Hola a todos, Pat Reeves aquí, de nuevo en botsec.net. Es marzo de 2026, y si eres como yo, probablemente aún estés aturdido por la pura osadía de algunas de las actividades de botnets que vimos el año pasado. Mientras que los grandes titulares se centraron en los ataques DDoS y la exfiltración de datos, algo más ha estado burbujeando silenciosamente bajo la superficie, algo que, francamente, me quita el sueño por la noche: las tácticas cada vez más sofisticadas que los bots están utilizando para eludir los métodos de autenticación tradicionales, especialmente con el aumento de las passkeys.
Nos han dicho que las passkeys son el futuro, ¿verdad? Resistentes al phishing, criptográficamente seguras, ligadas a dispositivos. Y con buena razón, abordan un montón de antiguos puntos problemáticos. Pero, ¿qué sucede cuando el mismo mecanismo diseñado para protegernos se convierte en un vector de compromiso, no a través de un defecto en la criptografía en sí, sino en la forma en que se implementa y, crucialmente, en cómo los bots aprenden a manipular el elemento humano a su alrededor?
El Paradoja de la Passkey: Una Nueva Frontera para Bots
Piénsalo. La promesa de las passkeys es que eliminan los secretos compartidos (contraseñas) y requieren interacción del usuario en un dispositivo de confianza. ¡Genial! No más ataques de credenciales, no más ataques de pulverización, no más ataques simples de diccionario. Pero los bots, benditos sean sus pequeños corazones digitales persistentes, no se rinden tan fácilmente. Se adaptan. Y lo que he estado viendo, particularmente en intentos de toma de cuentas (ATO) en plataformas que han abrazado completamente las passkeys, es un cambio hacia la ingeniería social a gran escala, armada por la automatización.
Mi propia experiencia reciente con un cliente, una plataforma de comercio electrónico de tamaño mediano que apostó todo por las passkeys el verano pasado, realmente me abrió los ojos. Vieron una caída masiva en los ataques tradicionales basados en credenciales, lo cual fue fantástico. Pero luego, hace aproximadamente tres meses, empezaron a notar un aumento en los intentos de “inicio de sesión fallido” que eran… diferentes. No eran fallos de contraseña; eran intentos de iniciar el registro de passkey o recuperación desde dispositivos no reconocidos, a menudo seguidos por una avalancha de solicitudes de soporte de usuarios legítimos que afirmaban que sus cuentas estaban siendo “hackeadas” a pesar de tener las passkeys habilitadas.
Lo que descubrimos fue un ataque de múltiples etapas. Los bots no estaban tratando de adivinar passkeys; estaban intentando engañar a los usuarios para que *generaran* o *aprobaran* nuevas passkeys en dispositivos controlados por atacantes, o coaccionándolos para que restablecieran las existentes. Es un giro sobre el viejo agotamiento de MFA de “aprueba este inicio de sesión”, pero con más en juego porque una passkey comprometida significa control total de la cuenta.
Secuestros de Passkey Impulsados por Bots: Cómo Funciona
Desglosamos el nuevo manual de juego de bots para el compromiso de passkeys. No se trata de la fuerza bruta. Se trata de ingeniería social sofisticada a gran escala, amplificada por la automatización.
- Reconocimiento y Spear-Phishing Ligero: Los bots rastrean datos públicos, redes sociales e incluso volúmenes de la dark web para obtener direcciones de correo electrónico y números de teléfono. Luego, cruzan esta información con plataformas objetivo. El objetivo no es obtener una contraseña, sino identificar usuarios activos.
- La Trampa del “Nuevo Dispositivo”: Un bot, a menudo imitando un navegador legítimo o una aplicación móvil, intenta iniciar un inicio de sesión o registro de passkey para un usuario conocido en la plataforma objetivo. Dado que el usuario no tiene una passkey registrada en ese dispositivo específico (el entorno simulado del bot), la plataforma a menudo solicita un método de verificación alternativo o “agregar una nueva passkey”.
- Ingeniería Social Automatizada (ASE): Aquí es donde sucede la magia (o más bien, la amenaza). El bot, tras activar una notificación legítima del sistema (correo electrónico, SMS, notificación push de la propia aplicación), entonces sigue inmediatamente con un intento de phishing dirigido. Este no es un correo genérico de “restablece tu contraseña”. Es altamente contextual.
Imagina este escenario:
- Recibes una notificación push legítima de tu aplicación bancaria: “Se ha detectado un nuevo intento de registro de passkey desde un dispositivo desconocido. Si fuiste tú, aprueba. Si no, haz clic aquí para asegurar tu cuenta.”
- Simultáneamente, recibes un correo electrónico meticulosamente redactado, aparentemente de la seguridad de tu banco, con un asunto como: “Urgente: Registro No Autorizado de Passkey Detectado – Acción Requerida.”
