Passkeys sincronizadas: la comodidad en la nube que reintroduce el riesgo de recuperación de cuentas

Passkeys sincronizadas: la comodidad en la nube que reintroduce el riesgo de recuperación de cuentas

Antecedentes: qué son las passkeys y por qué importan las sincronizadas

Las passkeys (credenciales FIDO/WebAuthn) son credenciales criptográficas vinculadas al dispositivo o autenticador del usuario, diseñadas para sustituir contraseñas y resistir el phishing. Eliminan los secretos compartidos: en lugar de teclear una contraseña, un servicio (relying party) verifica una clave pública presentada por el autenticador del usuario tras la verificación local del usuario (PIN, biométrico o PIN del dispositivo).

Para mejorar la comodidad entre dispositivos, grandes proveedores introdujeron las “passkeys sincronizadas”: copias de seguridad cifradas de passkeys de plataforma o roaming almacenadas en la cuenta en la nube del usuario (por ejemplo, en un gestor de contraseñas o llavero en la nube) para que los usuarios puedan iniciar sesión desde dispositivos nuevos sin volver a registrar cada servicio. Esa comodidad resulta atractiva para consumidores y empresas que buscan reducir la fricción de soporte y las llamadas para restablecer contraseñas.

Cómo las passkeys sincronizadas heredan los riesgos de cuentas en la nube y recuperación

Las passkeys sincronizadas intercambian parte de la resiliencia frente al phishing y a la adivinación de credenciales de los autenticadores vinculados al dispositivo por disponibilidad mediante una copia de seguridad en la nube. Esa copia de seguridad solo es tan segura como la cuenta en la nube y los mecanismos de recuperación que la protegen.

• Compromiso de la cuenta en la nube: si un atacante obtiene acceso a la cuenta en la nube subyacente (proveedor de correo, proveedor de identidad o cuenta de gestor de contraseñas) que almacena las passkeys cifradas, puede ser capaz de activar la restauración de esas passkeys en un dispositivo controlado por el atacante o explotar flujos de recuperación para obtener acceso a la cuenta.
• Procesos de recuperación: los mecanismos de recuperación y restablecimiento de cuentas —diseñados para ayudar a usuarios legítimos a recuperar el acceso— pueden ser objetivo de atacantes. La recuperación suele depender de canales secundarios (correo electrónico, teléfono, procedimientos de mesa de ayuda) que históricamente son más débiles que la fuerza criptográfica de las passkeys en sí.
• Riesgo de centralización: el almacenamiento central concentra material de autenticación. Mientras que una passkey ligada a un dispositivo requiere acceso físico o compromiso del dispositivo, una passkey sincronizada amplía la superficie de ataque para incluir credenciales en la nube, flujos de recuperación de cuentas y la postura de seguridad del proveedor.

TLDR: si su organización está evaluando despliegues de passkeys, es inseguro desplegar passkeys sincronizadas. Las passkeys sincronizadas heredan el riesgo de las cuentas en la nube y de los procesos de recuperación que las protegen, lo que crea una exposición empresarial material. Las herramientas AiTM pueden forzar retrocesos de autenticación que eluden protecciones fuertes.

Cómo los atacantes explotan las passkeys sincronizadas — patrones de ataque a vigilar

El modelo de ataque central aprovecha el eslabón más débil: en lugar de romper la criptografía directamente, los adversarios explotan los canales que permiten la sincronización y la recuperación de passkeys.

• Adversary-in-the-middle (AiTM) phishing/proxy: los marcos AiTM y los proxies de phishing pueden interceptar flujos de autenticación web y manipular la interacción entre el usuario y el servicio. En algunos casos, esas herramientas pueden desencadenar caminos de autenticación de reserva o de recuperación de cuenta que no requieren el material original de la passkey.
• Tomas de control de cuentas en la nube: una vez que un atacante controla la cuenta en la nube asociada a la sincronización de passkeys, puede iniciar inscripciones de dispositivos o restaurar credenciales en un punto de conexión controlado. Esto evita la necesidad de phishar credenciales por sitio porque la passkey alojada en la nube usurpará la identidad del usuario frente a los servicios.
• Ingeniería social contra la recuperación: los atacantes suelen recurrir a la ingeniería social contra personal de soporte o comprometer canales de recuperación secundarios (números de teléfono, correos alternativos) para restablecer o redirigir controles de cuenta y obtener acceso a artefactos sincronizados.

Estas vías no requieren romper la criptografía FIDO: explotan debilidades operativas y procedimentales en torno a la sincronización y la recuperación.

Análisis de expertos e implicaciones para las empresas

Desde una perspectiva de gestión del riesgo, las passkeys suponen un avance importante cuando se implementan como credenciales atestadas y vinculadas al dispositivo. Las ganancias de seguridad se ven socavadas cuando la sincronización y la recuperación introducen nuevos límites de confianza. Las organizaciones deben tratar las passkeys sincronizadas como un modelo de amenaza distinto en lugar de una simple extensión de las protecciones de las passkeys.

