Los investigadores de Proofpoint han descubierto una vulnerabilidad crítica que desafía la percepción de seguridad absoluta de las passkeys, el método de autenticación sin contraseñas que se promociona como resistente al phishing. Según el informe publicado el 14 de agosto de 2025, los atacantes pueden forzar a los usuarios a revertir a formas de autenticación obsoletas y vulnerables, anulando efectivamente los beneficios de esta nueva tecnología.

La falsa sensación de seguridad

Los investigadores enfatizan que la presencia de una passkey no garantiza la seguridad si la cuenta aún permite el inicio de sesión mediante usuario y contraseña tradicionales. Esta debilidad fundamental sustenta la técnica que Proofpoint describió y reprodujo exitosamente en un entorno controlado.

El problema surge particularmente en infraestructuras como Microsoft Entra ID, donde el soporte de autenticación FIDO2 depende de una combinación específica de sistema operativo, navegador y cliente. Intentar iniciar sesión en una cuenta de Microsoft a través de Safari en Windows o Firefox en Android hace que la passkey sea inutilizable, activando automáticamente métodos de inicio de sesión alternativos.

Cómo funciona el ataque

Los atacantes explotan esta inconsistencia mediante la suplantación del user-agent. Un sitio de phishing puede simular un entorno no compatible, lo que provoca que el sistema objetivo ofrezca un inicio de sesión basado en contraseña, con o sin autenticación de dos factores.

Para demostrar la viabilidad del ataque, Proofpoint desarrolló una plantilla de phishing llamada «phishlet», que:

La captura de tokens de sesión es particularmente crítica: una vez que la víctima completa la autenticación falsa, el token queda en posesión del atacante. Al importar este token en un navegador, el atacante puede obtener acceso completo a la cuenta sin requerir contraseña o verificación adicional.

Metodología del ataque paso a paso

Un ataque típico sigue este patrón:

  1. Entrega del enlace malicioso a través de email, SMS, PDF o disfrazado como una solicitud de acceso OAuth
  2. Presentación de mensaje de error al hacer clic, alentando al usuario a elegir un método de inicio de sesión alternativo
  3. Explotación de métodos de respaldo: cuando el usuario selecciona cualquier método compatible (códigos de un solo uso, aplicaciones autenticadoras), el ataque tiene éxito
  4. Exfiltración de datos similar a una toma de control de cuenta estándar

Alcance de la vulnerabilidad

Aunque actualmente no hay evidencia de que esta técnica se esté utilizando en campañas activas, el riesgo es significativo. Microsoft no es la única empresa vulnerable: cualquier sistema de autenticación que soporte mecanismos de inicio de sesión de respaldo permanece en riesgo.

La mera existencia de una forma de burlar las passkeys se considera una preocupación seria que requiere mayor concienciación en la comunidad de seguridad cibernética.

Implicaciones para la seguridad

Este descubrimiento pone en tela de juicio la narrativa de que las passkeys son una solución de seguridad infalible. Los expertos en seguridad advierten que las organizaciones deben:

  • Revisar sus políticas de autenticación de respaldo
  • Implementar controles adicionales cuando se detecten intentos de degradación de autenticación
  • Educar a los usuarios sobre los riesgos de los métodos de autenticación alternativos

La investigación de Proofpoint subraya que la seguridad verdaderamente robusta requiere más que simplemente implementar tecnología avanzada; necesita una estrategia integral que considere todos los vectores de ataque posibles, incluidos aquellos que explotan las funcionalidades de compatibilidad hacia atrás.

Fuente

Artículos relacionadosMás del autor

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí