Página de inicio de OpenText.
Temas técnicos

¿Qué es la autenticación sin contraseña?

Ilustración de elementos informáticos centrada en una bombilla

Autenticación sin contraseña

¿Qué es la autenticación sin contraseña?

La autenticación sin contraseña es el proceso de verificar la identidad de alguien sin el uso del típico reclamo (nombre de usuario) y contraseña. Las herramientas que inyectan credenciales tradicionales en una solicitud de inicio de sesión no carecen de contraseña.

Los métodos de autenticación sin contraseña más comunes son la biometría, como el reconocimiento facial y de huellas dactilares, y las aplicaciones fuera de banda, habituales en los smartphones. Estas aplicaciones para teléfonos inteligentes suelen requerir una verificación biométrica que combina varios factores en un único proceso de autenticación.

OpenText IAM potencia su negocio

OpenText™ Identity and Access Management (NetIQ) ofrece un conjunto completo de servicios de identidad y acceso, que permite a los trabajadores acceder de forma segura a los recursos desde cualquier lugar, en cualquier dispositivo, en cualquier ubicación y en el momento adecuado. OpenText Cybersecurity también permite a las organizaciones interactuar con sus consumidores de forma eficaz y segura.

¿Por qué es popular la autenticación sin contraseña?

Aunque la promesa de una autenticación sin contraseña que sustituya a las credenciales tradicionales lleva viva más de tres décadas, la tecnología disponible hoy en día la ha hecho realidad. En 2022, el mercado sin contraseña era de 15.600 millones de dólares, pero se espera que crezca hasta superar los 53.000 millones en 2030. Gran parte de la adopción actual de la tecnología sin contraseña es posible gracias a los teléfonos inteligentes. El informe " The State of Passwordless" ( El estado de la autenticación sin contraseña), encargado por OpenText, señala que el 64% de los encuestados cree que es importante pasar a un modelo de autenticación totalmente sin contraseña.

Durante esta última década, el cumplimiento de los mandatos gubernamentales ha sido la fuerza que ha motivado a las organizaciones a adoptar tecnologías sin contraseña:

  • Agencias gubernamentales y del sector público están ahora sujetas a requisitos específicos de autenticación multifactor. Estos requisitos empezaron siendo recomendaciones pero, con los años, se convirtieron en políticas. Las políticas se pusieron en marcha como directrices generales, pero con el tiempo evolucionaron hasta convertirse en mandatos específicos de dos factores para el acceso a documentos clasificados.
  • Sanidad:las filtraciones de datos sanitariosen Estados Unidos y en todo el mundo causan más perjuicios económicos a las organizaciones de este mercado que cualquier otro, incluso el financiero. Las instituciones gubernamentales han respondido con requisitos específicos de autenticación sin contraseña y de dos factores.
  • Servicios financieros: aunquelas normativas gubernamentales obligan a proteger la información financiera y personal privada de los clientes, mantener la confianza de los consumidores impulsa la necesidad de seguridad de los datos. Aunque los servicios financieros han sido uno de los principales adoptantes de la autenticación multifactor, las plataformas de teléfonos inteligentes han impulsado aún más la adopción sin contraseña para la verificación de la identidad. 

Verificación de la identidad de los trabajadores

Históricamente, el uso de la tecnología sin contraseña en la seguridad del personal ha quedado relegado a aplicaciones y usuarios especializados. Sólo en la última década se han derribado las cuatro barreras más importantes para su adopción:

  1. Las fichas duras, los lectores de huellas dactilares para empresas y otros dispositivos biométricos ya no son demasiado caros para su uso en toda la empresa.
  2. El coste de inscripción y configuración de los dispositivos, antes prohibitivo para la adopción masiva -especialmente para los empleados remotos y las oficinas demasiado pequeñas para justificar la asistencia informática in situ-, es ahora más asequible.
  3. La administración remota continua de los dispositivos de autenticación, antes imposible, se está convirtiendo ahora en rutina, con reinicios y reconfiguración remotos que se están convirtiendo en la norma.
  4. Si antes los equipos de seguridad, sus directivos y, sobre todo, sus usuarios no confiaban en las tecnologías sin contraseña, la reciente proliferación de casos de uso ha generado una oleada de modernización y planificación de la autenticación.