- El contenido del correo está adaptado, quizás incluso mencionando la hora específica del intento de registro. Te dirige a una página de phishing que se ve idéntica al portal de seguridad de tu banco.
- En esta página de phishing, se te solicita “verificar tu identidad” ingresando tu antigua contraseña (si el banco aún la acepta para la recuperación), o, más insidiosamente, “revocar passkeys no autorizadas” que en realidad te pide *registrar una nueva passkey* en el dispositivo del atacante, disfrazado como una medida de seguridad.
La clave aquí es el *tiempo* y el *contexto*. Los bots coordinan estas acciones a gran escala, atacando a miles de usuarios simultáneamente. El usuario, al ver una notificación legítima de la aplicación y un correo electrónico muy convincente y oportuno, es mucho más propenso a caer en la trampa en comparación con un fraude de phishing genérico.
Estrategias Prácticas de Defensa Contra el Abuso de Passkeys Impulsado por Bots
Entonces, ¿qué podemos hacer? No podemos descartar las passkeys; siguen siendo un gran avance. Pero debemos ser más inteligentes sobre cómo las implementamos y protegemos. Aquí hay algunas cosas en las que he estado aconsejando a los clientes, con algunos ejemplos prácticos.
1. Fortalece tu Flujo de Registro de “Nueva Passkey”
Esta es la vulnerabilidad más crítica. Si un atacante puede engañar a un usuario para que registre una nueva passkey en su dispositivo, se acabó el juego. Necesitas múltiples capas de verificación aquí, más allá de solo la solicitud inicial de passkey.
- Segundo Factor Obligatorio para Nuevos Registros: Incluso si un usuario ya ha iniciado sesión, requerir una verificación adicional fuera de banda (como un código de un solo uso enviado a un número de teléfono o correo electrónico *pre-registrado*, no uno proporcionado durante el intento de registro) para *cualquier* nuevo registro o reemplazo de passkey es crucial.
- Atestación de Dispositivos (donde sea posible): Si bien no es infalible, incorporar controles de atestación de dispositivos durante el registro de passkeys puede ayudar a filtrar máquinas virtuales o emuladores obvios que los bots podrían estar utilizando. No se trata de bloquear a usuarios legítimos, sino de añadir fricción para entornos de atacantes conocidos.
- Limitación de Tasa y Detección de Anomalías: Esta es defensa clásica contra bots, pero se aplica aún más aquí. La limitación agresiva de tasa en intentos de registro de passkeys desde IPs únicas o rangos de IP, junto con la detección de anomalías de comportamiento (por ejemplo, un usuario intentando de repente registrar 5 nuevas passkeys en una hora desde diferentes ubicaciones geográficas), puede señalar actividad sospechosa.
// Ejemplo: Pseudocódigo para un sólido flujo de registro de nueva passkey
function registerNewPasskey(userId, webauthnCredential) {
// 1. Verificar sesión existente y fortaleza de autenticación
if (!isAuthenticatedStrongly(userId)) {
// Forzar re-autenticación o MFA adicional
initiateMFAChallenge(userId, "new_passkey_registration");
return; // Esperar la finalización de MFA
}
// 2. Realizar validación de atestación FIDO2
if (!validateWebAuthnAttestation(webauthnCredential)) {
logSecurityAlert(userId, "Atestación WebAuthn no válida durante registro de nueva passkey");
return;
}
// 3. Opcional: Verificación de huella digital del dispositivo/chequeo de atestación (lado del servidor)
if (isSuspiciousDeviceFingerprint(request.headers['User-Agent'], request.ip)) {
logSecurityAlert(userId, "Huella digital de dispositivo sospechosa para registro de nueva passkey");
initiateMFAChallenge(userId, "suspicious_device_new_passkey");
return;
}
// 4. Verificar límite de tasa para nuevas passkeys por usuario/IP
if (rateLimitExceeded("new_passkey_registration", userId, request.ip)) {
logSecurityAlert(userId, "Límite de tasa excedido para registro de nueva passkey");
return;
}
// 5. Almacenar la nueva credencial de passkey
storeUserPasskey(userId, webauthnCredential);
sendUserNotification(userId, "Nueva passkey registrada exitosamente.");
}
2. Mejora los Procesos de Recuperación de Cuentas
La recuperación de cuentas es otro objetivo principal. Si un atacante puede iniciar un flujo de recuperación y luego engañar al usuario para que lo apruebe, tiene una puerta trasera.
- Dificultar la Recuperación de Cuentas: Implementa un periodo de espera obligatorio (por ejemplo, 24-48 horas) para acciones críticas de recuperación de cuentas, especialmente aquellas que implican reemplazar todas las passkeys existentes. Durante este tiempo, notifica agresivamente al usuario a través de todos los canales de comunicación conocidos. Esto le da al usuario legítimo la oportunidad de intervenir.
