CTAP: protocolo para in­cre­me­n­tar la seguridad y comodidad en la Web

Durante décadas cualquier inicio de sesión “seguro” se ha llevado a cabo usando una co­m­bi­na­ción de co­n­tra­se­ña y nombre de usuario. Ya sea en una tienda web, una red social o un sistema de pago, basta con in­tro­du­cir estos datos para acceder. Sin embargo, se ha co­n­s­ta­ta­do que esta te­c­no­lo­gía no es perfecta. Dado que se recurre a menudo a co­n­tra­se­ñas poco ela­bo­ra­das que se utilizan, a su vez, en di­fe­re­n­tes perfiles y cuentas, las claves se co­n­vie­r­ten en un blanco fácil para los atacantes. Es por este motivo por el que la FIDO Alliance ha unido fuerzas con el World Wide Web Co­n­so­r­tium (W3C) para de­sa­rro­llar un sistema más seguro y cómodo que la pro­te­c­ción habitual mediante claves.

El resultado de esta co­la­bo­ra­ción lo re­pre­se­n­tan FIDO2 y WebAuthn. Sin embargo, hay otro mecanismo a menudo re­la­cio­na­do con el nuevo sistema de pro­te­c­ción que resulta menos conocido. Se trata del Client to Au­the­n­ti­ca­tor Protocol (CTAP). ¿Sabes a qué se refiere?

FIDO2 y WebAuthn están de­s­ti­na­dos a re­em­pla­zar el sistema de co­n­tra­se­ñas común. Con ellos, en lugar de las claves de acceso ha­bi­tua­les pueden usarse datos bio­mé­tri­cos, como las huellas da­c­ti­la­res, para proteger las cuentas online. También se puede recurrir a lo que en el contexto FIDO se conocen como au­te­n­ti­ca­do­res, estos son, tokens de hardware como las memorias USB. En este mismo contexto, CTAP se co­n­s­ti­tu­ye como el protocolo encargado de controlar la co­mu­ni­ca­ción entre el token y el sistema del usuario. De este modo, el protocolo determina cómo deben co­mu­ni­car­se entre sí los dos co­m­po­ne­n­tes para que se lleve a cabo la au­te­n­ti­ca­ción y, en co­n­se­cue­n­cia, se pueda iniciar sesión.

CTAP está di­s­po­ni­ble en dos versiones di­fe­re­n­tes. La primera versión del protocolo también se conoce como Universal 2nd Factor (U2F) y hace re­fe­re­n­cia pri­n­ci­pa­l­me­n­te a la au­te­n­ti­ca­ción de dos factores. Por su parte, CTAP2 se utiliza junto a WebAuthn para permitir el fu­n­cio­na­mie­n­to de FIDO2. Mientras WebAuthn regula la conexión entre el sistema del usuario y el sitio web, el protocolo CTAP, por su parte, se encarga de regular la conexión entre el au­te­n­ti­ca­dor y el PC o portátil del usuario (o navegador, ya que este último es el re­s­po­n­sa­ble de la au­te­n­ti­ca­ción).

Para ga­ra­n­ti­zar que solo las personas au­to­ri­za­das puedan iniciar sesión en una cuenta online, debe de im­ple­me­n­tar­se un sistema de au­te­n­ti­ca­ción. Con FIDO2, se recurre a un di­s­po­si­ti­vo adicional (token) para que el usuario se ide­n­ti­fi­que en la pla­ta­fo­r­ma de acceso, que sustituye al método habitual y menos seguro de las co­n­tra­se­ñas. El au­te­n­ti­ca­dor se conecta a través de USB, NFC o Bluetooth al di­s­po­si­ti­vo utilizado en la na­ve­ga­ción. Para que CTAP, WebAuthn y FIDO2 puedan aplicarse en la práctica, es necesario que el navegador soporte los nuevos es­tá­n­da­res (las versiones actuales de los líderes del mercado ya han im­ple­me­n­ta­do FIDO2).

La co­mu­ni­ca­ción a través del CTAP sigue un patrón de­te­r­mi­na­do. En primer lugar, el navegador (u otro software re­s­po­n­sa­ble) se conecta al au­te­n­ti­ca­dor y le solicita la in­fo­r­ma­ción necesaria. El sistema verifica la opción de au­te­n­ti­ca­ción que ofrece el di­s­po­si­ti­vo externo. Basándose en esta in­fo­r­ma­ción, el sistema envía una orden al au­te­n­ti­ca­dor. Este devuelve una respuesta o un mensaje de error de­pe­n­die­n­do de la orden recibida.

Con este método, los datos de au­te­n­ti­ca­ción (como la huella dactilar) nunca salen del área de acceso del usuario y los datos sensibles pe­r­ma­ne­cen en el sistema. El navegador solo envía a través de WebAuthn la co­n­fi­r­ma­ción de que el acceso es legítimo, tra­n­s­mi­sión que a su vez funciona mediante un pro­ce­di­mie­n­to de clave pública. Gracias a CTAP, WebAuthn y FIDO2 se eliminan los ataques man‑in-the-middle y los de phishing, dado que los usuarios ya no tienen que pro­po­r­cio­nar co­n­tra­se­ñas y nombres de usuario.