Más allá de la evolución de los dispositivos, los casos de uso de la autenticación y los requisitos en torno a ellos también han cambiado más allá de los mandatos gubernamentales.

Trabajo a distancia

Ahora más que nunca, los trabajadores sobre el terreno acceden a información privada utilizando plataformas móviles. Más allá de los guerreros de la carretera, la adopción del teletrabajo ha experimentado un crecimiento significativo en los últimos tres años. Aunque antes de la pandemia el trabajo desde cualquier lugar no había dejado de crecer, las nuevas políticas de trabajo a distancia se han generalizado desde entonces en todos los sectores.

Nube 

Los datos privados estructurados y no estructurados se almacenan y acceden cada vez más desde la nube y no desde el centro de datos. Dado que el uso de centros de datos para alojar servicios corporativos y enrutar tráfico remoto ha disminuido drásticamente, las técnicas de seguridad de cortafuegos son cada vez más irrelevantes.

Uso de dispositivos personales

La creciente adopción del sistema "trae tu propio dispositivo" (BYOD) erosiona aún más el control de la seguridad. El acceso remoto a los recursos alojados en la nube desde BYOD desplaza la dependencia rudimentaria de los dispositivos gestionados a la seguridad basada en la identidad. Esta dependencia se traduce en una mayor exposición al phishing y a otros ataques que eluden la verificación de la identidad.

Este alejamiento de las redes gestionadas, los recursos digitales internos (servicios y datos no estructurados) y los dispositivos de la empresa significa que los equipos de seguridad ya no pueden depender de ellos como parte de su estrategia. En cambio, basar la seguridad en la identidad requiere una estrategia verificada que sea muy resistente a los impostores. Y aunque la adopción de la autenticación multifactor seguirá creciendo, el factor único sin contraseña eleva el listón de la seguridad por encima del nombre de usuario y la contraseña, al tiempo que simplifica el proceso de autenticación. Los empleados disfrutan de la rapidez y la comodidad del reconocimiento facial, la huella dactilar verificada u otra experiencia pasiva. Al mismo tiempo, la organización obtiene una mayor protección contra el phishing, la vulnerabilidad y fuente de filtraciones más destacada.

Los consumidores se pasan a la tecnología sin contraseña

El principal facilitador de la ausencia de contraseña es el teléfono inteligente. Con una gran potencia de cálculo en un paquete pequeño, se han convertido en un elemento indispensable para muchos de nosotros, lo que las convierte en un cambio de juego sin contraseña. Las usamos para todo: para enviar mensajes de texto, para las redes sociales, para comprar por Internet y para hacer operaciones bancarias. Hacemos fotos en un momento, buscamos direcciones o buscamos respuestas.

Esta dependencia de los dispositivos informáticos de mano ha provocado un cambio de paradigma de la autenticación sin precedentes:

  • La conectividad universal permite verificar fuera de banda la identidad de alguien durante la autenticación.
  • La potencia de procesamiento portátil puede generar semillas y claves que actúan como pines de un solo uso.
  • Los métodos biométricos y de autenticación pasiva avanzarán a medida que lo hagan los smartphones, lo que permitirá que la verificación evolucione y se haga más sofisticada.

Los consumidores son cada vez más conscientes de las amenazas que les plantea la autenticación tradicional. Las organizaciones reconocen este cambio y ven oportunidades para mejorar sus servicios digitales.

¿Es segura la autenticación sin contraseña?

El equipo de Verizon especializado en filtraciones de datos identificó el spear phishing como el principal método de robo de credenciales utilizado por los delincuentes. El spear phishing se inicia cuando el atacante envía un correo electrónico que parece proceder de una fuente de confianza, como un banco, un colega u otra fuente que envía a las víctimas a un sitio web falso. Este sitio web requiere autenticación, engañando a las víctimas para que revelen sus credenciales, introduzcan números de tarjetas de crédito o proporcionen algún otro tipo de información privada.

Una variante de este ataque ofrece un enlace que, al pulsarlo, instala malware en los ordenadores de las víctimas.

