Llaves de acceso en la empresa: ¿El fin de las contraseñas o una complicación más?

Ana Blanco Vigo -

Las grandes tecnológicas nos venden las llaves de acceso como el futuro de la seguridad online, un sustituto eficaz y cómodo para las contraseñas que podría acabar con el phishing y las filtraciones de datos. La idea es sencilla: inicias sesión con una llave criptográfica almacenada de forma segura en tu dispositivo, desbloqueándola con biometría o un PIN.

Pero, ¿qué tal funcionan realmente las llaves de acceso y FIDO2 WebAuthn en un entorno empresarial? ¿Son la panacea o un quebradero de cabeza más?

Ventajas de las llaves de acceso para empresas

La migración a una nueva tecnología siempre requiere una justificación sólida. Las llaves de acceso prometen solucionar varios problemas importantes:

  • Reducción del riesgo de brechas: Son resistentes al phishing, el principal reclamo de esta tecnología.
  • Defensa contra ataques de identidad: Fortalecen la seguridad contra ataques de fuerza bruta y relleno de credenciales.
  • Cumplimiento normativo: Ayudan a cumplir con las regulaciones que exigen métodos de autenticación robustos.
  • Reducción de costes: Usar llaves de acceso almacenadas en dispositivos existentes puede ser más económico que soluciones con dispositivos físicos.
  • Aumento de la productividad: Un inicio de sesión rápido y eficiente ahorra tiempo y reduce los problemas de acceso.
  • Disminución de la carga de trabajo del soporte técnico: Se reducen las consultas por contraseñas olvidadas y cuentas bloqueadas.

¿Está extendida la adopción de las llaves de acceso en las empresas?

Según un informe de FIDO Alliance, un alto porcentaje de empresas ya están adoptando o considerando las llaves de acceso. Sin embargo, esta cifra incluye soluciones tradicionales como tarjetas inteligentes y tokens USB, que aunque se basan en WebAuthn, pueden resultar costosas y complejas de gestionar.

La transición completa a las llaves de acceso en toda la empresa es un proceso gradual, que suele comenzar con empleados que manejan información sensible, administradores de sistemas y directivos.

Posibles obstáculos para la adopción

La transición a las llaves de acceso no está exenta de desafíos:

  • Sistemas heredados: Dificultad para migrar en sistemas de TI antiguos, como Active Directory local.
  • Fragmentación: La diversidad de métodos de almacenamiento de llaves de acceso entre Apple, Google y Microsoft complica el uso en diferentes dispositivos.
  • BYOD: Problemas de gestión si la empresa permite el uso de dispositivos personales o tiene restricciones sobre el Bluetooth.
  • Costes de hardware: Gastos en tokens y gestión de dispositivos físicos.
  • Requisitos de seguridad: Necesidad de llaves de hardware no sincronizables para alta seguridad.
  • Formación: Necesidad de formar a los empleados sobre el uso de la biometría.
  • Políticas: Creación de políticas detalladas para TI, ciberseguridad y soporte técnico.

¿Qué opinan los reguladores?

Los organismos reguladores suelen apoyar las llaves de acceso como un método de autenticación seguro. Estándares como las Guías de Identidad Digital NIST SP 800-63 y directivas como la PSD2 de la UE las respaldan, aunque no las exigen explícitamente.

La adopción de llaves de acceso puede ser una opción rentable para cumplir con las regulaciones, especialmente para empresas que utilizan servicios en la nube y tienen una flota de dispositivos corporativos bien gestionada.

Hoja de ruta para la transición

La transición a las llaves de acceso requiere una planificación cuidadosa y una estrategia gradual para superar los desafíos técnicos y organizativos. No es una solución mágica, pero bien implementada, puede mejorar significativamente la seguridad de tu empresa.