Investigadores de seguridad de SquareX, una empresa especializada en la seguridad de navegadores empresariales, han revelado un método que permite a los atacantes eludir la autenticación basada en passkeys e impersonar a los usuarios.

Las passkeys están diseñadas como una alternativa más segura a las contraseñas, utilizando claves privadas almacenadas directamente en el dispositivo del usuario. Los usuarios pueden autenticarse mediante PIN, reconocimiento facial o huella dactilar. Empresas tecnológicas como Microsoft, Amazon y Google han promovido cada vez más las passkeys como un método resistente al phishing, ya que los sitios web falsos no pueden engañar a los usuarios para que revelen sus credenciales.

Sin embargo, en DEF CON 2025, los investigadores de SquareX demostraron que, bajo ciertas condiciones, las passkeys pueden ser eludidas, no rompiendo su criptografía subyacente, sino aprovechando vulnerabilidades en el entorno del navegador para manipular el proceso de WebAuthn.

Cómo funciona el ataque

El ataque se centra en WebAuthn, el estándar que permite la autenticación con passkeys en sitios web y aplicaciones. Los atacantes pueden falsificar tanto los procesos de registro como de inicio de sesión mediante la inyección de JavaScript que secuestra la API de WebAuthn. Esto les permite suplantar al usuario y eludir la seguridad de la passkey, incluso en casos donde se utiliza Face ID u otros métodos biométricos, sin necesidad de acceso al dispositivo físico.

Para ejecutar el ataque, el actor de la amenaza debe:

1. Convencer a la víctima de instalar una extensión de navegador maliciosa, a menudo disfrazada como una herramienta legítima o útil.
2. Explotar una vulnerabilidad del lado del cliente en el sitio web objetivo, como un bug XSS, que permita la inyección de JavaScript.

Una vez que el código malicioso está activo, el atacante puede manipular los flujos de registro y autenticación de la passkey. Por ejemplo, si un usuario ya ha registrado una passkey, el atacante puede reiniciar el proceso de registro o forzar al usuario a volver a la autenticación basada en contraseña para obtener sus credenciales.

Como explica Shourya Pratap Singh, Ingeniero de Software Principal en SquareX:

“Para las víctimas, basta con visitar el sitio web donde inician sesión usando passkeys con la extensión maliciosa instalada, o simplemente visitar un sitio vulnerable a inyecciones del lado del cliente (por ejemplo, XSS). No se requiere ninguna interacción adicional más allá del proceso normal de registro o inicio de sesión.”

Esta investigación destaca que, aunque las passkeys mejoran la seguridad frente al phishing, el entorno del navegador y las vulnerabilidades del lado del cliente siguen siendo puntos críticos de ataque. Tanto las organizaciones como los usuarios deben permanecer alerta, asegurarse de que las extensiones del navegador sean confiables y proteger las aplicaciones web contra vulnerabilidades como XSS.

Fuente: https://www.securityweek.com/passkey-login-bypassed-via-webauthn-process-manipulation