El Gobierno australiano anunció recientemente que su portal myGov, que permite a los ciudadanos acceder a los servicios públicos en línea desde un único lugar, está pasando a la autenticación sin contraseña para mejorar la seguridad de los servicios públicos en línea. Esto representa un cambio significativo para todas las organizaciones del sector público y los departamentos gubernamentales que, a partir de ahora, requerirán opciones de autenticación multifactor (MFA) resistentes a la suplantación de identidad, como las contraseñas, para iniciar sesión en myGov.
La adopción de esta tecnología por parte de myGov está impulsada por la necesidad de contrarrestar la alta incidencia de estafas y ataques de phishing dirigidos a myGov. El año pasado, sólo entre enero y agosto, se identificaron más de 4.500 estafas individuales de phishing en myGov, lo que contribuyó a que miles de cuentas de myGov fueran suspendidas por sospechas de actividades fraudulentas.
El portal myGov, una pasarela crucial para acceder a diversos servicios de la Administración, cuenta con más de 15 millones de usuarios únicos. Es probable que la integración de la tecnología passkeys en myGov impulse una rápida adopción debido a su mayor seguridad y facilidad de uso. Desgraciadamente, las graves infracciones de Optus y Medibank, entre otras, han dado lugar a que un gran número de credenciales de clientes estén disponibles en la web oscura, por lo que es evidente que se necesita un método de autenticación más seguro. Con la introducción de las passkeys, esta tecnología puede reducir el riesgo de filtraciones de datos y robos de identidad a gran escala, ya que las credenciales de identidad dejarán de almacenarse en un servidor central.
Impulsar la adopción de MFA y passkeys resistentes al phishing
El nuevo sistema de autenticación permite el uso de la tecnología passkey, que utiliza claves privadas cifradas en dispositivos móviles, ordenadores y claves de seguridad de hardware. Las passkeys autentican sin problemas a los usuarios utilizando claves de seguridad criptográficas almacenadas en su ordenador o dispositivo. Son una alternativa superior a las contraseñas, ya que los usuarios no tienen que recordar o introducir manualmente largas secuencias de caracteres que pueden ser olvidadas, robadas o interceptadas. Las claves de acceso vinculadas a dispositivos, como las claves de seguridad, ofrecen la máxima protección contra los ataques de suplantación de identidad porque requieren algo que se sabe (una contraseña PIN) y algo que se tiene (una clave de seguridad), una acción deliberada del usuario para introducirla en el dispositivo y tocarla físicamente para acceder a las cuentas.
Más de 80 sitios web internacionales, entre ellos grandes plataformas como Google, Amazon, Air New Zealand, PayPal, Uber, TikTok y Shopify, ya han adoptado la tecnología passkey. Se espera que el paso de myGov a este estándar impulse una adopción similar por parte de los sitios del sector privado australiano, especialmente en sectores como la banca y las telecomunicaciones.
El Gobierno australiano está adoptando una postura audaz al dar prioridad a la AMF resistente al phishing y elevar significativamente el listón de la seguridad para el país y sus ciudadanos. Tras estos anuncios, podemos esperar medidas más agresivas en los próximos meses dirigidas por el Gobierno para que todos los servicios en línea del sector público adopten passkeys como MFA resistente al phishing.
Esta transición supone un cambio significativo en la forma en que los organismos públicos y las empresas gestionan la seguridad digital. La medida se está siguiendo muy de cerca y puede influir en las estrategias de seguridad digital de los portales de servicios del gobierno estatal australiano y de las organizaciones del sector privado.
Publicado inicialmente en GovTech Review