¿Qué es la autenticación FIDO (Fast Identity Online)?

Las claves de acceso se almacenan en el dispositivo de un usuario, como un teléfono inteligente. Permiten al usuario iniciar sesión en un sitio web o aplicación a través de los mismos métodos que utilizan para desbloquear su dispositivo, como reconocimiento facial, escaneo de huellas dactilares o ingresar un PIN.

El IBM X-Force Threat Intelligence Index informa que el robo de credenciales es el impacto más común al que se enfrentan la víctimas de filtraciones. Los actores de amenazas utilizan ataques de phishing y malware de robo de información para recopilar estas credenciales, que pueden vender en la dark web o utilizar para ampliar su alcance en una red. Casi un tercio de los ciberataques implican el secuestro de cuentas de usuario válidas.

La autenticación FIDO ayuda a minimizar las amenazas de ciberseguridad que plantean el robo de credenciales y el secuestro de cuentas. Las claves de paso no se pueden robar tan fácilmente como las contraseñas. Para entrar en una cuenta protegida con clave de acceso, un atacante debe obtener acceso al dispositivo del usuario e ingresar con éxito su PIN o eludir la seguridad biométrica.

La FIDO Alliance es un consorcio de gobierno, empresas y empresas tecnológicas, incluidas IBM, Apple, Amazon, Microsoft, PayPal y muchas otras. El grupo desarrolla y mantiene estándares de autenticación FIDO con el objetivo de reducir la dependencia de las contraseñas.

La Alianza FIDO publicó el primer protocolo FIDO, FIDO 1.0, en 2014. El último protocolo, FIDO2, se desarrolló en cooperación con el World Wide Sitio web Consortium y se lanzó en 2018.

Hoy en día, millones de personas utilizan la autenticación FIDO para iniciar sesión en sitios web y aplicaciones. El protocolo FIDO2 es compatible con los principales navegadores web, sistemas de inicio de sesión único (SSO), soluciones de gestión e identidad de acceso (IAM), servidores web y sistemas operativos incluidos iOS, MacOS, Android y Windows.

La autenticación FIDO emplea criptografía de clave pública (PKC) para generar un par de claves criptográficas únicas asociadas a la cuenta de un usuario. Este par de claves, denominado “clave de paso”, consiste en una clave pública que permanece con el proveedor de servicios y una clave privada que reside en el dispositivo del usuario.

Cuando el usuario inicia sesión en su cuenta, el proveedor de servicios envía un desafío (normalmente una cadena aleatoria de caracteres) al dispositivo del usuario. El dispositivo le da la instrucción al usuario que se autentique mediante un PIN o autenticación biométrica.

Si el usuario se autentica correctamente, el dispositivo utiliza la clave privada para firmar el desafío y enviarlo de vuelta al proveedor de servicios. El proveedor de servicios utiliza la clave pública para Verify que se utilizó la clave privada correcta y, si es así, otorga al usuario acceso a su cuenta.

Una clave de acceso almacenada en un dispositivo se puede utilizar para iniciar sesión en un servicio en otro dispositivo. Por ejemplo, si un usuario configura una clave de acceso para su cuenta de correo electrónico en su dispositivo móvil, aún puede iniciar sesión en esa cuenta en una computadora portátil. El usuario completará el reto de autenticación en el dispositivo móvil registrado.

FIDO también soporta el uso de claves de seguridad, también llamadas “tokens”, como método de autenticación. Las llaves de seguridad FIDO son pequeños dispositivos físicos dedicados que pueden crear pares de claves y firmar desafíos. Se conectan a otros dispositivos a través de Bluetooth, protocolos de comunicación de campo cercano (NFC) o un puerto USB. Una llave de seguridad FIDO puede ocupar el lugar de los datos biométricos o un PIN en el proceso de autenticación: la posesión de la clave autentica al usuario.

Debido a que la clave privada se almacena en el dispositivo del usuario, y nunca sale, se minimiza la posibilidad de una violación de seguridad. Los hackers no pueden robarlo irrumpiendo en una base de datos o interceptando las comunicaciones. La clave pública que reside en el proveedor de servicios no contiene información confidencial y es de poca utilidad para los hackers.

Para configurar la autenticación FIDO en una cuenta de correo electrónico, un usuario puede seguir estos pasos:

1. En la configuración de la cuenta, el usuario selecciona "clave de paso" como método de autenticación.
   
   
2. El usuario selecciona el dispositivo en el que desea crear la clave de acceso. La mayoría de los sistemas crean de forma predeterminada una clave de acceso en el dispositivo actualmente en uso, pero los usuarios a menudo tienen la opción de seleccionar un dispositivo diferente que posean.
     
3. El dispositivo seleccionado pide al usuario que se autentique a través de datos biométricos o un PIN.
   
   
4. El dispositivo del usuario crea un par de claves criptográficas. La clave pública se envía al proveedor de correo electrónico y la clave privada se almacena en el dispositivo.
   
