¿Qué es la autenticación FIDO (Fast Identity Online)?

Las claves de acceso se almacenan en el dispositivo de un usuario, como un teléfono inteligente. Permiten al usuario iniciar sesión en un sitio web o aplicación a través de los mismos métodos que utiliza para desbloquear su dispositivo, como el reconocimiento facial, el escaneo de huellas dactilares o la introducción de un PIN.

El IBM X-Force Threat Intelligence Index informa de que el robo de credenciales es el impacto más común al que se enfrentan las víctimas de las brechas. Los actores de amenazas utilizan ataques de phishing y malware de robo de información para recopilar estas credenciales, que pueden vender en la dark web o utilizar para ampliar su alcance en una red. Casi un tercio de los ciberataques implican el secuestro de cuentas de usuario válidas.

La autenticación FIDO ayuda a minimizar las amenazas de ciberseguridad que plantean el robo de credenciales y el secuestro de cuentas. Las claves de acceso no se pueden robar tan fácilmente como las contraseñas. Para entrar en una cuenta protegida con clave de acceso, un atacante debe obtener acceso al dispositivo del usuario e introducir con éxito su PIN o eludir la seguridad biométrica.

La FIDO Alliance es un consorcio de gobierno, empresas y compañías tecnológicas entre las que se encuentran IBM, Apple, Amazon, Microsoft, PayPal y muchas otras. El grupo desarrolla y mantiene las normas de autenticación FIDO con el objetivo de reducir la dependencia de las contraseñas.

La FIDO Alliance lanzó el primer protocolo FIDO, FIDO 1.0, en 2014. El último protocolo, FIDO2, se desarrolló en cooperación con el World Wide Web Consortium y se lanzó en 2018.

Hoy en día, millones de personas utilizan la autenticación FIDO para iniciar sesión en sitios web y aplicaciones. El protocolo FIDO2 es compatible con los principales navegadores web, sistemas de inicio de sesión único (SSO), soluciones de gestión de identidades y accesos (IAM), servidores web y sistemas operativos, incluidos iOS, MacOS, Android y Windows.

La autenticación FIDO utiliza criptografía de clave pública (PKC) para generar un par de claves criptográficas únicas asociadas a la cuenta de un usuario. Este par de claves, denominado "clave de acceso", consta de una clave pública que permanece con el proveedor de servicios y una clave privada que reside en el dispositivo del usuario.

Cuando el usuario inicia sesión en su cuenta, el proveedor de servicios envía un desafío, por lo general, una cadena aleatoria de caracteres, al dispositivo del usuario. El dispositivo da la instrucción al usuario para que se autentique mediante un PIN o una autenticación biométrica.

Si el usuario se autentica exitosamente, el dispositivo utiliza la clave privada para firmar el desafío y enviarlo de vuelta al proveedor de servicios. El proveedor de servicios utiliza la clave pública para verificar que se ha utilizado la clave privada correcta y, de ser así, concede al usuario acceso a su cuenta.

Una clave de acceso almacenada en un dispositivo se puede utilizar para iniciar sesión en un servicio en otro dispositivo. Por ejemplo, si un usuario configura una clave de acceso para su cuenta de correo electrónico en su dispositivo móvil, aún puede iniciar sesión en esa cuenta en un ordenador portátil. El usuario completaría el desafío de autenticación en el dispositivo móvil registrado.

FIDO también admite el uso de claves de seguridad, también llamadas "tokens de hardware", como método de autenticación. Las claves de seguridad FIDO son dispositivos físicos pequeños y dedicados que pueden crear pares de claves y firmar desafíos. Se conectan a otros dispositivos a través de Bluetooth, protocolos de comunicación de campo cercano (NFC) o un puerto USB. Una clave de seguridad FIDO puede sustituir a los datos biométricos o a un PIN en el proceso de autenticación: la posesión de la clave autentica al usuario.

Dado que la clave privada se almacena en el dispositivo del usuario (y nunca sale), se minimiza la posibilidad de una violación de seguridad. Los hackers no pueden robarla irrumpiendo en una base de datos o interceptando las comunicaciones. La clave pública que reside en el proveedor de servicios no contiene información confidencial y es de poca utilidad para los hackers.

Para configurar la autenticación FIDO en una cuenta de correo electrónico, un usuario puede seguir estos pasos:

1. En la configuración de la cuenta, el usuario selecciona "clave de acceso" como método de autenticación.
   
   
2. El usuario selecciona el dispositivo en el que desea crear la clave de acceso. La mayoría de los sistemas crean de forma predeterminada una clave de acceso en el dispositivo actualmente en uso, pero los usuarios suelen tener la opción de seleccionar un dispositivo diferente que posean.
     
3. El dispositivo seleccionado pide al usuario que se autentique a través de datos biométricos o un PIN.
   
   
4. El dispositivo del usuario crea un par de claves criptográficas. La clave pública se envía al proveedor de correo electrónico y la clave privada se almacena en el dispositivo.
   