La tecnología sin contraseña es muy adecuada para protegerse contra este tipo de ataques. Para las plataformas configuradas para eliminar las contraseñas, no se puede capturar ninguna mediante la captura de entradas o pulsaciones de teclas. Para las plataformas que ofrecen contraseñas como opción, además de la autenticación sin contraseña, puede reforzarse con una autenticación multifactor sin contraseña, como algo que tienen -como un teléfono inteligente- o algo que son -biometría-.

Esta dependencia de los teléfonos inteligentes sitúa sus vulnerabilidades en el primer plano del debate sobre seguridad. Si se dejan desatendidos, los dispositivos móviles pueden caer en manos de piratas informáticos y otros agentes malintencionados, que pueden interceptar PIN, OTP y aprobaciones push fuera de banda, y reconfigurar los datos biométricos para que coincidan con ellos. El robo de tarjetas SIM también plantea un riesgo de SMS/OTP. Aunque los usuarios tengan cuidado, su seguridad puede verse vulnerada cuando los atacantes manipulan a los proveedores de servicios para que cancelen y transfieran información crucial de tarjetas SIM legítimas.

Aunque ninguna organización puede frustrar todas las amenazas, es cierto que el simple hecho de pasar a un paradigma sin contraseña protege contra las más comunes. Incluso en el caso de la autenticación de factor único, dejar de teclear las credenciales aumenta la seguridad. Aún se puede hacer más, por ejemplo, elevando los niveles de seguridad mediante la autenticación basada en el riesgo (RBA). RBA tiene un largo historial de determinación de cuándo son necesarios pasos adicionales para verificar la identidad de un usuario. Las organizaciones pueden invocar una autenticación de segundo factor en condiciones predefinidas, como:

  • ¿Se ha visto antes el dispositivo?
    • Huellas dactilares de dispositivos
    • Cookie del navegador
  • ¿Está el usuario donde se espera que esté?
    • Servicio de geolocalización IP
    • Geofencing (GSM)
  • ¿Se comporta el usuario como se espera?
  • ¿Cuál es el nivel de riesgo de la información?

Estos criterios ayudan a las organizaciones a determinar cuántos niveles de verificación de identidad son necesarios. Por ejemplo, exigir una huella dactilar para acceder a la información. Aun así, hay un subconjunto más sensible que requiere autenticación multifactor cuando el riesgo es elevado.

Guía del comprador sin contraseña

Guía práctica para reducir riesgos y fricciones en la identidad digital.

Lea la guía del comprador

Cómo aplicar

Cómo implantar la autenticación sin contraseña

Implantar el inicio de sesión sin contraseña implica algo más que retirar el uso de contraseñas: requiere diseñar cuidadosamente los flujos de usuarios, elegir autenticadores potentes y planificar rutas alternativas. He aquí una hoja de ruta (encontrará más detalles en la Guía del comprador de productos sin contraseña de OpenText):

1. Definir los niveles de garantía y la asignación de casos de uso. Empiece por clasificar sus recursos por nivel de riesgo (por ejemplo información básica sobre cuentas frente a operaciones financieras). Utilice estándares como los Niveles de Garantía de Autenticación (AAL) del NIST para decidir cómo de fuerte debe ser su autenticación para cada escenario. A continuación, asigne cada recorrido del usuario (inicio de sesión, transacción, acción de administración) a un nivel de garantía adecuado.

2. Elija los métodos de autenticación adecuados. Seleccione uno o varios métodos sin contraseña que se ajusten a sus objetivos de riesgo, usabilidad y coste. Lo ideal sería elegir normas interoperables (p. ej. FIDO2) para seguir siendo independiente del proveedor y multiplataforma. Las opciones incluyen:

  • Claves de seguridad de hardware/FIDO2/WebAuthn
  • Aplicaciones móviles con push fuera de banda o TOTP
  • Verificación biométrica (huella dactilar, cara, voz)
  • Factores contextuales/pasivos (postura del dispositivo, geolocalización, Bluetooth)

3. Diseñar un flujo de inscripción seguro. El vínculo entre un usuario y su autenticador es fundamental. Verificar la identidad (por ejemplo, mediante credenciales existentes, pruebas de identidad o comprobaciones en persona) y, a continuación, registrar criptográficamente el autenticador. Admite varios autenticadores por cuenta (para que los usuarios tengan copias de seguridad) y les permite desactivar o cambiar de método.

