Inicio » Our Blog » Technology » Los autenticadores itinerantes ofrecen lo que otras soluciones de claves de acceso no pueden ofrecer, pero existen compensaciones
Technology

Los autenticadores itinerantes ofrecen lo que otras soluciones de claves de acceso no pueden ofrecer, pero existen compensaciones

kypplo
17 de noviembre de 2025
0 Views
Los autenticadores itinerantes ofrecen lo que otras soluciones de claves de acceso no pueden ofrecer, pero existen compensaciones

VICTOR HABBICK VISIONS/BIBLIOTECA DE FOTOS DE CIENCIA/Biblioteca de fotografías de ciencia vía Getty Images

Siga ZDNET: Agréganos como fuente preferida en Google.

Conclusiones clave de ZDNET

  • Las claves de acceso son más seguras que las contraseñas para autenticarse con cuentas en línea.
  • Trabajar con claves de acceso requiere un autenticador y otras tecnologías.
  • El autenticador itinerante podría ser el tipo de autenticador más complicado y seguro.

Seamos realistas. Cuando se trata de contraseñas, somos verdaderamente nuestros peores enemigos. ¿Demasiado duro? No me parece. Estamos haciendo todo lo posible para que a los actores de amenazas les resulte más fácil infligir lo peor: desde la exfiltración y distribución de nuestra información confidencial hasta el vaciado de nuestras cuentas bancarias. Dada la frecuencia con la que los usuarios finales continúan habilitando inadvertidamente a estos piratas informáticos, prácticamente nos hemos unido al otro lado.

De hecho, las investigaciones ahora muestran que, a pesar de recibir una capacitación exhaustiva e integral en ciberseguridad, un enorme 98% de nosotros terminamos siendo engañados por phishers, smishers, quishers y otros actores de amenazas que intentan engañarnos para que revelemos accidentalmente nuestras contraseñas secretas.

También: Cómo preparar su empresa para un futuro sin contraseñas: en 5 pasos

Al darse cuenta de que la formación y la educación son aparentemente inútiles, la industria tecnológica decidió adoptar un enfoque alternativo: eliminar las contraseñas por completo. En lugar de una credencial de inicio de sesión que nos obliga a ingresar (también conocido como «compartir») nuestro secreto en una aplicación o sitio web (conocidos colectivamente como «parte de confianza»), ¿qué tal un estándar sin contraseña para toda la industria que aún implica un secreto, pero que nunca necesita ser compartido con nadie? ¿Ni siquiera las partes legítimas que confían, y mucho menos los actores de amenazas? De hecho, ¿no sería fantástico si ni siquiera nosotros, los usuarios finales, tuviéramos idea de cuál era ese secreto?

En pocas palabras, esa es la premisa de una clave de acceso. Las tres grandes ideas detrás de las claves de acceso son:

  • No se pueden adivinar (como pueden hacerlo las contraseñas, y a menudo lo son).
  • La misma clave de acceso no se puede reutilizar en diferentes sitios web y aplicaciones (como pueden hacerlo las contraseñas).
  • No lo pueden engañar para que divulgue sus claves de acceso a actores malintencionados (como pueden hacerlo las contraseñas).

Fácil, ¿verdad? Bueno, no tan rápido. Mientras que el 99% de los flujos de trabajo actuales de ID de usuario y contraseña son fáciles de entender y no se necesita ninguna tecnología adicional especialmente diseñada para completar el proceso, no se puede decir lo mismo de las claves de acceso.

Con las claves de acceso, como con todo lo relacionado con la ciberseguridad, tendrás que cambiar algo de comodidad por una seguridad mejorada. Como expliqué anteriormente con gran detalle, esa compensación vale la pena.Pero en esa compensación se incluye cierta complejidad a la que será necesario acostumbrarse.

Detrás de escena con claves de acceso

Cada vez que crea una nueva clave de acceso o utiliza una para iniciar sesión en una parte de confianza, interactuará con una variedad de tecnologías (el hardware de su dispositivo, el sistema operativo que está ejecutando, el navegador web nativo del sistema operativo, la parte de confianza y el autenticador) diseñadas para interoperar entre sí para producir una experiencia de usuario final y, con suerte, sin fricciones. Algunas de estas tecnologías se superponen de tal manera que se desdibujan los límites entre ellas.

