Acerca de la seguridad de las llaves de acceso

Las llaves de acceso son un reemplazo de las contraseñas. Son más rápidas para iniciar sesión, más fáciles de usar y mucho más seguras.

Las llaves de acceso son un reemplazo de las contraseñas y están diseñadas para poder iniciar sesión en sitios web y aplicaciones sin tener que introducir una contraseña: una experiencia más cómoda y segura. Las llaves de acceso son una tecnología estándar que, a diferencia de las contraseñas, es resistente al phishing, siempre es fuerte y está diseñada para que no haya secretos compartidos. Simplifican el registro de cuentas para aplicaciones y sitios web, son fáciles de usar y funcionan en todos los dispositivos Apple (e incluso en dispositivos que no son de Apple si están cerca).

Seguridad de las credenciales

Las llaves de acceso se basan en el estándar WebAuthentication (o “WebAuthn”), que utiliza criptografía de clave pública. Durante el registro de la cuenta, el sistema operativo crea un par de claves criptográficas únicas para asociarlas con una cuenta de la aplicación o el sitio web. El dispositivo genera estas claves de forma segura y única para cada cuenta.

Una de estas claves es pública y se almacena en el host. Esta clave pública no es un secreto. La otra clave es privada y es lo que se necesita para iniciar sesión. El host nunca sabe cuál es la clave privada. En los dispositivos Apple con Touch ID o Face ID, se pueden utilizar para autorizar el uso de la llave de acceso con la que luego se autentica al usuario en la app o el sitio web. No se transmite ningún secreto compartido y el host no necesita proteger la clave pública. Esto convierte a las llaves de acceso en credenciales seguras, fáciles de usar y muy resistentes al phishing. Los proveedores de plataformas han trabajado juntos dentro de la FIDO Alliance para asegurarse de que las implementaciones de llaves de acceso sean compatibles entre plataformas y puedan funcionar en tantos dispositivos como sea posible.

Seguridad de la sincronización

Las llaves de acceso se han diseñado para ser cómodas y accesibles desde todos los dispositivos que se utilizan día a día. Las llaves de acceso se sincronizan en los dispositivos de un usuario mediante el llavero de iCloud.

El llavero de iCloud está cifrado de extremo a extremo con fuertes claves criptográficas que Apple no conoce para ayudar a prevenir ataques de fuerza bruta, incluso desde una posición privilegiada en el backend de la nube. Además, se pueden recuperar incluso si el usuario pierde todos sus dispositivos.

Apple ha diseñado el llavero de iCloud y la recuperación con el llavero para que las llaves de acceso y contraseñas de un usuario sigan estando protegidas en las siguientes condiciones:

  • La cuenta de Apple de un usuario utilizada con iCloud está en riesgo

  • iCloud se ve comprometido por un ataque externo o de un empleado

  • Un tercero accede a las cuentas de usuario

Protecciones para acceder a la cuenta de Apple

Para protegerse contra el acceso no autorizado, cualquier cuenta de Apple que utilice el llavero de iCloud requiere autenticación de doble factor. Si un usuario intenta registrar una nueva llave de acceso y no tiene configurada la autenticación de doble factor, se le pedirá automáticamente que la configure.

Para iniciar sesión por primera vez en cualquier dispositivo nuevo, se requieren dos elementos de información: la contraseña de la cuenta de Apple y un código de verificación de seis dígitos que se muestra en los dispositivos de confianza del usuario o se envía a un número de teléfono de confianza.

Más información sobre la autenticación de doble factor

Protecciones para acceder al llavero de iCloud

Hay una capa adicional de protección para evitar que los dispositivos maliciosos tengan acceso al llavero de iCloud de un usuario. Cuando un usuario habilita el llavero de iCloud por primera vez, el dispositivo establece un círculo de confianza y crea una identidad de sincronización para sí mismo que consiste en un par de claves únicas almacenadas en el llavero del dispositivo.

Los nuevos dispositivos, a medida que inician sesión en iCloud, se unen al círculo de sincronización del llavero de iCloud de una de estas dos maneras:

  • Enlazando con un dispositivo de llavero de iCloud existente y patrocinado por él; o

  • Utilizando la recuperación del llavero de iCloud.

Seguridad de la recuperación

La sincronización de llaves de acceso proporciona comodidad y redundancia en caso de pérdida de un solo dispositivo. Sin embargo, también es importante que las llaves de acceso se puedan recuperar incluso en caso de que se pierdan todos los dispositivos asociados. Las llaves de acceso se pueden recuperar a través del depósito del llavero de iCloud, que también está protegido contra ataques de fuerza bruta, incluso por parte de Apple.

El llavero de iCloud deposita los datos del llavero de un usuario en Apple sin permitir que Apple lea las contraseñas y otros datos que contiene. El llavero del usuario se cifra utilizando un robusto código de acceso y el servicio de depósito proporciona una copia del llavero solo si se cumple un conjunto estricto de condiciones.

Para recuperar un llavero, un usuario debe autenticarse con su cuenta y contraseña de iCloud y responder a un SMS enviado a su número de teléfono registrado. Después de autenticarse y responder, el usuario debe introducir el código de acceso de su dispositivo. En iOS, iPadOS y macOS solo se permiten 10 intentos de autenticación. Después de varios intentos fallidos, el registro queda bloqueado y el usuario debe llamar al soporte de Apple para que se le concedan más intentos. Después del décimo intento fallido, el registro de depósito se destruye.

Opcionalmente, un usuario puede configurar un contacto de recuperación de cuenta y tener así garantizado siempre el acceso a su cuenta, incluso si olvida la contraseña de su cuenta de Apple o el código del dispositivo.

Aprender a configurar un contacto de recuperación de cuenta

Más información

Obtener más información sobre la seguridad de la cuenta de Apple y la seguridad del llavero de iCloud en la Guía de seguridad de la plataforma

Fecha de publicación: