Las cookies nos permiten ofrecer nuestros servicios. Al utilizar nuestros servicios, aceptas el uso que hacemos de las cookies. Más Información. Aceptar

Qué es WebAuthn

Ángel Robledano
  • Escrito por Ángel Robledano el 14 de Mayo de 2019
  • 4 min de lectura | Desarrollo Web
Qué es WebAuthn

Conoce que es WebAuthn: Sustituto de Contraseñas

En los últimos años las contraseñas han sido unas de las piezas primordiales al momento de ingresar en cualquier aplicación, pero con la creación de múltiples servicios en línea se convirtió en la parte fundamental de los sistemas informáticos. Es una tarea muy tediosa tener en la memoria distintas combinaciones y ha creado hábitos no recomendados a los usuarios de elegir patrones que son fáciles de recordar. Cabe destacar que esta fue una gran debilidad aprovechada por profesionales dedicados a los ataques informáticos.

En su momento hubo numerosas ideas por resolver la problemática de la administración de las claves de acceso. Desde la iniciativa de sumar un proceso extra de seguridad, como la autenticación de dos pasos, hasta otras modalidades más atractivas, como las píldoras y los tatuajes. Sin embargo, las organizaciones W3C y FIDO Alliance, las cuales fueron dos de los estándares más utilizados en la Web, publicaron WebAuthn, conocida como una modalidad de identificación de los usuarios con base en los sistemas biométricos como el reconocimiento facial y la huella dactilar.

Ahora bien, WebAuthn estará disponible para que un navegador web o sistema tenga la capacidad de reconocer a un usuario a través de la solicitud de confirmación de un dispositivo seguro, como una tableta, pendrive o teléfono móvil o mediante su huella dactilar.

La creación de esta modalidad de autenticación tiene como finalidad erradicar los ataques que se basan en Phishing (técnica delictiva dedicada a la sustitución y hurto de identidades para acceder a un sistema informático). Algo también muy importante de WebAuthn es la participación de Mozilla, Google y Microsoft en implementar este estándar en sus navegadores y de manera extensiva y paulatina, a los sistemas operativos como Chrome Os, Android, Windows, Linux y Mac. Es muy importante aclarar que esta función se encuentra en su etapa inicial y se espera que se extienda en los browsers Firefox, Chrome y Edge.

¿Para qué está diseñado WebAuthn?

WebAuthn está diseñado para trabajar con autenticación de varios factores, factiblemente en esquemas sin contraseña que tienden a utilizar a verificación biométrica o de gestos en lugar de requerir numerosos carácteres. También está diseñado para que funcione con varios mecanismos de autenticación de clave pública, a partir de ejecuciones de software puro hasta hardware especializados, como un módulo de plataforma confiable, ejecución de un procesador o un token de hardware externo a el que se ingresa por USB, comunicaciones de campo cercano (NFC) o Bluetooth de muy baja energía. Esto proviene de los estándares previos de Universal 2nd Factor (U2F) de FIDO Alliances y del Marco universal de Autenticación (UAF) y se encuentra diseñado para funcionar con el protocolo de autenticador cliente (CTAP).

¿Pero qué objetivo tiene WebAuthn en nuestra vida?

El objetivo de esta modalidad de autenticación es que los usuarios puedan identificarse en cualquier aplicación o web utilizando la lectura del iris, la huella del dedo o una imagen de nuestro rostro obtenida mediante la cámara. Esta aplicación es multiplataforma, una de sus ventajas, es que se puede usar el móvil para acceder a cualquier página desde el navegador de nuestro computador o se puede usar una Yubikey (clave de seguridad) si resulta más cómodo.

Para poder aclarar más el tema, WebAuthn busca hacer posible es que los usuarios entren, por ejemplo, en Amazon, Gmail, Spotify o Facebook mediante su huella dactilar, como se haría para desbloquear la pantalla del el móvil y además que sea indiferente si entran desde Safari, Edge, Mozilla o Chrome, todo esto con el fin de reforzar la seguridad y despidiéndose de las contraseñas tediosas.

