaza las contraseñas, sino que las complementa, haciendo que los inicios de sesión sean más seguros.

2. FIDO2 vs. U2F: ¿Cuál es la diferencia?

La principal diferencia entre FIDO2 y FIDO U2F radica en su alcance. FIDO2 fue creado para habilitar la autenticación sin contraseñas, eliminando por completo la necesidad de contraseñas. En contraste, FIDO U2F fue diseñado específicamente como un segundo factor para fortalecer los inicios de sesión basados en contraseñas, actuando como una autenticación 2FA de FIDO.

Con el lanzamiento de FIDO2, U2F se ha integrado en el marco de FIDO2 bajo el nombre CTAP1 (Protocolo Cliente a Autenticador 1). Esto garantiza que los dispositivos U2F existentes puedan seguir funcionando como un segundo factor en sistemas habilitados para FIDO2, ofreciendo compatibilidad retroactiva. Los sitios web que admiten FIDO2 generalmente permiten inicios de sesión sin contraseñas, pero algunos aún utilizan U2F para escenarios avanzados de 2FA.

Además, FIDO2 introdujo CTAP2 y WebAuthn como parte de su estándar moderno. CTAP2 permite funciones avanzadas de autenticación FIDO2, incluidos los inicios de sesión sin contraseñas. Los dispositivos con soporte CTAP2 se consideran autenticadores FIDO2, y si también son compatibles con CTAP1, pueden proporcionar compatibilidad retroactiva con U2F.

3. FIDO2 vs. WebAuthn

FIDO2 y WebAuthn están estrechamente relacionados, pero tienen propósitos diferentes. FIDO2 es el estándar más amplio que abarca tanto WebAuthn (desarrollado por el W3C) como CTAP2 (desarrollado por la Alianza FIDO). WebAuthn es la API basada en web que permite a los navegadores y servidores comunicarse con autenticadores FIDO2, posibilitando inicios de sesión sin contraseñas. Es esencialmente el protocolo que hace que FIDO2 sea utilizable para la autenticación en línea en sitios web y aplicaciones. Mientras WebAuthn maneja la comunicación, CTAP2 define cómo los autenticadores interactúan con los dispositivos cliente.

4. FIDO2 vs. FIDO

FIDO (Fast Identity Online) es el marco general y la alianza que abarca todos sus estándares, incluidos FIDO U2F, FIDO2 y los protocolos dentro de ellos. FIDO2 es una evolución del marco original de FIDO, ampliando sus capacidades para habilitar inicios de sesión sin contraseñas a través de WebAuthn y CTAP2. En contraste, FIDO U2F, como parte del marco original, se centró exclusivamente en proporcionar un mecanismo de autenticación de segundo factor seguro.

5. ¿Qué sitios web son compatibles con FIDO2?

Un número creciente de sitios web y servicios son compatibles con FIDO2, incluidas grandes plataformas tecnológicas como Google, Microsoft, Apple y Dropbox. Estos servicios permiten a los usuarios registrar autenticadores compatibles con FIDO2, como llaves de hardware o dispositivos biométricos, para proteger sus cuentas. Muchas organizaciones también están integrando FIDO2 para uso interno, habilitando inicios de sesión sin contraseñas para empleados. Para verificar si un sitio web específico admite FIDO2, busca opciones de autenticación como "Inicio de sesión sin contraseña", "Llave FIDO" o "Passkeys" en la configuración de seguridad.