4. Implantar flujos de autenticación. Para cada interacción (inicio de sesión, transacción, renovación de sesión):

  • Desafía al autenticador registrado del usuario.
  • Utilizar intercambios criptográficamente seguros (por ejemplo, WebAuthn, CTAP).
  • Incluya señales de fraude/riesgo (huella dactilar del dispositivo, ubicación, comportamiento) para adaptar la intensidad requerida.
  • No abrir o escalar sólo cuando sea necesario (no bloquear el acceso de bajo riesgo).

5. 5. Proporcionar vías de emergencia/recuperación. Ningún sistema es perfecto. Los usuarios pueden perder el teléfono o la llave. Proporcionar opciones de recuperación seguras y de alta garantía (p. ej. que admitan verificación de identidad, autenticadores alternativos o fallback desafío-respuesta) para restaurar el acceso sin debilitar la seguridad.

6. Supervisar, iterar y escalonar las implantaciones. Empezar con grupos piloto limitados o rutas no críticas. Supervise los comentarios de los usuarios, las tasas de abandono, los tickets de soporte y los eventos de seguridad. Utilice esos datos para perfeccionar sus flujos, calibrar los umbrales de riesgo y ampliar la cobertura. Asegúrese de que existen registros y rastros forenses para detectar anomalías.

Preguntas frecuentes

¿Qué significa "autenticación sin contraseña"?

La autenticación sin contraseña significa que los usuarios pueden iniciar sesión sin memorizar ni teclear contraseñas. En cambio, la autenticación se basa en credenciales criptográficas vinculadas a un dispositivo (o biométrico/PIN) para probar la identidad.

¿En qué se diferencia la autenticación sin contraseña de la autenticación multifactor (AMF)?

La AMF suele añadir controles adicionales a la contraseña. La autenticación sin contraseña evita por completo las contraseñas, confiando únicamente en factores más fuertes (dispositivo, biometría o posesión) y mezclando opcionalmente factores adicionales.

¿Qué tecnologías o métodos permiten iniciar sesión sin contraseña?

Entre los enfoques sin contraseña más comunes se incluyen:

  • Claves de seguridad de hardware/FIDO2/WebAuthn
  • Comprobaciones biométricas (huella dactilar, cara) o PIN del dispositivo
  • Notificaciones push o aplicaciones móviles
  • Enlaces mágicos o códigos de un solo uso (si están diseñados de forma segura)

¿Es más seguro el uso de contraseñas que el de claves?

En muchos casos, sí, la ausencia de contraseñas es más segura que las contraseñas, sobre todo si se aplica correctamente. Como no hay ninguna contraseña que robar, es resistente a la reutilización de credenciales, a la fuerza bruta y a muchos ataques de phishing.

¿Qué ocurre si un usuario pierde su dispositivo?

Deberías crear opciones de recuperación (por ejemplo, autenticadores alternativos, pasos de verificación de identidad o métodos de recuperación prerregistrados) para que los usuarios puedan recuperar el acceso sin debilitar la seguridad.

¿Es difícil o caro adoptar el sistema sin contraseña?

La ausencia de contraseñas puede suponer costes iniciales (infraestructura, incorporación de usuarios, aprovisionamiento de dispositivos), pero a menudo se compensan con reducciones en el restablecimiento de contraseñas, la carga del servicio de asistencia técnica y los riesgos de seguridad.

¿Les resultará fácil a los usuarios utilizar el sistema sin contraseña?

En general, sí. Muchos usuarios consideran que los métodos biométricos o basados en pulsaciones son más fáciles y rápidos que las contraseñas. Sin embargo, la educación de los usuarios y la fluidez de los flujos son esenciales para reducir las fricciones.

Productos relacionados

OpenText™ Advanced Authentication (NetIQ)

Habilitar la autenticación sin contraseña y multifactor

OpenText™ Access Manager (NetIQ)

Proporciona inicio de sesión único y control de acceso en todas tus plataformas

OpenText™ Privileged Access Manager (NetIQ)

Asegure y controle el acceso privilegiado para proteger los activos críticos

Gestión de identidades y accesos

Protege tus activos digitales gestionando con confianza las identidades y el acceso

Ver todos los productos

¿Cómo podemos ayudar?