La comunidad de ciberseguridad recibió una alerta contundente en DEF CON 33 cuando investigadores de SquareX expusieron vulnerabilidades críticas en sistemas de autenticación con passkeys que comprometen fundamentalmente las promesas de seguridad de la autenticación sin contraseñas. Estos hallazgos cuestionan el impulso generalizado hacia la eliminación de contraseñas y revelan que las implementaciones actuales de passkeys pueden introducir nuevos vectores de ataque en lugar de resolver las debilidades tradicionales de autenticación.
Las passkeys, que utilizan pares de claves criptográficas almacenadas en dispositivos usuarios y sincronizadas entre plataformas, fueron promocionadas como la solución definitiva contra phishing, credential stuffing y ataques de reutilización de contraseñas. Sin embargo, la investigación de SquareX demuestra que múltiples fallos de implementación permiten a atacantes eludir estas protecciones mediante cadenas de ataque sofisticadas.
La investigación identificó tres categorías principales de vulnerabilidades: ataques de secuestro de sesión que explotan mecanismos de sincronización entre dispositivos, fallos de implementación en navegadores principales que permiten acceso no autorizado a passkeys, y debilidades de diseño en cómo las plataformas manejan la validación de claves criptográficas. Estas vulnerabilidades afectan a todas las plataformas principales incluyendo implementaciones de Windows, macOS, iOS y Android.
Un hallazgo crítico involucra el proceso de sincronización entre dispositivos. Los atacantes pueden interceptar y manipular solicitudes de sincronización, potencialmente ganando acceso no autorizado a bases de datos de passkeys. Esto compromete la premisa de seguridad fundamental de que las passkeys permanecen almacenadas de forma segura en dispositivos usuarios individuales.
Los fallos de implementación en navegadores fueron particularmente preocupantes. Los investigadores descubrieron que varios navegadores principales no aíslan adecuadamente los contextos de autenticación con passkeys, permitiendo que sitios web maliciosos activen prompts de autenticación para sitios legítimos mediante ataques cuidadosamente elaborados. Esto efectivamente recrea riesgos de phishing que las passkeys supuestamente eliminaban.
La investigación también reveló que muchas plataformas no validan adecuadamente las pruebas criptográficas durante la autenticación, permitiendo a atacantes con acceso parcial a dispositivos escalar privilegios y obtener capacidades completas de autenticación. Esto es particularmente problemático para entornos empresariales donde ocasionalmente ocurre compartición de dispositivos.
Estas vulnerabilidades tienen implicaciones inmediatas para organizaciones transitionando hacia autenticación sin contraseñas. Los equipos de seguridad deben reevaluar sus estrategias de implementación de passkeys e implementar monitorización adicional para patrones de autenticación anómalos. Los desarrolladores necesitan abordar los fallos de diseño fundamentales identificados en la investigación.
La presentación en DEF CON incluyó demostraciones en vivo mostrando explotación práctica de estas vulnerabilidades, enfatizando que estas no son preocupaciones teóricas sino amenazas inmediatas. Los investigadores demostraron exitosamente bypass completo de autenticación en varias plataformas populares utilizando las técnicas divulgadas.
La respuesta de la industria ha sido rápida, con principales proveedores de plataformas reconociendo los hallazgos y comprometiéndose a actualizaciones de seguridad. Sin embargo, la naturaleza fundamental de algunas vulnerabilidades sugiere que la mitigación completa puede requerir cambios arquitectónicos significativos en lugar de simples parches.
Los profesionales de seguridad deben inmediatamente revisar su estado de implementación de passkeys, evaluar exposición potencial a estas vulnerabilidades, y considerar implementar salvaguardas adicionales de autenticación hasta que estén disponibles correcciones comprehensivas. La autenticación multifactor sigue siendo recomendada incluso con implementaciones de passkeys.
Estos hallazgos representan un revés significativo para el movimiento sin contraseñas pero proporcionan insights valiosos para desarrollar sistemas de autenticación más robustos. La comunidad de ciberseguridad debe ahora trabajar colaborativamente para abordar estos fallos fundamentales mientras mantiene progreso hacia métodos de autenticación más seguros.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.