Las passkeys, un sistema de autenticación basado en criptografía asimétrica, han sido promocionadas como una alternativa más segura a las contraseñas tradicionales. Empresas como Google, Apple y Amazon ya las implementan para que los usuarios puedan acceder a sus cuentas sin necesidad de recordar claves. Sin embargo, un investigador de seguridad informática demostró que este método no es invulnerable y logró hackearlo mediante un ataque de phishing en redes públicas.
Cómo funcionan las passkeys y por qué se consideran seguras
Las passkeys operan a través de un par de claves cifradas, donde la clave pública se almacena en un servidor y la clave privada queda en el dispositivo del usuario. Esto impide que sean interceptadas por hackers o filtradas en bases de datos, como ocurre con las contraseñas convencionales.
Pero a pesar de su seguridad avanzada, existen riesgos:
- Compatibilidad limitada entre plataformas como Windows, iOS y Android.
- Sincronización en la nube, lo que podría exponerlas en caso de vulnerabilidades en los servidores.
- Dispositivos físicos comprometidos: si un teléfono o computadora es robado, un atacante podría intentar acceder a las passkeys almacenadas localmente.
El primer ataque exitoso contra passkeys
El newsletter especializado en ciberseguridad Dark News reportó el primer caso de phishing exitoso contra passkeys, realizado por el investigador Tobia Righi.
El ataque se basa en un engaño con redes WiFi falsas y dispositivos Bluetooth. Un hacker podría utilizar un pequeño dispositivo (como una Raspberry Pi) para crear una red WiFi pública falsa en un lugar concurrido, como un aeropuerto o un café.
MÁS LEÍDAS
MEMES - Luciana quedó eliminada de “Gran Hermano” tras perder contra Chiara: una gala picante!
Di María se burló de Raphinha tras sus provocaciones y encendió el clásico Argentina-Brasil: "Que siga hablando..."
La China Suárez reapareció con Mauro Icardi y explotaron las redes: looks ochentosos y mensaje desafiante tras el escándalo
Cuánto costará el dólar tras el acuerdo con el FMI según Wall Street: las proyecciones de los bancos internacionales
Detuvieron a un enfermero por robar fentanilo del hospital público para venderlo en Concepción del Uruguay
- La víctima se conecta a la red WiFi fraudulenta, que imita una conexión legítima.
- Es redirigida a una página falsa, que solicita autenticación con Google o Facebook.
- El atacante intercepta el proceso de verificación y le envía a la víctima un enlace fraudulento por Bluetooth.
- Al hacer clic en el enlace, el usuario sin darse cuenta autoriza el acceso a su cuenta en el dispositivo del atacante.
- El hacker obtiene las credenciales de sesión (cookies y claves temporales) y puede entrar sin necesidad de contraseña o passkey.
Por qué este ataque es tan peligroso
Este tipo de phishing avanzado es especialmente riesgoso en lugares públicos donde los usuarios suelen conectarse a redes abiertas sin precaución. Si la víctima usa la misma cuenta para bancos, correos electrónicos o datos personales, el atacante puede obtener información confidencial y acceder a múltiples servicios.
¿Las passkeys siguen siendo seguras?
Si bien este ataque no compromete directamente las claves privadas de las passkeys, demuestra que los hackers pueden explotar vulnerabilidades en la interacción entre el usuario y los sistemas de autenticación. Para evitar estos ataques, los expertos en ciberseguridad recomiendan:
- No conectarse a redes WiFi públicas sin una VPN.
- Evitar escanear códigos QR sospechosos o recibir enlaces por Bluetooth.
- Utilizar autenticación multifactor para cuentas sensibles.
A pesar de este hallazgo, las passkeys siguen siendo más seguras que las contraseñas tradicionales, pero como cualquier tecnología, no son infalibles ante el ingenio de los ciberdelincuentes.
