La Paradoja de las Passkeys: Cómo la Autenticación sin Contraseñas se Convierte en la Nueva Frontera del Phishing

La comunidad de ciberseguridad ha defendido durante mucho tiempo la autenticación sin contraseñas como el santo grial de la seguridad del usuario. Las passkeys, basadas en el estándar FIDO2/WebAuthn, prometían eliminar el robo de credenciales reemplazando las contraseñas con pares de claves criptográficas almacenadas en los dispositivos del usuario. Cuando OpenAI anunció el soporte de inicio de sesión con passkeys para ChatGPT y Codex a principios de 2025, fue aclamado como un paso hacia un ecosistema digital más seguro. Sin embargo, como ocurre con cualquier innovación en seguridad, los atacantes ya se están adaptando, y está surgiendo la paradoja de las passkeys: la tecnología diseñada para prevenir el phishing se está convirtiendo en una nueva superficie de ataque.

La integración de passkeys por parte de OpenAI en sus plataformas de IA es significativa porque normaliza la autenticación sin contraseñas para millones de usuarios. En lugar de escribir una contraseña, los usuarios se autentican mediante biometría (huella dactilar, reconocimiento facial) o PIN del dispositivo, y la clave privada nunca abandona el dispositivo. Esto, en teoría, elimina los ataques de phishing clásicos que roban contraseñas. Sin embargo, la realidad es más compleja. Los atacantes ahora están desarrollando técnicas de 'intercepción de passkeys', donde engañan a los usuarios para que aprueben solicitudes de autenticación en dispositivos controlados por el atacante, o utilizan sofisticados proxies intermediarios (MITM) que se interponen entre el usuario y los servicios legítimos.

Estos ataques no son teóricos. Informes recientes de The Hacker News y otros medios de ciberseguridad detallan una nueva clase de campañas de phishing dirigidas a flujos de passkeys. En lugar de robar una contraseña, los atacantes crean páginas de inicio de sesión falsas que imitan las interfaces de ChatGPT o Codex, solicitando a los usuarios que se autentiquen con su passkey. El usuario, creyendo que está iniciando sesión en el servicio legítimo, aprueba la solicitud, que luego se transmite a la sesión del atacante. Esta es una forma de ataque adversario en el medio (AiTM) adaptada para entornos sin contraseñas. Una vez que el atacante obtiene acceso, puede exfiltrar contenido generado por IA sensible, manipular modelos o usar la cuenta comprometida como base para implementar ransomware.

El auge del phishing impulsado por IA amplifica esta amenaza. Los ciberdelincuentes están aprovechando la IA generativa para crear correos electrónicos de phishing altamente convincentes y portales de inicio de sesión falsos que se adaptan al comportamiento del usuario. Un informe de Börse Express destaca que el cibercrimen ha alcanzado nuevos niveles, y las empresas alemanas se ven particularmente afectadas por estos ataques sofisticados. La integración de passkeys no elimina el factor humano; simplemente desplaza el vector de ataque. Los usuarios siguen siendo susceptibles a la ingeniería social, especialmente cuando el atacante explota la confianza en interfaces familiares como ChatGPT.

Desde una perspectiva técnica, el flujo de passkeys se basa en la API WebAuthn, que implica un protocolo de desafío-respuesta. En un ataque típico, el adversario configura una parte confiable falsa (el servicio falso) e inicia una ceremonia de registro o autenticación WebAuthn. El dispositivo del usuario, creyendo que se está comunicando con el servicio legítimo, firma el desafío. El atacante luego reenvía esta respuesta firmada al servicio real, autenticándose efectivamente en nombre del usuario. Esto es posible porque WebAuthn no verifica inherentemente el origen de la solicitud si el cliente del usuario está comprometido o si el atacante controla la capa de red.

Las implicaciones para la seguridad empresarial son profundas. A medida que las organizaciones implementan passkeys para la autenticación de la fuerza laboral, deben reconocer que las passkeys no son una solución independiente. Debe ser parte de una arquitectura de confianza cero que incluya verificaciones de estado del dispositivo, análisis de comportamiento y monitoreo continuo de autenticación. El endurecimiento de las regulaciones de la UE, como la Directiva NIS2 actualizada y la Ley de Ciberresiliencia, está presionando a las empresas a adoptar una autenticación más sólida, pero también requieren un enfoque holístico que aborde toda la cadena de ataque, desde el compromiso inicial hasta la recuperación del ransomware.

Para mitigar estas amenazas emergentes, los equipos de seguridad deben implementar las siguientes medidas: Primero, implementar implementaciones de passkeys resistentes al phishing que utilicen claves vinculadas al dispositivo en lugar de claves sincronizadas (por ejemplo, claves de seguridad de hardware). Segundo, educar a los usuarios sobre el phishing de passkeys, así como aprendieron a detectar páginas de contraseñas falsas, deben aprender a verificar las solicitudes de passkeys. Tercero, adoptar autenticación basada en riesgos que active una verificación adicional cuando se detecte un comportamiento anómalo. Cuarto, monitorear el abuso de passkeys utilizando herramientas de detección y respuesta de endpoints (EDR) que puedan identificar actividad inusual de WebAuthn.

La paradoja de las passkeys es un recordatorio de que ninguna tecnología puede resolver por sí sola el desafío de la ciberseguridad. A medida que avanzamos hacia un futuro sin contraseñas, debemos anticipar cómo se adaptarán los atacantes y construir defensas en consecuencia. La convergencia del phishing impulsado por IA y la autenticación con passkeys representa la próxima frontera en el juego del gato y el ratón de la ciberseguridad. Las organizaciones que traten las passkeys como una solución completa en lugar de un componente de una defensa en capas se encontrarán expuestas a ataques nuevos y más sofisticados.