¿Sabías que las claves de acceso, esas que se presentan como una alternativa más segura a las contraseñas tradicionales, podrían, en realidad, poner a los usuarios en situaciones de riesgo? Un nuevo estudio ha revelado que, en contextos de abuso interpersonal, estas herramientas digitales pueden ser utilizadas de maneras inesperadas y peligrosas. La investigación, que se presentó el 15 de agosto en el Simposio de Seguridad USENIX 2025 en Seattle, introduce un marco de análisis pionero que examina este preocupante fenómeno.
Contexto del estudio y sus hallazgos
El estudio fue llevado a cabo por un equipo de investigadores que incluyó a los candidatos a doctorado Alaa Daffalla y Arkaprabha Bhattacharya, junto con Thomas Ristenpart, profesor en Cornell Tech. Juntos analizaron 19 servicios ampliamente utilizados que permiten el uso de claves de acceso, como Google, Amazon, PayPal y TikTok. Mediante un análisis de seis etapas llamado “análisis de abusabilidad”, descubrieron diversas formas en las que estas claves pueden ser mal utilizadas en situaciones de abuso.
Entre los siete vectores de abuso que identificaron, las tácticas van desde acciones simples, como añadir la huella dactilar de un atacante a un dispositivo compartido, hasta maniobras más complejas, como clonar una clave de acceso usando AirDrop o sincronización en la nube. En un escenario alarmante, los investigadores describen cómo un atacante, tras tener acceso brevemente a un teléfono desbloqueado, puede exportar una clave de acceso y monitorear la actividad de la cuenta de la víctima sin que esta se entere.
Inconsistencias en la implementación de claves de acceso
Los hallazgos también revelaron que hay inconsistencias generalizadas en cómo se implementan y gestionan las claves de acceso entre diferentes plataformas. Muchas de ellas carecen de características básicas, como la revocación de claves o la gestión de sesiones. Además, algunos servicios permiten a los atacantes suplantar nombres de dispositivos o ubicaciones de inicio de sesión, lo que dificulta que las víctimas detecten cualquier irregularidad. En general, los usuarios no tienen forma de saber si sus cuentas han sido comprometidas.
Otro punto crítico que señalaron los investigadores es que muchas aplicaciones no notifican a los usuarios cuando se realizan cambios en sus claves de acceso, ni ofrecen herramientas para detectar o revertir estos cambios. Esto crea un entorno propicio para el abuso, donde las víctimas pueden sentirse atrapadas, sin poder recuperar el control de sus cuentas.
Recomendaciones para mejorar la seguridad
Para abordar estas preocupaciones, el equipo de investigación ha propuesto una serie de recomendaciones prácticas. Entre ellas, mejorar las interfaces de usuario para la gestión de claves de acceso, enviar notificaciones claras cuando se añaden o eliminan credenciales, y establecer restricciones más estrictas sobre cómo se pueden exportar o compartir las claves. Los investigadores instan a las empresas a adoptar el marco de análisis de abusabilidad como parte de su proceso de desarrollo de productos, con el objetivo de identificar y mitigar riesgos potenciales antes de implementar nuevas características.
Aunque las claves de acceso ofrecen una sólida protección contra amenazas técnicas como el phishing, este estudio enfatiza la necesidad de que las herramientas de seguridad también consideren las dinámicas sociales del abuso. Al centrarse en las necesidades de los usuarios en riesgo, la investigación proporciona una hoja de ruta para construir sistemas de autenticación digital más seguros e inclusivos. ¿Te has preguntado alguna vez cómo estas dinámicas afectan tu seguridad digital? Es un tema que vale la pena explorar.
