Suscribirse
Tendencias|Carlos Lehder|Juan Guillermo Monsalve|Fotos Ghibli|Estéreo Picnic|Especial Atlas de la Corrupción

Tecnología

Experto en ciberseguridad descubrió cómo pueden hackear las contraseñas tipo passkeys

Las contraseñas de tipo passkeys recientemente han estado tomando mayor fuerza.

David Alejandro Rojas García

David Alejandro Rojas García

Periodista en Semana

28 de marzo de 2025, 9:51 p. m.
Los hackers están entrenados para estafar a los usuarios mediante sofisticadas modalidades.
Un experto revela cómo los hackers pueden suplantar passkeys. | Foto: Getty Images

Las passkeys son un sistema de autenticación diseñado para reemplazar las contraseñas tradicionales y mejorar la seguridad digital.

A diferencia de los métodos convencionales, estas claves de acceso se generan de manera única para cada servicio y se almacenan en dispositivos como teléfonos o computadoras.

Su funcionamiento se basa en la criptografía de clave pública, lo que dificulta su robo o falsificación, ya que no requieren el ingreso manual de una clave secreta.

Este sistema ha sido promocionado como una alternativa más segura a las contraseñas convencionales, ya que minimiza los riesgos de ataques de phishing y evita la reutilización de contraseñas vulnerables.

Lo más leído

1. ELN confirma trabajo político para que Gustavo Petro ganara las elecciones: le recomienda “ir al psiquiatra” y dice que la paz total fracasó
2. Paso a paso: así puede convertir rápido sus fotos al estilo anime viral ‘Studio Ghibli’
3. Carolina Gómez abrió su corazón sobre ‘palo’ que le dieron por decisión que tomó: “Se volvió macho”

Sin embargo, recientes hallazgos sugieren que no son completamente invulnerables.

Una nueva vulnerabilidad pone en duda su seguridad

A pesar de su nivel avanzado de protección, las passkeys no están exentas de riesgos.

Una investigación realizada por el experto en ciberseguridad Tobia Righi reveló que es posible engañar a los usuarios para que compartan involuntariamente sus credenciales con atacantes, utilizando la conectividad Bluetooth como un punto débil.

Google está trabajando en una función para su gestor de contraseñas.
Hallan un fallo en las passkeys que facilita el robo de credenciales. | Foto: Getty Images/iStockphoto

El ataque se basa en la proximidad. Si un cibercriminal se encuentra dentro del rango de alcance del Bluetooth de la víctima (generalmente menos de 100 metros), puede utilizar un dispositivo para interceptar la solicitud de autenticación y redirigirla a su propio equipo.

De esta manera, logra acceder a las cuentas de la víctima sin que esta lo perciba.

Contexto: La ‘frase segura’ que siempre debe decir para evitar ser víctima de estafas

¿Cómo operan los hackers para vulnerar las passkeys?

El método descubierto por Righi se desarrolla en varios pasos:

  1. La víctima accede a una página web controlada por el atacante, a menudo a través de un enlace engañoso.
  2. En segundo plano, el atacante inicia una solicitud de autenticación WebAuthn en un sitio legítimo.
  3. Se genera un enlace FIDO que es redirigido a la víctima.
  4. El administrador de passkeys del usuario solicita su confirmación.
  5. La víctima, sin sospechar, acepta la solicitud con un solo clic o reconocimiento facial.
  6. El atacante obtiene acceso al sitio como si fuera la víctima.

Este proceso se aprovecha de la confianza del usuario en el sistema y de la facilidad con la que se aceptan solicitudes de autenticación sin una revisión exhaustiva.

Conozca los malware que pueden robar sus datos
Investigador en ciberseguridad advierte sobre un nuevo ataque a passkeys. | Foto: Universal Images Group via Getty

¿Cómo protegerse de este tipo de ataques?

Si bien el ataque requiere que la víctima interactúe con una página maliciosa y que el atacante esté físicamente cerca, es una advertencia clara sobre la importancia de estar alerta.

Para reducir los riesgos, se recomienda:

  • Verificar siempre el origen de los enlaces antes de hacer clic.
  • Desactivar el Bluetooth cuando no sea necesario.
  • Usar opciones de seguridad adicionales, como autenticación en dos pasos.
  • Estar atento a solicitudes de autenticación inesperadas.

Las passkeys siguen siendo una alternativa más segura que las contraseñas tradicionales, pero este hallazgo demuestra que ningún sistema es infalible. La concienciación y la precaución siguen siendo claves para evitar ser víctima de ciberataques.

Encuentra aquí lo último en Semana

1. El pliego de peticiones de sindicatos de la SAE, creados en la gestión del ahora ministro de Educación, Daniel Rojas, que mandaría a la entidad a liquidación

2. Extraña muerte de médico del Hospital Universitario de La Samaritana, en Bogotá

3. MinDefensa rechaza homenajes a Tirofijo: “Es justificar lo injustificable”

4. El Grupo Trinity explica cómo se está moviendo en un contexto convulsionado: “Estamos atrapados en un cortoplacismo muy peligroso”

5. Presidente Gustavo Petro pide a Hamás la liberación del ciudadano colombo-israelí Elkana Bohbot

LEER MENOS

Noticias relacionadas

ciberseguridadClaves de accesoHackear

Noticias Destacadas

Copyright © 2025

Publicaciones Semana S.A

NIT 860.509.265 -1

ISSN 2745-2794

Nuestras marcas:
Acerca de nosotros:
Contáctenos:

Síganos en redes

Todas las marcas registradas son propiedad de la compañía respectiva o de PUBLICACIONES SEMANA S.A. Se prohíbe la reproducción total o parcial de cualquiera de los contenidos que aquí aparezca, así como su traducción a cualquier idioma sin autorización escrita por su titular.