¿Qué es FIDO2?

FIDO2 consta de dos protocolos: Web Authentication (WebAuthn) y Client to Authenticator Protocol 2 (CTAP2). Al trabajar juntos, estos protocolos permiten a los usuarios iniciar sesión en un sitio web o aplicación sin el uso de contraseñas tradicionales.

En lugar de contraseñas, la autenticación FIDO2 utiliza los mismos métodos que las personas utilizan para desbloquear un dispositivo como un móvil o una computadora portátil. Los usuarios de FIDO2 pueden autenticarse con reconocimiento facial, un lector de huellas dactilares o introduciendo un PIN. También pueden utilizar un token de hardware físico conocido como clave de seguridad FIDO2.

Dado que FIDO2 se basa en la criptografía de clave pública, proporciona un método de autenticación más seguro que las contraseñas, que suelen ser el objetivo de los atacantes. El IBM® X-Force Threat Intelligence Index informa que casi un tercio de los ciberataques implican el secuestro de cuentas de usuario válidas.

Al eliminar las contraseñas, FIDO2 mitiga muchas amenazas de ciberseguridad, como el phishing, los ataques de intermediario y el secuestro de cuentas. También proporciona una experiencia de usuario más conveniente porque no es necesario recordar contraseñas, cambiar contraseñas regularmente o lidiar con procesos de restablecimiento y recuperación.

La autenticación FIDO2 utiliza criptografía de clave pública para generar un par de claves criptográficas únicas, denominadas "clave de acceso", asociadas con la cuenta de un usuario. El par de claves consta de una clave pública que permanece en poder del proveedor de servicios y una clave privada que reside en el dispositivo del usuario.

Cuando el usuario inicia sesión en su cuenta, el proveedor de servicios envía un desafío, por lo general, una cadena aleatoria de caracteres, al dispositivo del usuario. El dispositivo solicita al usuario que se autentique introduciendo un PIN o utilizando la autenticación biométrica.

Si el usuario se autentica exitosamente, el dispositivo utiliza la clave privada para firmar el desafío y enviarlo de vuelta al proveedor de servicios. El proveedor de servicios utiliza la clave pública para verificar que se ha utilizado la clave privada correcta y, de ser así, concede al usuario acceso a su cuenta.

Una clave de acceso almacenada en un dispositivo se puede utilizar para iniciar sesión en un servicio en otro dispositivo. Por ejemplo, si un usuario configura una clave de acceso para su cuenta de correo electrónico en su dispositivo móvil, podrá seguir accediendo a su cuenta de correo electrónico en una computadora portátil. El usuario completaría el desafío de autenticación en el dispositivo móvil registrado.

FIDO2 también admite el uso de claves de seguridad, como YubiKey o Google Titan, como método de autenticación.

Las claves de seguridad, también llamadas "tokens", son pequeños dispositivos físicos que transmiten información de autenticación directamente a un servicio. Pueden conectarse a través de Bluetooth, protocolos de comunicación de campo cercano (NFC) o un puerto USB. Los usuarios pueden utilizar una clave de seguridad FIDO2 en lugar de datos biométricos o un PIN para autenticarse y firmar un reto.

Debido a que la clave privada se almacena en el dispositivo del usuario, y nunca sale, se minimiza la posibilidad de una violación de seguridad. Los hackers no pueden robarlo irrumpiendo en una base de datos o interceptando las comunicaciones. La clave pública que reside en el proveedor de servicios no contiene información confidencial y es de poca utilidad para los hackers.

Supongamos que un usuario quiere utilizar la autenticación FIDO para iniciar sesión en su cuenta de correo electrónico. El proceso para crear una clave de paso y autenticarse con ella sería así:

1. En la configuración de la cuenta, el usuario selecciona "clave de paso" como método de autenticación.
   
   
2. El usuario selecciona el dispositivo en el que desea crear la clave de acceso. Este dispositivo suele ser el dispositivo que están utilizando actualmente, pero también puede ser un dispositivo diferente que posean.
   
   
3. El dispositivo seleccionado solicita al usuario que se autentique mediante datos biométricos, un PIN o una clave de seguridad.
   
   
4. El dispositivo del usuario crea un par de claves criptográficas. La clave pública se envía al proveedor de correo electrónico y la clave privada se almacena en el dispositivo.
   
   
5. La próxima vez que el usuario inicie sesión, el proveedor de correo electrónico enviará un desafío al dispositivo del usuario.
   
   
6. El usuario responde al desafío autenticándose con datos biométricos, un PIN o una clave de seguridad.
   
   
7. El dispositivo devuelve el reto autenticado al proveedor de correo electrónico, que utiliza la clave pública para verificarlo.
   
   
8. El usuario tiene acceso a la cuenta de correo electrónico.

FIDO2 admite dos tipos de claves de paso: claves de acceso sincronizadas y claves de acceso vinculadas al dispositivo.

Las claves de acceso sincronizadas se pueden usar en varios dispositivos, lo que las hace más convenientes. Los administradores de credenciales como Apple Passwords, Windows Hello y Google Password Manager pueden almacenar claves de acceso sincronizadas y ponerlas a disposición de los usuarios en cualquier dispositivo.

Por ejemplo, un usuario puede registrarse para obtener una clave de acceso en un móvil para acceder a una aplicación bancaria. Esa misma clave de acceso estará disponible a través del gestor de credenciales cuando el usuario inicie sesión en la aplicación bancaria con su computadora portátil o tableta.

Este tipo de clave de acceso está vinculada a un único dispositivo, lo que ofrece el más alto nivel de seguridad.

Normalmente se accede a las claves de acceso vinculadas a dispositivos con una llave de seguridad física conectada a un dispositivo concreto. La clave de acceso no puede salir del dispositivo, por lo que es menos vulnerable al acceso no autorizado.