Además: Cómo funcionan las claves de acceso: la guía completa para su inevitable futuro sin contraseñas

La palabra «contraseña» es en realidad un apodo para el Alianza FIDO Especificación de credencial FIDO2que en sí mismo es esencialmente una fusión de otros dos estándares abiertos: el del World Wide Web Consortium (W3) Estándar WebAuthn para autenticación sin contraseña basada en Web (HTTP) con una parte de confianza y el Protocolo de cliente a autenticador (CTAP) de FIDO Alliance. En cuanto al «Autenticador» en el «Protocolo de cliente a autenticador», WebAuthn distingue entre tres tipos diferentes de autenticadores: plataformavirtual y itinerante.

El tema de esta cuarta y última parte de la serie de ZDNET sobre tecnologías de autenticación de claves de acceso es el autenticador itinerante.

Limitaciones de un autenticador itinerante

Como su nombre lo indica, un autenticador itinerante es un dispositivo físico, como una memoria USB (comúnmente conocida como llave de seguridad), que puede llevarse en el bolsillo. YubiKeys de Yubico y El titán de Google son dos ejemplos comunes de autenticadores itinerantes. Sin embargo, los autenticadores itinerantes pueden venir en forma de otros dispositivos, incluidos teléfonos inteligentes y tarjetas inteligentes.

yubikey-5c-nfc-en-la-mano-de-la-palma-de-davids

Yubico ofrece una amplia variedad de autenticadores itinerantes, la mayoría de los cuales difieren según su capacidad para conectarse a un dispositivo. Por ejemplo, el YubiKey 5C NFC se puede conectar físicamente a un dispositivo a través de USB-C o de forma inalámbrica a través de Near Field Communication (NFC). Pero los autenticadores itinerantes también son pequeños y fáciles de extraviar o perder, razón por la cual necesitas al menos dos, uno como respaldo.

yubico

Actualmente, cuando se utiliza un autenticador itinerante específico para respaldar una ceremonia de registro de clave de acceso para una parte de confianza determinada, la clave de acceso se crea y almacena en forma cifrada en el autenticador itinerante de tal manera que no se puede desacoplar del dispositivo físico. Por este motivo, las claves de acceso creadas con autenticadores móviles se consideran «vinculadas al dispositivo». En otras palabras, a diferencia del llavero iCloud de Apple, el administrador de contraseñas de Google Chrome y la mayoría de los administradores de contraseñas virtuales, una clave de acceso que se crea y almacena en un autenticador itinerante también es una clave de acceso no sincronizable. No se puede extraer del hardware subyacente, sincronizarlo con una nube y desde allí sincronizarlo con los otros dispositivos del usuario.

También: Las mejores llaves de seguridad: probadas por expertos

Esta limitación de los autenticadores itinerantes también refleja la situación actual de Windows Hello, donde los usuarios tienen la opción de crear una clave de acceso vinculada al sistema Windows subyacente. En tal caso, la clave de acceso resultante está vinculada criptográficamente al hardware de seguridad del sistema, también conocido como Módulo de Plataforma Confiable (TPM). Cada sistema moderno tiene un TPM criptográficamente único que sirve como raíz de confianza basada en hardware a la que se pueden vincular inextricablemente las claves de acceso y otros secretos.

Teniendo esto en cuenta, un autenticador itinerante puede, en cierto modo, considerarse como una raíz de confianza itinerante; Es esencialmente un TPM portátil. Mientras que una clave de acceso que está vinculada a un TPM conectado al circuito de una computadora o dispositivo móvil nunca puede divorciarse del dispositivo, una clave de acceso que se guarda en un autenticador itinerante todavía está vinculada criptográficamente a una raíz de confianza basada en hardware, pero luego se puede compartir entre varios dispositivos a los que se puede conectar el autenticador itinerante. Por ejemplo, una clave de acceso guardada en una YubiKey basada en USB se puede utilizar para respaldar una ceremonia de autenticación basada en una clave de acceso en cualquier dispositivo en el que se pueda insertar esa YubiKey (por ejemplo, una computadora de escritorio, un teléfono inteligente, una tableta o una consola de juegos).

La clave de acceso sincronizable

El principal beneficio de este enfoque es que recibe los beneficios multidispositivo de una clave de acceso sincronizable basada en software sin que la clave de acceso se guarde en ningún lugar excepto en el autenticador de itinerancia. No se guarda en ninguno de sus dispositivos informáticos ni pasa por ninguna nube en línea para sincronizarlo y utilizarlo desde sus otros dispositivos. En lugar de sincronizar una clave de acceso a través de la nube, simplemente conecta el autenticador itinerante a cualquier dispositivo que lo necesite para una ceremonia de autenticación con una parte de confianza.

