Acerca de la seguridad de las llaves de acceso
Las llaves de acceso se usan para reemplazar las contraseñas. Permiten iniciar sesión más rápido y son más fáciles de usar y mucho más seguras.
Las llaves de acceso se usan para reemplazar las contraseñas y están diseñadas para proporcionar una experiencia de inicio de sesión sin contraseña más cómoda y segura en los sitios web y las aplicaciones. Las llaves de acceso son una tecnología estandarizada y, a diferencia de las contraseñas, son resistentes al fraude de identidad (o phishing), son seguras siempre y están diseñadas para que no haya secretos compartidos. Simplifican el registro de cuentas en aplicaciones y sitios web, son fáciles de usar y funcionan en todos los dispositivos Apple, e incluso en dispositivos que no sean de Apple y se encuentren en la proximidad física.
Seguridad de las credenciales
Las llaves de acceso se desarrollan con el estándar WebAuthentication (o “WebAuthn”), que usa criptografía de clave pública. Durante el registro de la cuenta, el sistema operativo crea un par único de claves criptográficas para asociarlo con una cuenta de la app o del sitio web. Estas claves se generan en el dispositivo de forma segura y exclusiva para cada cuenta.
Una de estas claves es pública y se almacena en el servidor. Esta clave pública no se mantiene en secreto. La otra clave es privada y es la que se necesita para iniciar sesión. El servidor nunca sabe cuál es la clave privada. En los dispositivos Apple con Touch ID o Face ID disponibles, estos se pueden usar para autorizar el uso de la llave de acceso, que luego se utiliza para autenticar al usuario en la app o el sitio web. No se transmite ningún secreto compartido y no es necesario que el servidor proteja la clave pública. Esto permite que las llaves de acceso sean credenciales muy seguras, fáciles de usar y muy resistentes al fraude de identidad (o phishing). Además, los proveedores de plataforma trabajaron en conjunto dentro de FIDO Alliance para garantizar que las implementaciones de llaves de acceso sean compatibles entre plataformas y puedan funcionar en tantos dispositivos como sea posible.
Seguridad en la sincronización
Las llaves de acceso se diseñaron para que sean prácticas y accesibles desde todos los dispositivos que se usen regularmente. Las llaves de acceso se sincronizan en los dispositivos de cada usuario mediante el llavero de iCloud.
El llavero de iCloud está encriptado de extremo a extremo con claves criptográficas seguras que Apple no conoce y tiene una tasa limitada que contribuye a evitar ataques de fuerza bruta, incluso desde una posición privilegiada en el segundo plano de la nube. Además, se puede recuperar incluso si el usuario pierde todos sus dispositivos.
Apple diseñó el llavero de iCloud y la recuperación del llavero de modo que las llaves de acceso y las contraseñas de cada usuario se mantengan protegidas en las siguientes condiciones:
La cuenta de Apple ID de un usuario, que se usa con iCloud, está en riesgo.
iCloud está en riesgo ante un ataque externo o un empleado.
Un tercero accede a las cuentas del usuario.
Protección durante el acceso a la cuenta de Apple ID
Para protegerte contra el acceso no autorizado, cualquier Apple ID que use el llavero de iCloud requiere autenticación de dos factores. Si un usuario intenta registrar una nueva llave de acceso y no tiene configurada la autenticación de dos factores, se le solicitará automáticamente que la configure.
Para iniciar sesión por primera vez en un dispositivo nuevo, se requieren dos datos: la contraseña de Apple ID y un código de verificación de seis dígitos que se muestra en los dispositivos de confianza del usuario o se envía a un número de teléfono de confianza.
Obtén más información sobre la autenticación de dos factores
Protección durante el acceso al llavero de iCloud
Existe una capa adicional de protección para evitar que un dispositivo fraudulento acceda al llavero de iCloud de un usuario. Cuando un usuario activa el llavero de iCloud por primera vez, el dispositivo establece un círculo de confianza y crea una identidad de sincronización para sí mismo que consta de un par de claves único almacenado en el llavero del dispositivo.
Los dispositivos nuevos, a medida que inician sesión en iCloud, se unen al círculo de sincronización del llavero de iCloud de una de estas dos formas:
al enlazar un dispositivo de llavero de iCloud y recibir patrocinio de este; o
al usar la recuperación del llavero de iCloud.
Seguridad durante la recuperación
La sincronización con llave de acceso proporciona comodidad y redundancia en caso de perder un solo dispositivo. Sin embargo, también es importante que las llaves de acceso se puedan recuperar incluso en caso de que se pierdan todos los dispositivos asociados. Las llaves de acceso se pueden recuperar a través de la garantía del llavero de iCloud, que también está protegida contra ataques de fuerza bruta, incluso por parte de Apple.
El llavero de iCloud deposita en garantía los datos del llavero de un usuario de Apple sin permitirle leer las contraseñas y otros datos que contenga. El llavero del usuario se encripta con un código seguro y el servicio de depósito en garantía proporciona una copia del llavero solo si se cumple una serie de condiciones estrictas.
Para recuperar un llavero, el usuario debe autenticarse con su cuenta y contraseña de iCloud y responder un SMS enviado a su número de teléfono registrado. Después de autenticarse y responder el mensaje, el usuario debe introducir el código de acceso de su dispositivo. iOS, iPadOS y macOS permiten realizar solo diez intentos de autenticación. Después de varios intentos fallidos, el registro se bloquea y el usuario debe llamar al Soporte técnico de Apple para solicitar más intentos. Después del décimo intento fallido, se destruye el registro de depósito en garantía.
Si lo desea, un usuario puede configurar un contacto de recuperación de cuenta para asegurarse de que siempre tenga acceso, incluso si olvida la contraseña de su Apple ID o el código del dispositivo.
Obtén información sobre cómo configurar un contacto de recuperación de la cuenta
