Por: Vasu Jakkal, vicepresidenta corporativa de seguridad, cumplimiento, identidad y gestión.
Por: Joy Chik, presidenta, identidad y acceso a la red.
Hace diez años, Microsoft imaginó un futuro audaz: un mundo libre de contraseñas. Cada año, celebramos el Día Mundial de la Contraseña poniéndolos al día sobre nuestro progreso hacia la eliminación definitiva de las contraseñas. Hoy, anunciamos la compatibilidad con claves de paso (passkeys) para las cuentas de consumidor de Microsoft, el siguiente paso hacia nuestra visión de un acceso sencillo y seguro para todos.
En 2015, cuando presentamos Windows Hello y Windows Hello for Business como formas seguras de acceder a Windows 10 sin escribir una contraseña, nuestros sistemas de identidad detectaban alrededor de 115 ataques de contraseña por segundo.1 Menos de una década después, ese número ha aumentado un 3.378% a más de 4 mil ataques de contraseñas por segundo.2 Los ataques a contraseñas son tan populares porque no dejan de obtener resultados. Está bastante claro que las contraseñas no son suficientes para proteger nuestras vidas en línea. No importa lo larga y complicada que sea su contraseña, o la frecuencia con la que la cambien, no deja de ser un riesgo.
La buena noticia es que hemos avanzado mucho para hacer de las contraseñas una reliquia del pasado. Durante un tiempo, han podido iniciar sesión en aplicaciones y sitios web con claves de seguridad FIDO, Windows Hello o la aplicación Microsoft Authenticator en lugar de una contraseña. Desde septiembre de 2021, no solo han podido iniciar sesión en su cuenta de Microsoft sin contraseña, sino que también han podido eliminar su contraseña por completo.3 Ya casi llegamos a donde queremos llegar.
Y ahora hay una forma aún mejor de iniciar sesión en más lugares sin contraseñas: las claves de paso.
El futuro del inicio de sesión
Si son como muchas personas, es probable que aún usen contraseñas para iniciar sesión en la mayoría de sus sitios web y aplicaciones, es muy probable desde varios dispositivos. Esto puede traducirse en cientos de contraseñas para recordar, a menos que usen un administrador de contraseñas. Con las claves de paso, en lugar de crear, administrar, recordar e ingresar contraseñas, ustedes acceden a sus cuentas digitales de la misma manera que desbloquean su dispositivo, por lo general con su rostro, huella digital o PIN del dispositivo. Cada vez más aplicaciones y servicios agregan soporte para claves de paso; ya pueden usarlas para iniciar sesión en los más populares. Las claves de paso son mucho más fáciles y seguras que las contraseñas que predecimos que las claves de paso reemplazarán a las contraseñas casi por completo (y esperamos que esto suceda pronto).
A partir de hoy, pueden usar una clave de paso para acceder a su cuenta de Microsoft con su rostro, huella dactilar o PIN del dispositivo en las plataformas Windows, Google y Apple. Su clave de paso les brinda acceso rápido y fácil a los servicios de Microsoft que usan todos los días, y hará un trabajo mucho mejor que su contraseña para proteger su cuenta de ataques malintencionados.
Más fácil y seguro que las contraseñas
Piensen en cuántas veces y en cuántos lugares inician sesión con una contraseña todos los días. ¿Son 10? 50? No solo es una experiencia frustrante, sino que también es una forma poco confiable de proteger una cuenta digital. He aquí por qué: cuando ingresan una contraseña para iniciar sesión en una cuenta, de manera básica comparten un secreto con el sitio web o la aplicación para demostrar que deberían tener acceso a la cuenta. El problema es que cualquiera que se apodere de este secreto puede acceder a su cuenta, y si su contraseña se ve comprometida y aparece en la dark web, las repercusiones pueden ser graves.
Para que sus credenciales sean más seguras, es posible que una aplicación o un sitio web les pidan que hagan que su contraseña sea más larga o más compleja. Pero incluso si siguen todas las mejores prácticas para crear contraseñas «seguras», todavía es un ejercicio trivial para los piratas informáticos adivinar, robar o engañarlos para que las revelen.
Es posible que ustedes mismos hayan sufrido un ataque: dan clic en un enlace de un correo electrónico que parece legítimo, lo que lleva a un sitio web que se parece al que están acostumbrados, pidiéndoles que ingresen sus credenciales. Pero cuando lo hacen, no pasa nada o reciben un mensaje de error. Para cuando notan que la URL en la barra de direcciones de su navegador es diferente a la habitual, es demasiado tarde. Acaban de ser víctimas de phishing por parte de un sitio web malicioso.
