Recientes advertencias de la FIDO Alliance y Yubico han sacado a la luz la inseguridad de implementar passkeys sincronizadas en entornos organizacionales. Aunque estas credenciales ofrecen comodidad para el usuario mediante la sincronización a través de servicios en la nube como iCloud o Google Cloud, también amplían considerablemente la superficie de ataque, aumentando la vulnerabilidad frente a ataques de tipo adversario en el medio y técnicas de phishing.
Passkeys: el arma de doble filo
Los investigadores han demostrado que los entornos de navegador comprometidos pueden manipular los registros y accesos de WebAuthn, sin comprometer la criptografía de las passkeys. Esto se logra a través de extensiones maliciosas o aprovechando vulnerabilidades existentes, lo que permite a los atacantes ejecutar acciones como la inyección de código o el secuestro de procesos de autenticación. La seguridad de la implementación se ve comprometida, particularmente cuando los usuarios son inducidos a seleccionar métodos de autenticación más débiles, como SMS o OTP, por un proxy malicioso que intercepta la comunicación.
En contraste, las passkeys vinculadas a dispositivos, que generalmente requieren componentes de hardware seguro para su generación y uso, ofrecen un control más robusto sobre las señales del dispositivo y la gestión del ciclo de vida. Este enfoque no solo mejora la seguridad, sino que también permite a las organizaciones realizar auditorías más eficaces sobre sus sistemas de autenticación.
Por lo tanto, tanto la FIDO Alliance como Yubico recomiendan a las empresas que reconsideren la implementación de passkeys sincronizadas, optando en su lugar por soluciones que estén ligadas a dispositivos para asegurar una mayor protección. La facilidad que ofrecen las passkeys sincronizadas no debería comprometer la integridad de la seguridad del acceso en los entornos empresariales.