Las claves de acceso están diseñadas para reemplazar contraseñas y combatir ataques de phishing, pero tanto Google como Microsoft advierten que son insuficientes si persisten métodos de recuperación más débiles. Microsoft afirmó: “Cada cuenta es tan segura como su credencial más débil”, lo que indica que las contraseñas y las opciones de recuperación de SMS aún podrían proporcionar nuevas superficies de ataque incluso después de implementar claves de acceso.
Google reconoce que las claves de acceso facilitan un acceso en línea más fácil y seguro en comparación con las contraseñas y otros métodos tradicionales de autenticación multifactor. Sin embargo, la compañía advierte que los usuarios también deben proteger sus cuentas con verificación en dos pasos (2SV) para protegerlas contra intentos de suplantación de identidad que podrían explotar las claves de acceso perdidas.
Las vulnerabilidades en los procesos de recuperación automatizados pueden permitir a los atacantes utilizar credenciales más débiles para eludir las claves de acceso por completo. Según Microsoft, si bien la implementación de claves de acceso mejora la seguridad del inicio de sesión, muchas cuentas siguen teniendo opciones de recuperación de contraseñas o SMS vinculadas, lo que mantiene posibles superficies de ataque. “La implementación de claves de acceso mejora el inicio de sesión”, dijo Microsoft, enfatizando los riesgos que presentan los métodos de recuperación débiles.
La solución de recuperación óptima implica utilizar la clave de acceso de la cuenta en un dispositivo diferente. Microsoft también señaló que un método de recuperación superior incluye la presentación de una identificación emitida por el gobierno y una verificación biométrica, en línea con las recomendaciones del NIST para una recuperación de alta seguridad.
Microsoft dirige su orientación principalmente a usuarios empresariales, mientras que Google se centra en usuarios domésticos. A pesar de esta distinción, ambos reconocen que servicios como Gmail siguen siendo objetivos atractivos para los ciberdelincuentes. Google insta a los usuarios a implementar 2SV para mayor protección contra el acceso no autorizado, particularmente dado el riesgo de que los atacantes hagan un mal uso del proceso de recuperación de la cuenta.
Google enfatiza la necesidad de utilizar dos tipos específicos de 2SV: Google Prompts y una aplicación Authenticator en dispositivos móviles. Tanto Google como Microsoft desaconsejan confiar en códigos SMS de un solo uso, categorizándolos como formas débiles de autenticación multifactor que deberían desactivarse por completo en favor de alternativas más seguras.
Aunque la adopción de claves de acceso está aumentando, Microsoft advierte que su eficacia depende de que los usuarios eliminen por completo las credenciales susceptibles de phishing. Google enfatiza que si bien las claves de acceso son un desarrollo crucial, no son una solución infalible, particularmente porque los atacantes apuntan cada vez más a los flujos de recuperación y a los métodos de autenticación alternativos.