Las claves de acceso vinculadas a dispositivos a menudo se utilizan para acceder a información altamente confidencial, como datos financieros, propiedad intelectual corporativa o materiales de gobierno confidenciales.

En 2013, un grupo de empresas tecnológicas formaron la FIDO Alliance. El objetivo de la organización era reducir la dependencia mundial de la autenticación basada en contraseñas.

Un año después, la alianza introdujo el estándar FIDO 1.0, que constaba de dos protocolos: Universal Authentication Framework (UAF) y Universal Second Factor (U2F). El nuevo estándar sentó las bases para la autenticación sin contraseña, pero tenía un alcance limitado.

Por ejemplo, FIDO 1.0 se centraba principalmente en proporcionar un segundo factor para la autenticación basada en contraseñas, en lugar de eliminar las contraseñas por completo. También carecía de una estandarización que permitiera adoptarla fácilmente en diferentes plataformas, aplicaciones y navegadores web.

La FIDO Alliance abordó estas limitaciones cuando lanzó los dos nuevos protocolos de FIDO2, Client to Authenticator Protocol 2 (CTAP2) y Web Authentication (WebAuthn), en 2018.

CTAP2 proporciona una experiencia de autenticación sin contraseña de un solo factor. WebAuthn simplifica la adopción de FIDO con una interfaz de programación de aplicaciones (API) estandarizada basada en navegador. Esta funcionalidad ampliada ha ayudado a FIDO2 a convertirse en un estándar de autenticación ampliamente adoptado para sitios web, aplicaciones y servicios en línea.

Hoy en día, millones de personas utilizan la autenticación FIDO2 para iniciar sesión en sitios web y aplicaciones. El estándar FIDO2 es compatible con la mayoría de los dispositivos de usuario, navegadores web, sistemas de inicio de sesión único (SSO) , soluciones de gestión de identidad y acceso (IAM), servidores web y sistemas operativos, incluidos iOS, macOS, Android y Windows.

Año 2013: La Alianza FIDO se funda con el objetivo de reducir la dependencia de la autenticación basada en contraseñas.

2014:  Se lanza FIDO 1.0.

2015: Los estándares FIDO comienzan a ser reconocidos en todo el mundo. La Alianza FIDO se expande a más de 250 miembros, incluyendo compañías como Microsoft, Google, PayPal y Bank of America.

2016: La Alianza FIDO comienza a trabajar en FIDO2. El grupo colabora con el influyente Consorcio World Wide Sitio web para ayudar a garantizar que el nuevo estándar sea compatible con diferentes navegadores y plataformas sitio web.

2018: Se lanza FIDO2 , que amplía las capacidades de FIDO 1.0.

2020: FIDO2 es compatible y está implementado en los principales navegadores sitio web y sistemas operativos, incluidos Firefox, Chrome, Edge, Safari, Android, iOS y Windows.

2024: FIDO Alliance anuncia que más de 15 000 millones de cuentas de usuario en todo el mundo pueden utilizar la autenticación FIDO2.

Aunque tanto FIDO 1.0 como FIDO2 permiten la autenticación sin contraseña, FIDO2 amplía significativamente el alcance y las capacidades de la norma FIDO con una autenticación fuerte totalmente sin contraseña a través de dispositivos móviles, ordenadores de sobremesa o claves de seguridad.

FIDO2 proporciona una experiencia de inicio de sesión más fácil de usar al eliminar la necesidad de ingresar contraseñas como primer factor en la autenticación multifactor (MFA). También proporciona una API estandarizada basada en la web para una fácil adopción.

Para obtener una imagen más clara de la diferencia entre FIDO 1.0 y FIDO2, es útil observar los protocolos específicos detrás de cada iteración del estándar. 

FIDO UAF fue uno de los primeros protocolos desarrollados por la FIDO Alliance. Proporciona la capacidad de iniciar sesión en un servicio sin usar una contraseña. En lugar de una contraseña, un usuario puede autenticarse directamente desde un dispositivo utilizando datos biométricos, como el reconocimiento de voz o facial, o un PIN.

Sin embargo, la falta de estandarización de UAF dificultaba su integración e implementación en distintos navegadores web, aplicaciones y servidores. Esta interoperabilidad limitada supuso un obstáculo para su adopción generalizada.

FIDO U2F se desarrolló para proporcionar autenticación de dos factores (2FA) para sistemas que dependen de nombres de usuario y contraseñas. El 2FA requiere un segundo factor para que los usuarios confirmen sus identidades. U2F utiliza una clave de seguridad física como segundo factor de autorización. Después del lanzamiento de FIDO2, U2F pasó a llamarse "CTAP1".

La dependencia de U2F de las claves de seguridad físicas en lugar de una gama más amplia de dispositivos, como teléfonos inteligentes y computadoras portátiles, fue un factor limitante para su adopción.

WebAuthn amplía las capacidades de UAF al proporcionar una API web que hace que la autenticación sin contraseña esté fácilmente disponible para las partes confiadas. Se denomina "partes fiables" a los sitios y aplicaciones web que utilizan la autenticación FIDO.

WebAuthn también proporciona estándares FIDO que definen cómo deben fluir las interacciones entre la aplicación web, el navegador web y un autenticador, como datos biométricos o una clave de seguridad.

CTAP2 define cómo un cliente FIDO, como un navegador web o un sistema operativo, se comunica con un autenticador. Un autenticador es el componente que verifica la identidad de un usuario. En U2F (o CTAP1), el autenticador siempre fue una clave de seguridad. CTAP2 incorpora autenticadores adicionales que residen en el dispositivo de un usuario, como el reconocimiento facial y vocal biométrico, huellas dactilares o un PIN.