   
5. La próxima vez que el usuario inicie sesión, el proveedor de correo electrónico enviará un desafío al dispositivo del usuario.
   
   
6. El usuario responde al reto autenticándose con datos biométricos o un PIN.
   
   
7. El dispositivo devuelve el desafío firmado al proveedor de correo electrónico, que utiliza la clave pública para verificarlo.
   
   
8. Se concede al usuario acceso a la cuenta de correo electrónico.

FIDO admite dos tipos de claves de paso: claves de acceso sincronizadas y claves de acceso vinculadas al dispositivo.

Las claves de acceso sincronizadas se pueden usar en varios dispositivos, lo que las hace más convenientes. Los administradores de credenciales como Apple Passwords, Windows Hello y Google Password Manager pueden almacenar claves de acceso sincronizadas y ponerlas a disposición de los usuarios en cualquier dispositivo.

Por ejemplo, un usuario puede registrarse para obtener una clave de acceso en un smartphone para acceder a una aplicación bancaria. Esa misma clave de acceso está disponible a través del gestor de credenciales cuando el usuario inicia sesión en la aplicación bancaria con su ordenador portátil o tablet.

Este tipo de clave de acceso está vinculada a un único dispositivo, lo que ofrece el más alto nivel de seguridad.

Normalmente se accede a las claves de acceso vinculadas a dispositivos con una llave de seguridad física conectada a un dispositivo concreto. La clave de acceso no puede salir del dispositivo, por lo que es menos vulnerable al acceso no autorizado.

Las claves de acceso vinculadas a dispositivos se utilizan a menudo para acceder a información muy confidencial, como datos financieros, propiedad intelectual corporativa o materiales de gobierno confidenciales.

Los protocolos FIDO han evolucionado y mejorado desde la introducción de FIDO 1.0 en 2014. La funcionalidad de los protocolos introducidos en FIDO 1.0 se incorpora a los protocolos más nuevos de autenticación FIDO2.

FIDO UAF fue uno de los primeros protocolos desarrollados por la FIDO Alliance. Proporciona la capacidad de iniciar sesión en un servicio sin usar una contraseña. Con UAF, un usuario puede autenticarse directamente desde un dispositivo mediante el uso de datos biométricos como el reconocimiento facial o un PIN.

U2F se desarrolló para proporcionar autenticación de dos factores (2FA) para sistemas que dependen de nombres de usuario y contraseñas. Los métodos 2FA requieren un segundo factor para que los usuarios confirmen sus identidades. U2F utiliza una clave de seguridad física como segundo factor.

Después del lanzamiento de FIDO2, U2F pasó a llamarse "CTAP1".

FIDO2 introdujo dos nuevos protocolos que amplían el alcance y las capacidades de los protocolos anteriores.

WebAuthn mejora las capacidades de la UAF al proporcionar una interfaz de programación de aplicaciones web (API web) que pone la autenticación sin contraseña a disposición de las partes que confían. Se denomina "partes de confianza" a los sitios y aplicaciones web que utilizan la autenticación FIDO.

Además de la API, WebAuthn también proporciona estándares FIDO que definen cómo deben fluir las interacciones entre la aplicación web, el navegador web y un autenticador, como una clave de seguridad.

CTAP2 define cómo un cliente FIDO, como un navegador web o un sistema operativo, se comunica con un autenticador. Un autenticador es el componente que verifica la identidad de un usuario.

En U2F (o CTAP1), el autenticador siempre fue una clave de seguridad. CTAP2 añade soporte para autenticadores adicionales que residen en el dispositivo de un usuario, como reconocimiento de voz y facial, huellas dactilares o un PIN.

Las claves de acceso FIDO proporcionan un método más rápido, fácil y seguro para el inicio de sesión de los usuarios. Para los sitios web de comercio electrónico y los grandes proveedores de servicios globales, FIDO puede mejorar la experiencia del cliente y reducir la necesidad de recuperar cuentas por pérdida u olvido de credenciales.

Las empresas utilizan la autenticación FIDO para conceder a los empleados, proveedores, contratistas y otros stakeholders un acceso rápido a los recursos corporativos. En comparación con la autenticación por contraseña, las claves de acceso FIDO pueden ofrecer una seguridad y facilidad de uso superiores.

FIDO se utiliza a menudo para autenticar a los compradores en entornos de comercio electrónico, como la confirmación de pagos a través de aplicaciones móviles. También puede utilizarse para verificar la identidad del titular de una tarjeta antes de permitir que se realice una transacción.

FIDO no procesa pagos, pero ayuda a garantizar que las personas estén autorizadas para realizar transacciones, lo que puede reducir el fraude.

Algunas agencias gubernamentales ahora utilizan la autenticación FIDO para actividades como la tramitación de las declaraciones de la renta y la verificación de las aplicaciones para beneficios públicos. Por ejemplo, el servicio login.gov que proporciona a los ciudadanos un único punto de acceso para una variedad de agencias federales de EE. UU. utiliza la autenticación FIDO2.