Muchos proveedores de aplicaciones y sitios web entienden que incluso las contraseñas complicadas no son tan buenas buenas para proteger su cuenta, por lo que les dan la opción de usar la autenticación en dos pasos o multifactor con aprobaciones y códigos enviados a su teléfono, correo electrónico o una aplicación. Si bien la autenticación multifactor tradicional puede ayudar a proteger su cuenta, no es a prueba de atacantes y crea otra barrera frustrante entre ustedes y su contenido: todos estos intentos de acceso, contraseñas y códigos en todos sus dispositivos en verdad pueden acumularse.
Es por eso que estamos tan entusiasmados con las claves de paso.
Cómo funcionan las claves de paso
Las claves de paso funcionan de manera diferente a las contraseñas. En lugar de un único secreto vulnerable, el acceso a la clave de paso utiliza dos claves únicas, conocidas como par de claves criptográficas. Una clave se almacena de forma segura en su dispositivo, protegida por sus datos biométricos o PIN. La otra clave permanece con la aplicación o el sitio web para el que crean la clave de paso. Necesitan ambas partes del par de claves para iniciar sesión, al igual que necesitan tanto su llave como la llave del banco para ingresar a su caja de seguridad.
Debido a que esta combinación de pares de claves es única, su clave de paso solo funcionará en el sitio web o la aplicación para la que la crearon, por lo que no los pueden engañar para que inicien sesión en un sitio web malintencionado similar. Es por eso que decimos que las claves de paso son «resistentes al phishing».
Y lo que es mejor, toda la bondad y la solidez de la autenticación criptográfica se quedan entre bastidores. Todo lo que tienen que hacer para iniciar sesión es usar el gesto de desbloqueo de su dispositivo: miren a la cámara de su dispositivo, presionen con el dedo en un lector de huellas dactilares o ingresen su PIN. Ni su información biométrica ni su PIN salen de su dispositivo y nunca se comparten con el sitio o servicio en el que inician sesión. Las claves de paso también pueden sincronizarse entre sus dispositivos, por lo que si pierden o actualizan su dispositivo, sus claves de paso estarán listas y esperándolos cuando configuren la nueva.
La mejor parte de las claves de paso es que nunca más tendrán que preocuparse por crear, olvidar o restablecer contraseñas.
Creación de una clave de paso para su cuenta de Microsoft
Crear una clave de paso para su cuenta de Microsoft es fácil. En el dispositivo en el que desean crear la clave de paso, sigan este enlace y elijan la opción de rostro, huella digital, PIN o clave de seguridad. A continuación, sigan las instrucciones de su dispositivo.
Para obtener más información sobre cómo crear claves de paso para su cuenta de Microsoft, visiten esta guía.
Iniciar sesión en su cuenta de Microsoft con una clave de paso
Al iniciar sesión en su cuenta de Microsoft, pueden usar la clave de paso al elegir Opciones de inicio de sesión y, a continuación, seleccionen la cara, la huella digital, el PIN o la clave de seguridad. Su dispositivo abrirá una ventana de seguridad y, a continuación, podrán usar su clave de paso para iniciar sesión.
Hoy en día, pueden usar una clave de paso para iniciar sesión en aplicaciones y sitios web de Microsoft, incluidos Microsoft 365 y Copilot en exploradores de escritorio y móviles. En las próximas semanas se admitirá el inicio de sesión en las versiones móviles de las aplicaciones de Microsoft con la clave de paso.
Si desean usar claves de paso para iniciar sesión en aplicaciones y servicios relacionados con el trabajo, el administrador puede configurar el identificador de Microsoft Entra para que acepte claves de paso hospedadas en una clave de seguridad de hardware o en la aplicación Microsoft Authenticator instalada en el dispositivo móvil.
En esta era de la IA, existe una oportunidad sin precedentes para la creatividad y la productividad que permite a todas las personas del planeta, incluidos los miles de millones de usuarios de Microsoft que acceden a servicios para el trabajo y la vida todos los días, lograr más. Proteger y acceder a su vida digital no tiene por qué ser una molestia, y no deberían tener que elegir entre un acceso simple y un acceso seguro. Acceder a su cuenta de Microsoft con una clave de paso les permite dejar atrás la frustración de las contraseñas y los códigos, para que puedan centrarse en ser creativos y hacer las cosas.
¡Feliz Día Mundial de la Contraseña!
Aprendan más
Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
1Guía de contraseñas de Microsoft, Equipo de Microsoft Identity Protection.
2Microsoft Entra se expande a Security Service Edge y Azure AD se convierte en Microsoft Entra ID, Joy Chik. 11 de julio de 2023.
3El futuro sin contraseña ya está aquí para tu cuenta de Microsoft, Vasu Jakkal. 15 de septiembre de 2021.