Las claves de acceso están diseñadas para reemplazar contraseñas y combatir ataques de phishing, pero Google y Microsoft advierten que son insuficientes si se siguen utilizando métodos de recuperación más débiles. «Cada cuenta es tan segura como su credencial más débil», afirmó Microsoft, señalando que las contraseñas y la recuperación de SMS pueden crear nuevas vulnerabilidades incluso después de que se implementen las claves de acceso.
Google reconoció que “las claves de acceso son una forma más fácil y segura de acceder a cuentas en línea en comparación con las contraseñas e incluso con los métodos multifactor tradicionales”, pero enfatizó que no son completamente seguras por sí solas. La compañía advirtió a los usuarios que «incluso cuando normalmente usas una clave de acceso, es importante proteger tu cuenta con la verificación en dos pasos (2SV)». Esta capa adicional de seguridad es esencial, especialmente si alguien intenta hacerse pasar por el usuario y afirma haber perdido su clave de acceso.
Los procesos de recuperación automatizados que explotan credenciales más débiles pueden eludir una clave de acceso, lo que hace esencial proteger aún más las cuentas. Microsoft señaló la recuperación de cuentas como una nueva superficie de ataque a medida que aumenta la adopción de claves de acceso y disminuyen los métodos de ataque tradicionales. «La implementación de claves de acceso mejora el inicio de sesión», señaló Microsoft, «pero la mayoría de las cuentas todavía tienen una contraseña o un método de SMS adjunto ‘por si acaso’, y mientras esas credenciales existan, son una superficie de ataque».
El método de recuperación recomendado implica utilizar la clave de acceso de la cuenta en un dispositivo diferente para completar los pasos de recuperación. Microsoft también sugirió métodos de recuperación de alta seguridad que requieren una identificación emitida por el gobierno y una verificación biométrica, como un escaneo facial, diciendo: «Como recomienda el NIST, la recuperación de alta seguridad requiere una identificación emitida por el gobierno y una verificación biométrica».
Esta guía está dirigida principalmente a usuarios empresariales de Microsoft y usuarios domésticos de Google. A pesar de la diferencia de audiencia, ambas empresas reconocen las amenazas que persisten. Google destacó que las cuentas de alto valor como Gmail están bajo ataques constantes, e instó a los usuarios a implementar 2SV para mejorar la seguridad. Los usuarios también deben seleccionar formas efectivas de 2SV, como Google Prompts y una aplicación Authenticator, mientras abandonan los códigos SMS de un solo uso, que se consideran métodos más débiles.
A medida que se acelera la adopción de claves de acceso, Microsoft reiteró que las protecciones sólo funcionarán si los usuarios eliminan todas las credenciales susceptibles de phishing. La advertencia de Google sobre las limitaciones de las claves de acceso es particularmente relevante a medida que los atacantes comienzan a centrarse en los flujos de recuperación y los métodos de autenticación alternativos. La continua evolución de las amenazas requiere una estrategia de seguridad integral que incluya métodos de recuperación sólidos más allá de la simple implementación de claves de acceso.
