Aprende a gestionar +100 Pipelines en AWS con CDK
Aprende a gestionar +100 Pipelines en AWS con CDK Descubre cómo transformar la gestión de infraestructura escalando a más de
El futuro sin contraseñas: WebAuthn, FIDO2 y el reto de la Criptografía Cuántica
Descubre cómo WebAuthn y FIDO2 eliminan las contraseñas para frenar el phishing y cómo la criptografía post-cuántica protegerá nuestros datos.
Adiós al Password: La evolución hacia una autenticación segura
Durante el pasado SpainClouds Summit, Rubén Gómez García, Software Engineer en Plain Concepts, ofreció una visión integral sobre el estado actual y futuro de la ciberseguridad, centrando su ponencia en la autenticación sin contraseñas (Passwordless) y los desafíos que plantea la computación cuántica.
En un contexto donde los vectores de ataque son cada vez más sofisticados, la industria tecnológica está empujando hacia la adopción masiva de Passkeys y estándares abiertos. Gómez destacó hitos recientes como el lanzamiento de soporte para Passkeys de Google en 2023 y su despliegue en Android en 2024, señalando una tendencia clara hacia credenciales compartidas entre dispositivos.
¿Por qué las contraseñas ya no sirven?
El modelo tradicional de autenticación se basa en «algo que sé» (el usuario y la contraseña). Sin embargo, este sistema presenta vulnerabilidades críticas:
Almacenamiento inseguro
Al validar credenciales, el servidor almacena la información, lo que la hace susceptible a robos masivos en bases de datos o ataques de fuerza bruta.
Factor humano
A pesar de las políticas de contraseñas robustas (mayúsculas, símbolos, longitud), los usuarios tienden a patrones predecibles como «123456» o «password», que pueden descifrarse en menos de un segundo.
Vulnerabilidad ante Phishing
Incluso con un segundo factor de autenticación (2FA) tradicional, como un código SMS, los usuarios pueden ser víctimas de ataques Man-in-the-Middle. Rubén demostró cómo un atacante puede interceptar tanto la contraseña como el código OTP mediante una web falsa, secuestrando la sesión del usuario en tiempo real.
La solución propuesta es cambiar el paradigma: dejar de depender de «lo que sé» y pasar a basarnos en «lo que tengo» (una llave de seguridad, un móvil) y «lo que soy» (biometría).
WebAuthn y FIDO2: Cómo funciona la autenticación sin contraseñas
La tecnología detrás de este cambio es WebAuthn, parte del estándar FIDO2. Gómez explicó que este sistema utiliza criptografía asimétrica (clave pública y clave privada) para garantizar que las credenciales nunca salgan del dispositivo del usuario.
El flujo de seguridad
- Registro: El usuario genera un par de llaves en su dispositivo. La clave pública se envía al servidor, pero la clave privada permanece segura en el dispositivo (móvil, ordenador o llave de seguridad) y nunca se comparte.
- Autenticación (Login): Cuando el usuario quiere acceder, el servidor envía un «desafío» (challenge). El dispositivo del usuario firma este desafío con su clave privada. El servidor valida la firma con la clave pública almacenada y permite el acceso.
Criptografía Cuántica y Post-Cuántica
La última parte de la charla abordó una preocupación creciente: ¿Están nuestros datos seguros ante la llegada de los ordenadores cuánticos?
La criptografía actual (como RSA) basa su seguridad en la dificultad matemática de factorizar números primos muy grandes, un problema que a la computación clásica le llevaría tiempos exponenciales resolver. Sin embargo, la computación cuántica, aprovechando propiedades como la superposición y el entrelazamiento de qubits, podría teóricamente romper estos algoritmos mediante el algoritmo de Shor.
Aunque un ordenador cuántico con suficientes qubits podría descifrar claves RSA, actualmente existe el problema de la decoherencia cuántica, que dificulta mantener los qubits estables el tiempo suficiente para realizar estos cálculos complejos.
No obstante, la industria ya trabaja en la Criptografía Post-Cuántica. Organismos como el NIST están estandarizando nuevos algoritmos diseñados para resistir ataques de ordenadores cuánticos, asegurando que la información encriptada hoy no pueda ser descifrada en el futuro si la tecnología cuántica avanza. Esto es vital para proteger secretos de estado o datos sensibles a largo plazo.
Recibe nuestra Newsletter de Cloud semanal
La Arquitectura como base financiera
«La seguridad no empieza en la tecnología, empieza en nosotros». La transición hacia un mundo Passwordless no es solo una mejora de experiencia de usuario, sino una necesidad técnica para mitigar los vectores de ataque modernos, mientras nos preparamos para los desafíos criptográficos de la era cuántica.
SmartClouds helps businesses get in front of the right technical audience. We are experts in content creation and community management. We’ll help you showcase your products and the problems you solve.
Últimos articulos de SpainClouds Summit
Cómo Azure Databases y la IA revolucionan las aplicaciones modernas (RAG y Copilot)
Cómo Azure Databases y la IA revolucionan las aplicaciones modernas (RAG y Copilot) Así es la integración de IA en
Cómo crear Agentes de IA con Microsoft Copilot y Azure
Cómo crear Agentes de IA con Microsoft Copilot y Azure Aprende a construir flujos de trabajo complejos con Copilot Studio
El futuro sin contraseñas: WebAuthn, FIDO2 y el reto de la Criptografía Cuántica
El futuro sin contraseñas: WebAuthn, FIDO2 y el reto de la Criptografía Cuántica Descubre cómo WebAuthn y FIDO2 eliminan las
Cómo integrar Arquitectura de Soluciones y FinOps para controlar los costes en la nube
Cómo integrar Arquitectura de Soluciones y FinOps para controlar los costes en la nube Descubre cómo integrar Arquitectura de Soluciones
Estrategia FinOps as Code para automatizar el ahorro
Estrategia FinOps as Code para automatizar el ahorro ¿Miedo a abrir tu factura de AWS o Azure a fin de