   
5. La próxima vez que el usuario inicie sesión, el proveedor de correo electrónico enviará un desafío al dispositivo del usuario.
   
   
6. El usuario responde al desafío autenticar con datos biométricos o un PIN.
   
   
7. El dispositivo devuelve el desafío firmado al proveedor de correo electrónico, que utiliza la clave pública para verificarlo.
   
   
8. El usuario tiene acceso a la cuenta de correo electrónico.

FIDO admite dos tipos de claves de acceso: claves de acceso sincronizadas y claves de acceso vinculadas al dispositivo.

Las claves de acceso sincronizadas se pueden usar en varios dispositivos, lo que las hace más convenientes. Los administradores de credenciales como Apple Passwords, Windows Hello y Google Password Manager pueden almacenar claves de acceso sincronizadas y ponerlas a disposición de los usuarios en cualquier dispositivo.

Por ejemplo, un usuario puede registrarse para obtener una clave de acceso en un smartphone para acceder a una aplicación bancaria. Esa misma clave de acceso está disponible a través del gestor de credenciales cuando el usuario inicia sesión en la aplicación bancaria con su computadora portátil o tableta.

Este tipo de clave de acceso está vinculada a un único dispositivo, lo que ofrece el más alto nivel de seguridad.

Normalmente se accede a las claves de acceso vinculadas a dispositivos con una llave de seguridad física conectada a un dispositivo concreto. La clave de acceso no puede salir del dispositivo, por lo que es menos vulnerable al acceso no autorizado.

Las claves de acceso vinculadas a dispositivos a menudo se utilizan para acceder a información altamente confidencial, como datos financieros, propiedad intelectual corporativa o materiales de gobierno confidenciales.

Los protocolos FIDO evolucionaron y mejorado desde la introducción de FIDO 1.0 en 2014. La funcionalidad de los protocolos introducidos en FIDO 1.0 se incorpora a los protocolos más nuevos de autenticación FIDO2.

FIDO UAF fue uno de los primeros protocolos desarrollados por la FIDO Alliance. Proporciona la capacidad de iniciar sesión en un servicio sin usar una contraseña. Con UAF, un usuario puede autenticar directamente desde un dispositivo empleando datos biométricos como reconocimiento facial o un PIN.

U2F se desarrolló para proporcionar autenticación de dos factores (2FA) para sistemas que dependen de nombres de usuario y contraseñas. Los métodos 2FA requieren un segundo factor para que los usuarios confirmen sus identidades. U2F utiliza una clave de seguridad física como segundo factor.

Después del lanzamiento de FIDO2, U2F pasó a llamarse "CTAP1".

FIDO2 introdujo dos nuevos protocolos que amplían el alcance y las capacidades de los protocolos anteriores.

WebAuthn mejora las capacidades de la UAF al proporcionar una interfaz de programación de aplicaciones web (API web) que pone la autenticación sin contraseña a disposición de las partes que confían. Se denomina "partes de confianza" a los sitios y aplicaciones web que utilizan la autenticación FIDO.

Además de la API, WebAuthn también proporciona estándares FIDO que definen cómo deben fluir las interacciones entre la aplicación web, el navegador web y un autenticador, como una clave de seguridad.

CTAP2 define cómo un cliente FIDO, como un navegador sitio web o un sistema operativo, se comunica con un autenticador. Un autenticador es el componente que verifica la identidad de un usuario.

En U2F (o CTAP1), el autenticador siempre fue una clave de seguridad. CTAP2 agrega soporte para autenticadores adicionales que residen en el dispositivo de un usuario, como reconocimiento facial y de voz, huellas dactilares o un PIN.

Las claves de acceso FIDO proporcionan un método más rápido, fácil y seguro para el inicio de sesión de los usuarios. Para los sitios web de comercio electrónico y los grandes proveedores de servicios globales, FIDO puede mejorar la experiencia del cliente y reducir la necesidad de recuperación de cuentas debido a la pérdida u olvido de las credenciales.

Las compañías emplean la autenticación FIDO para conceder a empleados, proveedores, contratistas y otros stakeholders un acceso rápido a los recursos corporativos. En comparación con la autenticación mediante contraseña, las claves de acceso FIDO pueden ofrecer una seguridad y facilidad de uso superiores.

FIDO se utiliza a menudo para autenticar a los compradores en entornos de comercio electrónico, como confirmar pagos a través de aplicaciones móviles. También se puede utilizar para Verify la identidad del titular de la tarjeta antes de permitir que se realice una transacción.

FIDO no procesa pagos, pero ayuda a garantizar que las personas estén autorizadas para realizar transacciones, lo que puede reducir el fraude.

Algunas agencias de gobierno ahora emplean la autenticación FIDO para actividades como el procesamiento de declaraciones de impuestos y la verificación de aplicaciones de beneficios públicos. Por ejemplo, el servicio login.gov que proporciona a los ciudadanos un único punto de acceso para una variedad de agencias federales de EE. UU. emplea la autenticación FIDO2.