Tags:

WebAuthn es uno de los dos componentes de FIDO2, un estándar de autenticación FIDO —Fast Identity Online—, junto con el protocolo CTAP —Protocolo de Autenticación del Cliente—. FIDO2 permite aprovechar dispositivos de uso común para autenticarse de manera sencilla en los diferentes servicios online desde cualquier entorno.

WebAuthn —Web Authentication API— ha pasado de ser una recomendación a un estándar web oficial. Este avance es un gran paso adelante para hacer que la web sea más segura y utilizable para los usuarios en todo el mundo.

Se trata de un estándar de navegador y plataforma para garantizar una autenticación más simple y fuerte. Es compatible con los principales navegadores web y permite a los usuarios iniciar sesión en sus cuentas de Internet utilizando su dispositivo habitual. Para poder hacer esto, los servicios web y las aplicaciones deben activar esta funcionalidad, y los usuarios podrán iniciar sesión más fácilmente a través de la biometría, dispositivos móviles o claves de seguridad FIDO. Este estándar incrementa la seguridad con respecto al uso de contraseñas.

¿Qué implica esto? Significa que podremos utilizar, siempre que el sitio al que intentemos acceder sea compatible con FIDO, nuestro smartphone y sus características de autenticación biométrica. Es decir, podemos acceder a un servicio web compatible con nuestra huella digital, o mediante reconocimiento facial. Sin contraseñas complicadas. ¿Tiene contrapartida? Tan solo en la medida en que nuestros datos biométricos se mantengan a buen recaudo, claro.

Veamos un ejemplo de cómo funciona la autenticación mediante FIDO y WebAuthn a través de un dispositivo móvil:

  • Al acceder a una web o servicio, se solicita un autenticador FIDO, que puede ser el lector de huellas de nuestro propio smartphone, por ejemplo.
  • Una vez seleccionado, el usuario desbloquea el dispositivo utilizando el autenticador elegido —mediante su huella en este ejemplo—. Puede utilizar cualquier otro método de desbloqueo en esta fase, de los que use habitualmente con su smartphone.
  • A continuación, se crea un par de claves —pública y privada— que será único para cada dispositivo, servicio y cuenta de usuario.
  • Esas claves se reparten de la siguiente manera: la clave privada se almacena en el dispositivo autenticador; la clave pública se envía al servicio, vinculada con el usuario.
  • Ahora, la operativa es muy sencilla: si el usuario quiere acceder a un servicio, utiliza el tipo de desbloqueo elegido al principio —la huella en este caso— para desbloquear el dispositivo.
  • El dispositivo elige la clave adecuada para acceder al servicio o la web en cuestión, gracias al identificador de cuenta.
  • Ahora tan solo resta que el servicio reciba por parte del dispositivo la clave privada y la verifique con la clave pública que tiene en su poder, para poder iniciar sesión.

De cara al usuario, tan solo debe asociar un dispositivo y un sistema de desbloqueo a una cuenta en el servicio web que desee. Así, cada vez que quiera acceder a dicho servicio, le bastará con utilizar su huella digital.

En otro tipo de dispositivos como los ordenadores portátiles o los de escritorio, dependerá de los tipos de autenticación soportados para poder elegir unos u otros. Está previsto que se pueda operar con tokens físicos y otras soluciones. WebAuthn no pretende eliminar las contraseñas, sino mejorar en seguridad y protegernos mejor de amenazas como, por ejemplo, el phishing.

Deja tu comentario sobre "¿Qué es WebAuthn?"

Nos encantará conocer tu opinión, pero primero tenemos que indicarte que los comentarios están moderados, y no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos a los autores, a cualquier otro comentarista o la empresa propietaria de esta página. Estás en tu perfecto derecho de comentar anónimamente, pero por favor, no utilices el anonimato para decirles a las personas cosas que no les dirías en caso de tenerlas delante. Intenta mantener un ambiente agradable en el que las personas puedan comentar sin temor a sentirse insultados o descalificados. No comentes de manera repetitiva sobre un mismo tema, y mucho menos con varias identidades o suplantando a otros comentaristas. También, procura que tus opiniones estén relacionadas con lo que se comenta en esta entrada. Los comentarios off-topic, promocionales, o que incumplan todas estas normas básicas serán eliminados.


Presto mi consentimiento para que, de acuerdo a la normativa europea de protección de datos, T-Systems ITC Iberia S.A.U trate mis datos personales con la finalidad de identificar al autor del comentario previo. Estos datos se pueden ceder a las empresas del grupo Deutsche Telekom AG. No está prevista la realización de transferencias a terceros. Puede ejercer sus derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad de datos solicitándolo por escrito a: T-Systems ITC Iberia SAU, Carrer Pere IV, 313. 08020 Barcelona, o a través de correo electrónico a FMB.TS-IB-PROTEC-DATOS-PERSONALES@t-systems.com. A su vez, puede dirigir cualquier consulta al Delegado de Protección de Datos a la dirección indicada anteriormente con la finalidad de identificar el autor del comentario previo y gestionar su consulta si fuera el caso.