• Cambio en el modelo de amenazas: con las passkeys sincronizadas el objetivo del atacante cambia de dispositivos individuales a controles de identidad en la nube y procesos de recuperación. Los controles de seguridad deben adaptarse en consecuencia.
• Visibilidad y control: las empresas pierden telemetría y control cuando las passkeys residen en almacenes en la nube de terceros bajo cuentas de usuario. Los autenticadores gestionados y el material de clave controlado por la empresa ofrecen una aplicación de políticas e visibilidad de incidentes más robustas.
• Compensación entre experiencia de usuario y seguridad: la sincronización en la nube mejora la usabilidad y reduce la carga del servicio de asistencia, pero aumenta la exposición empresarial. Cada organización debe sopesar los beneficios operativos frente a la superficie de amenaza ampliada.

Recomendaciones prácticas para profesionales

Las siguientes recomendaciones priorizan la minimización de la exposición empresarial preservando los beneficios de seguridad de las passkeys. Son controles accionables que los equipos pueden evaluar e implementar ahora.

• Preferir autenticadores vinculados a hardware o dispositivo para cuentas de alto riesgo y privilegio. Fomentar o exigir llaves de seguridad hardware (tokens FIDO2) o autenticadores de plataforma que no se sincronicen con copias de seguridad en la nube para roles administrativos y sensibles.
• Evitar habilitar passkeys sincronizadas para cuentas empresariales mediante políticas. Donde existan controles de proveedor, desactivar la sincronización en la nube para identidades gestionadas por la empresa; exigir que las passkeys residan en un dispositivo gestionado o en un autenticador hardware emitido por la empresa.
• Endurecer las cuentas en la nube que proporcionan sincronización. Donde se permitan passkeys sincronizadas para usos no sensibles, imponer protecciones sólidas en las cuentas subyacentes: autenticación multifactor obligatoria con autenticadores atestados (no SMS), políticas estrictas de recuperación y factores secundarios resistentes al phishing.
• Bloquear los procesos de recuperación: revisar y endurecer procedimientos de mesa de ayuda, implementar requisitos de verificación que resistan la ingeniería social, registrar y alertar sobre solicitudes de recuperación, y exigir aprobaciones adicionales para la recuperación de cuentas privilegiadas.
• Usar gestión FIDO empresarial y atestación. Desplegar incorporación basada en atestación para garantizar que los autenticadores cumplan la política, y usar credenciales residentes gestionadas por la empresa cuando estén disponibles para mantener el control del ciclo de vida del material de clave.
• Monitorizar indicadores de AiTM: instrumentar aplicaciones web para detectar patrones inusuales de redireccionamiento o proxy, múltiples intentos fallidos de WebAuthn seguidos de autenticaciones alternativas, y actividad anómala de inscripción de dispositivos. Integrar estas señales en las herramientas de identidad y detección en endpoints.
• Formar a los usuarios: explicar las compensaciones entre passkeys vinculadas al dispositivo y passkeys sincronizadas, y ofrecer pautas claras para casos de alto riesgo (por ejemplo, no sincronizar passkeys de cuentas de administrador o de acceso a sistemas sensibles).
• Planificar la respuesta a incidentes por compromiso de cuentas en la nube: asegurar que existan procesos para revocar rápidamente credenciales sincronizadas, desactivar la sincronización en la nube e invalidar registros de dispositivos afectados en los servicios.

Casos comparables y contexto

Los principales proveedores de plataformas desplegaron funciones de sincronización de passkeys para mejorar la experiencia de usuario; esa adopción refleja un movimiento industrial más amplio hacia la eliminación de contraseñas. Al mismo tiempo, la recuperación de cuentas y las tomas de control de cuentas en la nube siguen siendo vectores bien documentados en investigaciones y análisis posteriores a brechas. Los equipos de seguridad llevan tiempo considerando los procesos de recuperación y los canales secundarios como puntos de control de alto riesgo, y las passkeys sincronizadas heredan ese mismo perfil de riesgo.

Los patrones históricos de incidentes —incluida la ingeniería social contra personal de soporte, el SIM swapping y accesos no autorizados a cuentas en la nube— ilustran las vías prácticas que usan los atacantes para eludir una autenticación primaria fuerte cuando existen opciones de reserva o recuperación. Estas lecciones operativas se aplican directamente a las passkeys sincronizadas: las funcionalidades orientadas a la conveniencia deben conciliarse con controles endurecidos de recuperación y de cuentas en la nube para preservar las ganancias de seguridad generales.

Conclusión

Las passkeys representan una mejora de seguridad significativa frente a las contraseñas cuando permanecen vinculadas a autenticadores protegidos por verificación local del usuario o tokens hardware. Las passkeys sincronizadas reintroducen un riesgo sistémico al situar los controles de recuperación y de seguridad de la cuenta en el centro del modelo de confianza. Para las empresas, la vía prudente es tratar las passkeys sincronizadas como un riesgo operativo: evitar credenciales sincronizadas en la nube para cuentas privilegiadas, desplegar autenticadores gestionados o vinculados a hardware, endurecer las protecciones de cuentas en la nube y los flujos de recuperación, e instrumentar la detección de patrones AiTM y de toma de control de cuentas. La conveniencia no debe adoptarse a costa de sustituir un único punto de fallo criptográfico por uno operacional concentrado.

Source: thehackernews.com