Otras ventajas de WebAuthn son:

La autenticación se reduce a un solo paso, ciertamente la primera vez que los usuarios usen el sistema tendrán que ingresar algún código que les llegara a través de un mensaje de texto, luego los logins deberán ser solo mirar a la cámara o simplemente colocar el dedo en el lector de huella.
Las credenciales de los usuarios sean huellas o su rostro, nunca se borraran del dispositivo y en ningún momento se guardan en el servidor de las compañías, Así, es se evita que caiga en manos de los delincuentes, por causa de una fuga de información.
Quedó en el pasado la reutilización de claves y el usuario no tiene que pensar en una diferente para cada servicio.

¿Porque hoy en día no estamos utilizando WebAuthn?

Jeff Jaffe, responsable de World Wide Web Consortium (W3C), asegura que este sistema de autenticación cambiara la forma de acceder a la web, y por eso recomendó a todos los desarrolladores que se agreguen a este estándar, esto sería un paso muy importante para que tenga éxito.

Como todo en la tecnología el mayor reto que se le presenta a WebAuthn es poder obtener la adopción, mientras Amazon, Facebook, etc no lo hayan ejecutado, este sistema no será más que una promesa, es evidente que las aplicaciones y las páginas pequeñas no se tomaran el tiempo de modificar su código para incluir el nuevo sistema hasta que los grandes hayan dado el paso.

Lo que nos alienta es que la aplicación ya cuenta con el respaldo de las empresas responsables de los sistemas operativos y navegadores, Firefox y Mozilla ya lo incluyeron desde su última actualización, Microsoft Edge y Google Chrome se comprometieron a implementarlo los próximos meses, también los responsables de los equipos Windows Hello y Android se están encomendando a que sus ordenadores y móviles sean completamente compatibles y Apple ha expresado su valioso apoyo y da fe de que sus ingenieros están trabajando en la tarea, claro sin tener una fecha en concreto.

Para concluir es esencial que tengamos en cuenta que después de tantos años de aceptar violaciones de datos, esta es la oportunidad de que los proveedores de servicios dejen de depender de contraseñas vulnerables, es evidente que deben deshacerte de aquellos códigos de acceso únicos y optar por la autenticación FIDO. Según Jeff Jaffe, existen muchos problemas vinculados con la seguridad web y hasta ahora no se puede reparar todos. Pero tener confianza en contraseñas es una de los puntos más débiles. Con WebAuthn eliminaremos ese vínculo.

Relacionado

Te dejamos una selección de cursos, carreras y artículos

Curso de introducción a Ethical Hacking

Curso de introducción a Ethical Hacking

curso

Con este curso aprenderás:

  • Saber en qué consiste la Seguridad de la información y su importancia en empresas
  • Descubrir Nmap y sus parámetros
  • Ataques SQL Injection

Duración: 5 horas y 50 minutos

Hacking tutorial: 8 mitos de la seguridad informática

Hacking tutorial: 8 mitos de la seguridad informática

Ethical hacking

23 de Julio de 2015

Serie de mitos relacionados con la seguridad informática que aunque algunos parezcan más que obvios, aún hay una gran cantidad de gente que los sigue tomando como guía a seguir, cuando lo mejor es ...

Ciberseguridad

Ciberseguridad

carrera

Incluye 6 cursos:

  • Curso de introducción a Ethical Hacking
  • Curso de Seguridad en Redes con Snort
  • Curso de desarrollo seguro

y 3 cursos más!

Duración: 22 horas y 47 minutos

Estas son algunas de las empresas que ya confían en OpenWebinars

Profesores y profesionales

Nuestros docentes son profesionales que trabajan día a día en la materia que imparten

Conviértete en profesor de OpenWebinars