Sin embargo, los autenticadores itinerantes se diferencian significativamente de su plataforma y sus homólogos virtuales en que no incluyen ninguna capacidad de gestión de contraseñas. No puede guardar una identificación de usuario o una contraseña en un autenticador móvil de la misma manera que se puede guardar una clave de acceso en uno. Esto presenta un poco de enigma porque los administradores de contraseñas aún son útiles por sus capacidades no relacionadas con claves de acceso, como crear contraseñas únicas y complejas para cada parte que confía y luego completarlas automáticamente en formularios de inicio de sesión cuando sea necesario. Si su estrategia de administración de credenciales implica tanto un administrador de contraseñas como un autenticador itinerante, básicamente terminará con dos autenticadores: uno virtual (como parte integral del administrador de contraseñas) y el otro itinerante, lo que a su vez requerirá que decida y luego recuerde qué autenticador usar para cada parte de confianza.

Además: Claves de acceso sincronizables y no sincronizables: ¿Son los autenticadores itinerantes lo mejor de ambos mundos?

Afortunadamente, existe un caso de uso claro en el que tiene mucho sentido tener un autenticador itinerante además de una plataforma o un autenticador virtual. Como se describe en este informe sobre una asociación reciente entre Dashlane y Yubico, los administradores de contraseñas implican una especie de paradoja: si necesita iniciar sesión en su administrador de contraseñas para poder iniciar sesión en todo lo demás, entonces, ¿cómo inicia sesión en su administrador de contraseñas?

La mejor estrategia es hacerlo con un autenticador itinerante. Después de todo, su administrador de contraseñas tiene las llaves de todo su reino. La idea de que un hacker acceda a su administrador de contraseñas debería generar una gran cantidad de miedo en el corazón de cualquiera. Pero cuando la única forma de autenticarse con su administrador de contraseñas es con algo que posee físicamente, como un autenticador itinerante, entonces no hay forma de que un hacker malicioso le haga ingeniería social para obtener las credenciales de su administrador de contraseñas. Quizás el punto más importante de las noticias de Dashlane es cómo puede eliminar por completo el ID de usuario y la contraseña como medio para iniciar sesión en su cuenta de Dashlane.

Pero una vez que sigues este camino, surge la siguiente complicación.

Aquí está el problema: para aquellas partes de confianza donde sus únicas claves de acceso coincidentes son las claves de su autenticador itinerante, necesitarán un segundo autenticador itinerante en el que almacenar sus claves de acceso de respaldo. Un tercer autenticador itinerante (una copia de seguridad de la copia de seguridad) tampoco vendría mal. A diferencia de los ID de usuario y las contraseñas, debería poder crear varias claves de acceso (cada una de ellas única entre sí) para cada parte de confianza que admita claves de acceso. Si tiene tres autenticadores itinerantes, querrá registrar tres claves de acceso independientes para cada parte de confianza (una clave de acceso única por autenticador itinerante).

Además: ¿Qué pasa si le roban su dispositivo de clave de acceso? Cómo gestionar el riesgo en nuestro futuro sin contraseñas

Si realmente lo piensas, la idea principal detrás de las claves de acceso es deshacerse de las contraseñas. Una vez que una parte de confianza elimina la opción de autenticarse con una identificación de usuario y contraseña, debe tener mucho cuidado de no perder su clave de acceso (y un autenticador itinerante es muy fácil de perder). Algunas partes que confían, como GitHub, no ofrecen esquemas de recuperación de cuentas protegidas por una clave de acceso, y con razón. Si usted es una parte de confianza y uno de sus usuarios ha elegido proteger una cuenta en sus sistemas con una clave de acceso, debe asumir que lo hizo por una razón, de modo que no haya otra forma de iniciar sesión.

Etiquetas:

Artículos relacionados
About US

Kypplo is your go-to destination for life’s essentials at unbeatable prices. We offer a curated selection of top-notch products that cater to your everyday needs. With a strong focus on quality, affordability, and customer satisfaction, we’re committed to providing you with the best shopping experience. Discover the difference with Kypplo – where essentials meet excellence.

Product categories
Affiliate Disclosure

Affiliate Disclosure: As an Amazon Associate Partner, we may earn commissions from qualifying purchases from Amazon. You can learn more about our editorial and affiliate policy.

2025 Kypplo.es Design. All rights reserved.
Kypplo
Logo
Comparar artículos
  • Total (0)
Comparar
0
Shopping cart