La nueva aplicación de Apple para iPhone demuestra lo difícil que es eliminar la contraseña en línea

Durante años, los expertos en ciberseguridad han estado prediciendo la muerte de la contraseña en línea a medida que funciones de inicio de sesión más avanzadas, desde el reconocimiento facial hasta la autenticación multifactor, se vuelven más comunes. Pero parece que Apple ha aceptado que la contraseña no desaparecerá pronto. Su nueva aplicación Contraseñas, presentada en WWDC 2024 de Apple a principios de esta semana, es una solución más para ayudar a proteger cuentas en línea y administrar múltiples inicios de sesión. Esto no cambia el hecho de que poner todos sus inicios de sesión en un solo lugar sigue conllevando riesgos.

«Es realmente difícil deshacerse de las contraseñas», dijo Andras Cser, vicepresidente y analista principal de Forrester.

La nueva aplicación Contraseñas para iPhone, iPad, Vision Pro, Mac y Windows permite a los usuarios almacenar todas sus contraseñas, incluidos códigos de verificación, contraseñas de aplicaciones, contraseñas de Wi-Fi, claves de acceso y más. La oferta es similar a otros administradores de contraseñas del mercado, incluidos 1Password y LastPass.

«No se puede subestimar el poder de tener una solución predeterminada como esta y tener seguridad de contraseña integrada», dijo Gadjo Sevilla, analista senior de eMarketer. «Eso probablemente atraerá a la mayoría de los clientes de Apple a utilizar esta función. Es conveniente . Está ahí. Es gratis «.

Las contraseñas son un método de seguridad en línea riesgoso

Pero eso no cambia la preocupación básica sobre los usuarios que dependen de las contraseñas como método de seguridad en línea predeterminado.

«Ese es el movimiento: eliminar la necesidad de cualquier administrador de contraseñas y simplemente pasar a contraseñas de un solo uso basadas en autenticación basada en notificaciones automáticas, datos biométricos o claves de acceso», dijo Cser. «Alejarse de las contraseñas es probablemente el mensaje correcto, no utilizar administradores de contraseñas gratuitos o actualizados».

El hackeo de contraseñas va en aumento, con IBM informa un aumento del 71% en el número de ataques utilizando contraseñas válidas en 2023 en comparación con 2022. Apple, Google y Microsoft han tomado medidas para migrar más usuarios a claves de accesolo que requiere otro dispositivo propiedad del usuario para verificar el inicio de sesión mediante escaneos faciales, huellas dactilares u otros códigos. Esto ayuda a deshacerse del mayor riesgo de ciberseguridad: las personas tienden a tener muy mala higiene de las contraseñasincluido el uso de la misma contraseña en todas las cuentas, lo que significa que si esa contraseña es robada, el hacker tendría acceso a todas ellas.

El sistema de clave de acceso de Apple, Keychain, es sólo para productos bajo su sistema operativo iOS. Esta nueva aplicación de Contraseñas incluye más compatibilidad con sistemas, incluido Windows y diferentes tipos de verificaciones de inicio de sesión. La compañía no dijo que incluirá contraseñas de Google o Android, que abarcan muchas cuentas.

Los administradores de contraseñas, como la aplicación Apple Password, registran diferentes contraseñas, códigos de acceso e inicios de sesión de forma segura en una cuenta segura. Y ofrecen una capa adicional de protección: una investigación de Security.org encontró que quienes no tienen administradores de contraseñas tienen tres veces más probabilidades de ser víctimas de robo de identidad. Pero ya sean versiones gratuitas o de pago de los gestores, ninguna elimina por completo el riesgo.

«Son una curita o una solución», dijo Cser. «Las contraseñas son muy vulnerables y han seguido su curso para proteger cualquier tipo de aplicaciones, recursos y datos. Entonces, simplemente pone todos los huevos en una sola canasta, independientemente de quién elija la herramienta, ¿verdad?»

Apple no respondió a una solicitud de comentarios al momento de esta publicación.

Existe cierta preocupación de que si Apple posee todas las claves digitales de las contraseñas de todos, podría hacer que las personas sean más vulnerables si la empresa es pirateada. No está fuera del ámbito de lo posible: El iCloud de Apple fue hackeado en 2014lo que provocó muchas filtraciones de fotografías privadas de celebridades. LastPass fue hackeado en 2022, aunque no se robaron datos de clientes.

«El único problema de seguridad es que cualquiera que obtenga su ID de Apple y su contraseña tendrá acceso a su llavero iCloud o a su aplicación Contraseña, porque esa es realmente la clave de autenticación necesaria para acceder de forma segura a esas contraseñas almacenadas», dijo Sevilla.

Apple, datos personales y privacidad

Aún así, proteger grandes cantidades de datos personales no es nada nuevo para Apple, y ha desarrollado un historial relativamente bueno en la construcción de su marca en torno a la privacidad. También tiene una postura dura contra el intercambio de información con aplicaciones de terceros no autorizadas. Los cambios anteriores que comenzaron con iOS 14.5 solicitaron a los usuarios que optaran por compartir datos y bloquearon aplicaciones de seguimiento, en detrimento de Las empresas de publicidad digital dependen de esa información para la orientación de anuncios, como Facebook..

«Apple es una empresa de servicios», dijo Sevilla. «Tienen miles de millones de números de tarjetas de crédito. No se puede subestimar la cantidad de esfuerzo que pondrán para asegurarse de que esté bloqueado, y todos ellos están vinculados a ID de Apple y contraseñas de Apple. Así que supongo que si sigues ese ejemplo, probablemente podrían considerarse mucho más seguras que las aplicaciones independientes».

En la WWDC se plantearon problemas más amplios de intercambio de datos sobre la asociación de Apple con OpenAI, que está utilizando para permitir que Siri acceda a ChatGPT. Alguno, incluido Elon Muskhan expresado su preocupación de que permitir el acceso de OpenAI a los datos de los usuarios de Apple podría ser una posible violación de seguridad. OpenAI utiliza datos y comportamiento de los usuarios para entrenar sus modelos de IA.

Si bien puede ser muy poco probable, ya que los usuarios comparten sus contraseñas con Apple y Apple comparte datos con OpenAI, los expertos en ciberseguridad dicen que presenta al menos el riesgo teórico de que OpenAI pueda usar inicios de sesión para examinar datos personales con fines de aprendizaje.

Apple reiteró su compromiso con la privacidad de los datos en la WWDC 24. Apple Intelligence, su entrada en la IA, aprovechará modelos basados ​​en la nube en servidores especiales que utilizan Apple Silicon para garantizar que los datos de los usuarios sean privados y seguros. Si una solicitud necesita ir a un servidor en la nube, Apple dice que solo enviará una selección limitada de datos de una manera «criptográficamente» segura.

«No vamos a tomar esos datos y enviarlos a alguna nube en algún lugar», dijo en el evento el vicepresidente senior de Aprendizaje Automático y Estrategia de IA de Apple, John Giannandrea. «Porque queremos que todo sea muy privado, ya sea que se ejecute localmente o en un servicio de computación en la nube, y así es como lo queremos para poder usar sus datos más personales».