Los investigadores descubren riesgos ocultos de hábiles en relaciones abusivas

Un nuevo estudio revela que las referencias, promovidas como un método de inicio de sesión más seguro en comparación con las contraseñas, puede exponer involuntariamente a los usuarios a riesgos graves en situaciones que involucran abuso interpersonal. El investigación Presenta el primer marco para analizar cómo las herramientas de autenticación digital pueden explotarse en contextos como la violencia de la pareja íntima, el abuso de ancianos y la trata de personas.

El estudio se presentó el 15 de agosto en el Simposio de seguridad de USENIX 2025 en Seattle. La investigación fue dirigida por Ph.D. candidatos Alaa Daffalla y Arkaprabha Bhattacharya; Thomas Ristenpart, profesor de Cornell Tech y Cornell Ann S. Bowers College of Computing and Information Science; Nicola Dell, profesora asociada en Cornell Tech; e investigadores de la Universidad de Nueva York y la Universidad de Wisconsin, Madison.

«A medida que las compañías tecnológicas implementan nuevos mecanismos de autenticación, es crucial considerar cómo podrían ser explotados para permitir el abuso interpersonal», dijo Dell, quien también está afiliado a Cornell Bowers. «Nuestro objetivo en este estudio es descubrir cómo se podrían abusar de los pases, con la esperanza de ayudar a hacer que las veras pasas sean más seguras para todos en el futuro».

Para investigar el potencial de daño, el equipo desarrolló un marco de «análisis de abusabilidad» de seis etapas. Este enfoque ayuda a los investigadores y equipos de productos a identificar cómo las características diseñadas para la conveniencia o la seguridad pueden ser mal utilizadas por alguien con acceso físico o remoto al dispositivo de una víctima. El marco se aplicó a 19 servicios ampliamente utilizados que admiten Keeys, incluidas plataformas como Google, Amazon, PayPal y Tiktok.

El equipo de investigación descubrió siete formas distintas en que las veras pasas podrían ser mal utilizadas en contextos abusivos. Estos «vectores de abuso» iban desde tácticas relativamente simples, como agregar la huella digital de un atacante a un dispositivo compartido, hasta maniobras más técnicas, como clonar una clave de passación a otro dispositivo con sincronización de airdrop o nube. En algunos casos, los atacantes podrían incluso manipular la apariencia de la configuración de seguridad de la cuenta para engañar o intimidar a las víctimas.

Un escenario explorado en el estudio involucró a un atacante que, después de acceder brevemente a un teléfono desbloqueado de una víctima, exportó un Passey y lo usó para monitorear silenciosamente la actividad de la cuenta de la víctima con el tiempo. En otro, un atacante inició sesión en la cuenta de una víctima de forma remota y revocó sus versas, bloqueándolas efectivamente sin un camino claro hacia la recuperación. En general, los investigadores encontraron que muchos servicios no notificaron a los usuarios cuándo ocurrieron estos cambios, o no ofrecieron herramientas para detectarlos o deshacerlos.

Los hallazgos del equipo apuntan a inconsistencias generalizadas en cómo se implementan y administran las plataformas de pasas en todas las plataformas, dijeron los investigadores. Algunos servicios carecían de características básicas como la revocación de PassKey o la gestión de la sesión. Otros permitieron a los atacantes falsificar nombres de dispositivos o ubicaciones de inicio de sesión, lo que dificulta que las víctimas reconocieran cuándo algo estaba mal. En muchos casos, los usuarios no tenían forma de ver si sus cuentas habían sido comprometidas en absoluto.

Para ayudar a abordar estas brechas, los investigadores describieron un conjunto de recomendaciones prácticas. Estos incluyen mejorar las interfaces de usuarios para la gestión de PassKeys, enviar notificaciones claras cuando se agregan o eliminan las credenciales, y colocando restricciones más estrictas sobre cómo se pueden exportar o compartir PassKeys. También instaron a las empresas a adoptar el marco de análisis de abusabilidad como parte de su proceso de desarrollo de productos, para que puedan identificar y mitigar los riesgos potenciales antes de que se activen nuevas características.

Si bien los Passkeeys ofrecen una fuerte protección contra el phishing y otras amenazas técnicas, el estudio enfatiza que las herramientas de seguridad también deben explicar la dinámica social del abuso. Al centrar las necesidades de los usuarios en riesgo, la investigación proporciona una hoja de ruta para construir sistemas de autenticación digital más seguros e inclusivos, dijeron los investigadores.