- Video KYC o Verificación con Agente en Vivo para Restablecimiento Completo: Para situaciones donde un usuario ha perdido todas las passkeys y otros métodos de recuperación, considera requerir una verificación por video en vivo con un agente de soporte. Es una solución de alta fricción, pero para cuentas críticas, es un fuerte disuasivo contra la ingeniería social automatizada.
- Passkeys de “Rompe Cristales”: Para cuentas de administración internas o sistemas altamente sensibles, considera tener una passkey física de “rompe cristales” almacenada en un lugar seguro y auditado, requiriendo múltiples aprobaciones para usarla. Esto no es para cuentas de consumidor, pero para objetivos de alto valor, es necesario.
3. Educación del Usuario que Realmente Funciona
Hemos estado haciendo “educación del usuario” durante décadas y, honestamente, la mayor parte resulta ineficaz. Para las passkeys, necesitamos orientación específica, oportuna y dirigida.
- “Guías de Lo Que Puedes Esperar”: Explica claramente a los usuarios cómo se ven las notificaciones de passkey legítimas y los procesos de recuperación. Muestra capturas de pantalla.
- “Alertas de Lo Que NO Debes Hacer”: Avisa específicamente a los usuarios que no aprueben registros de passkeys que no iniciaron, o que no hagan clic en enlaces de correos electrónicos que afirman “revocar” passkeys, especialmente si no intentaron una acción de seguridad por sí mismos.
- Chequeos de Seguridad en la App: Proporciona una sección fácil de encontrar en tu app o sitio web donde los usuarios puedan ver todas las passkeys registradas, su origen (si es posible) y revocarlas. Hazlo simple e intuitivo.
// Ejemplo: Mensaje emergente en la app para actividad sospechosa
function displaySuspiciousActivityWarning(userId, activityDetails) {
const warningMessage = `
⚠ ¡Actividad Sospechosa Detectada!
Detectamos un intento de registrar una nueva passkey para tu cuenta desde un dispositivo no reconocido (${activityDetails.ipAddress} - ${activityDetails.location}) en ${activityDetails.timestamp}.
Si fuiste tú, puedes ignorar esto. Si NO fuiste tú, por favor toma medidas inmediatamente:
- Ve a tus Configuraciones de Seguridad para revisar y revocar passkeys.
- Cambia tus otros métodos de recuperación (por ejemplo, contraseña de correo).
- Contacta a soporte si necesitas ayuda.
`;
document.getElementById('security-alert-banner').innerHTML = warningMessage;
document.getElementById('security-alert-banner').style.display = 'block';
}
Este tipo de advertencia directa en la app, activada por la misma actividad de bots que estamos tratando de defendernos, puede ser increíblemente efectiva.
Lecciones Accionables para Profesionales de Seguridad de Bots
El espacio de ataques de bots está en constante cambio. Las passkeys son geniales, pero no son una solución mágica, y los atacantes ya están encontrando nuevas formas de explotar el elemento humano a su alrededor. Aquí tienes mi lista de tareas:
- Audita Tus Flujos de Passkeys: Revisa cada flujo relacionado con passkeys �� registro, inicio de sesión, recuperación, revocación – con la mentalidad de un atacante de bots. ¿Dónde puede un bot inyectar ingeniería social?
- La Verificación en Capas es Clave: Nunca dependas de un solo factor para acciones de alto impacto como el registro de nuevas passkeys o la recuperación total de cuentas. Añade MFA fuera de banda.
- Educa, No Solo Informa: Diseña educación para el usuario que sea proactiva, altamente específica sobre amenazas de passkeys, e integrada directamente en las características de seguridad de tu aplicación.
- Monitorea Anomalías: Mantén un ojo atento a tus registros para patrones inusuales en intentos de registro de passkeys, solicitudes de recuperación y tickets de soporte de usuarios relacionados con estos. Los bots operan a gran escala y esos patrones surgirán.
- No Olvides los Fundamentos: Mientras te concentras en las passkeys, no descuides tus defensas fundamentales contra bots en otras partes de tu aplicación: limitación de tasa sólida, reputación de IP, análisis de comportamiento y CAPTCHAs donde sea apropiado. Los bots pueden estar evolucionando, pero aún dejan huellas.
El futuro de la autenticación es fuerte, pero solo si anticipamos cómo los actores maliciosos intentarán socavarlo. Mantente alerta, mantente seguro, y nos vemos la próxima vez aquí en botsec.net.
Artículos Relacionados
- Protección de privacidad de datos de bots de IA
- Mi opinión: OmniMind AI es una pesadilla de seguridad
- Noticias de Seguridad de IA Hoy: Actualizaciones Urgentes & Perspectivas de Expertos
🕒 Published: