Enlaces mágicos: cómo funcionan y por qué debes usarlos

La dirección de correo electrónico de un usuario medio está asociada con más de 130 cuentas en línea. Suponiendo que el usuario promedio practique una buena higiene de la seguridad de las cuentas, cada una de esas cuentas debe tener una contraseña única y difícil de adivinar. Desafortunadamente, ese no es el caso. Más del 60% de los usuarios admite haber reutilizado las contraseñas de alguna manera.

Los humanos simplemente no pueden recordar cientos de contraseñas seguras. Tiene que haber otra manera.

Dos de los más populares son los administradores de contraseñas, como 1Password y Dashlane, y la autenticación sin contraseña. Con un administrador de contraseñas, debes recordar solo una contraseña para acceder a una bóveda de tus otras contraseñas. Con la autenticación sin contraseña, puedes evitar la fatiga de las contraseñas al autenticarte sin una contraseña.

Los enlaces mágicos proporcionan una forma para que los usuarios se autentiquen sin una contraseña. Todo el proceso de autenticación con un enlace mágico implica que el usuario proporcione su correo electrónico y luego haga clic en dicho «enlace mágico» para iniciar sesión. Profundizaremos en cómo funcionan los enlaces mágicos, a nivel técnico, revisaremos las implicaciones de seguridad de su uso y analizamos cómo mejoran la experiencia del cliente.

¿Qué son los enlaces mágicos?

Los enlaces mágicos son una forma de inicio de sesión sin contraseña. En lugar de que el usuario ingrese las credenciales de inicio de sesión para iniciar sesión, se le envía una URL con un token incrustado por correo electrónico y, a veces, por SMS. Una vez que el usuario hace clic en ese enlace para autenticarse, se le redirige a la aplicación o al sistema que ha iniciado sesión correctamente, como si utilizara una contraseña «mágica», pero sin la contraseña real.

A medida que muchas organizaciones van más allá de la autenticación basada en contraseñas, los inicios de sesión mágicos están emergiendo como un método popular de autenticación del consumidor, según el apetito por el riesgo de la empresa. Ya sea que los usuarios necesiten un enlace mágico de Slack, un enlace mágico de Tumblr o una forma de acceder fácilmente a sus propias aplicaciones y servicios, el inicio de sesión mágico los libera de recordar una larga lista de contraseñas.

Los enlaces mágicos tienen una duración limitada y son únicos, lo que significa que no son válidos después de un período de tiempo determinado, por razones de seguridad.

Los enlaces mágicos son un método para autenticar a los usuarios en línea y se pueden usar en un sistema sin contraseña o en un sistema de autenticación de múltiples factores.

¿Cómo funcionan?

Los enlaces mágicos son similares a la configuración de una contraseña de un solo uso (OTP) para la autenticación, y siguen el mismo flujo que un flujo de trabajo de «Contraseña olvidada». En un nivel alto, es así: un usuario le da a una aplicación una dirección de correo electrónico y luego hace clic en el enlace mágico que se envía a su correo electrónico y, voilà, está conectado.

Uno de los enlaces mágicos más conocidos son los flujos de Slack. Slack se inclina hacia el aspecto «mágico», adornando la acción con una varita mágica.

Desde el punto de vista del usuario final, un vínculo mágico parece mágico. Pero en realidad, solo usa tokens y funciones hash. Echemos un vistazo desde un punto de vista técnico.

  • Un usuario visita una aplicación o un sitio web.
  • El sitio web solicita la dirección de correo electrónico del usuario.
  • El usuario ingresa su dirección de correo electrónico.
  • La aplicación genera un token para el enlace mágico y forma el enlace mágico.
  • La aplicación envía la URL del enlace mágico al correo electrónico del usuario.
  • El usuario abre el correo electrónico y hace clic en el enlace mágico.
  • La aplicación recibe la consulta en el punto final del enlace mágico.

Si no se encuentra un usuario, no nos autenticaremos y no sucederá nada más. Este es un paso para ayudar a detener a los piratas informáticos en seco. ¿Cómo? Hay argumentos de que los mensajes de error son una forma de dar pistas a los piratas informáticos sobre quién tiene y quién no tiene una cuenta en su sistema.

Los desarrolladores pueden configurar si el enlace permanece válido durante intervalos de tiempo establecidos o durante el ciclo de vida de la sesión del usuario. Al hacer clic en el enlace a tiempo, se autentica al usuario y se establece una cookie que lo mantiene conectado durante la duración de su sesión.

Los enlaces mágicos funcionan de una manera que los usuarios han visto cientos de veces a través del restablecimiento de contraseñas, excepto que el usuario no necesita recordar o ingresar una contraseña para acceder a su cuenta. Gracias a esto, los enlaces mágicos agilizan el proceso de inicio de sesión y brindan una experiencia de usuario atractiva sin imponer requisitos de hardware.

¿Para qué se utilizan?

Los enlaces mágicos se pueden utilizar en dos tendencias principales en formularios en línea: autenticación sin contraseña y autenticación de múltiples factores.

Autenticación sin contraseña

La autenticación sin contraseña es cualquier tipo de sistema que funciona sin contraseñas como sistema de seguridad. En términos generales, la mayoría de los sitios en línea permiten la autenticación mediante la combinación de correo electrónico y contraseña, pero este sistema comienza a sentirse obsoleto y están surgiendo otras alternativas.

Las últimas tendencias en este tema tienden a utilizar alternativas a las contraseñas por varias razones: la mala seguridad y la experiencia del usuario son los factores más importantes. En este contexto, la autenticación sin contraseña presenta muchas ventajas para cualquier sitio en línea.

Con un enlace mágico, los usuarios pueden autenticarse de forma segura y olvidarse de usar contraseñas. Solo necesitarán ingresar su correo electrónico o número de teléfono y recibirán la URL en la que deben hacer clic.

  • Registro con un clic. El registro o el inicio de sesión con un clic es particularmente interesante debido a su celeridad. Los usuarios tienden a molestarse cuando tienen que crear otra cuenta, pueden olvidar su contraseña o simplemente no quieren perder su valioso tiempo. Poder registrarse o iniciar sesión simplemente haciendo clic en un enlace es sin duda una buena solución que nos beneficia a todos.
  • Verificación de usuario. Hacer clic en un enlace que se envía a una cuenta de correo electrónico o un número de teléfono implica verificar uno de estos medios de comunicación. Si bien el emparejamiento de correo electrónico + contraseña por sí solo no puede deshacerse de bots, cuentas de spam o correos electrónicos temporales, los enlaces mágicos en formularios sin contraseña son una forma de verificar a sus usuarios.
  • Más seguridad. Esta forma «mágica» de autenticar a los usuarios puede parecer vulnerable a primera vista, pero la verdad es que mejora la seguridad en comparación con las contraseñas. Los enlaces son únicos y limitados en el tiempo, y es mucho más difícil romperlos.
  • Menores costes. Mantener una base de datos de contraseñas y mantenerla tiene un coste elevado.

Autenticación de dos factores (o multifactor)

La autenticación de dos factores (o 2FA) es una forma de autenticar a los usuarios en dos pasos diferentes. Por ejemplo, si el primer sistema de seguridad es una contraseña, un enlace mágico puede ser el segundo método de autenticación.

La autenticación de dos factores (o autenticación de múltiples factores, cuando se aplican más de dos métodos) ha aumentado últimamente, para garantizar una experiencia más segura para el usuario. La aplicación de varias capas de verificación o autenticación es particularmente útil en los comercios electrónicos o la banca en línea, donde se ejecutan transacciones confidenciales y el dinero del usuario está involucrado.

  • Sistema sin fricción. Mantener dos o más sistemas de autenticación aumenta la cantidad de pasos que debe realizar el usuario. Sin embargo, los enlaces mágicos presentan menos fricción, ya que los usuarios solo tienen que hacer clic en la URL para finalizar el proceso.
  • Verificación de usuario. Cuando el usuario hace clic en la URL autenticada, está verificando sus números de teléfono o cuentas de correo electrónico, lo que puede ayudarlo a evitar cuentas de spam, bots y otros tipos de fraude en línea.
  • Capa extra de seguridad. La implementación de enlaces mágicos en la autenticación multifactor es necesaria si se trata de procesos sensibles. Los enlaces mágicos son una forma segura de autenticación, pero puedes aumentar la seguridad combinándolos con otros métodos de autenticación.

¿Cuáles son los beneficios de los enlaces mágicos?

Las organizaciones que implementan enlaces mágicos se benefician de diversas formas. Los enlaces mágicos permiten:

  • Implementación y uso de autenticación sencillos. Como los enlaces mágicos siguen un flujo casi idéntico al restablecimiento de contraseñas, implementarlos significa realizar algunos ajustes menores en el código sin coste adicional.
  • Incorporación perfecta. Los usuarios solo necesitan ingresar su dirección de correo electrónico y hacer clic en el enlace mágico para registrarse en una aplicación, lo que proporciona un proceso de incorporación simple y atractivo.
  • Resolución de problemas de inicio de sesión reducida. Al intercambiar contraseñas por enlaces mágicos, las organizaciones experimentan una reducción de los gastos administrativos. Pasarás menos tiempo tratando con las alertas de seguridad de inicios de sesión fallidos y ya no tendrás que actuar ante nuevas solicitudes de contraseña.
  • Mayor adopción de aplicaciones. Una experiencia positiva con el proceso de inicio de sesión a través de contraseñas «mágicas» puede alentar a los usuarios a seguir usando su aplicación. Los enlaces mágicos te permiten generar lealtad y una base de fans que regresa.
  • Menos abandonos de carrito, más conversiones. Simplificar el proceso de inicio de sesión al finalizar la compra significa que tendrás menos clientes que renuncien a sus compras, lo que abre la puerta a más conversiones tanto en la web como en el móvil.
  • Disminución de la superficie de ataque. Cada conjunto de credenciales débiles o recicladas es una ventana de ataque a tu organización. Al no tener contraseña, reducirás los riesgos de apropiación de cuentas y violaciones de datos a través de credenciales comprometidas.

También hay una serie de beneficios para los usuarios finales:

  • Sin dependencia de hardware. Si bien los métodos de autenticación como los tokens duros y la biometría dependen de que los usuarios posean ciertas tecnologías, los enlaces mágicos vienen sin demandas de recursos. Esto significa que no hay barreras de entrada, lo que hace que la autenticación sea accesible para la base de usuarios más amplia posible.
  • Experiencia de usuario familiar e intuitiva. Los enlaces mágicos ofrecen una versión simplificada del conocido proceso de restablecimiento de contraseña, que requiere poco esfuerzo para registrarse e iniciar sesión.
  • Alta usabilidad en una variedad de dispositivos. Los enlaces mágicos ofrecen una autenticación fácil en cualquier dispositivo donde los usuarios puedan acceder a sus correos electrónicos, lo que significa que son igualmente viables en teléfonos inteligentes, tabletas, computadoras portátiles y computadoras de escritorio. Los enlaces mágicos autenticarán a los usuarios en el dispositivo donde hacen clic en el enlace. Como es instintivo que los usuarios abran los correos electrónicos en el dispositivo desde el que están trabajando en ese momento, esto no debería presentar ningún problema.

Implicaciones de seguridad

Desde la perspectiva de un desarrollador, los enlaces mágicos son una forma muy atractiva de autenticación de usuarios. No hay que comprar hardware adicional y, en realidad, apenas hay código nuevo que escribir si ya tiene un flujo de trabajo de «Contraseña olvidada». Lamentablemente, no son tan seguros como otras formas de autenticación. Dicho esto, gran parte de la responsabilidad de la seguridad recae en el usuario y en el proveedor de correo electrónico del usuario.

Dado que el enlace mágico para iniciar la sesión del usuario en su aplicación se envía al correo electrónico del usuario, eso significa que cualquier persona con acceso al dispositivo del usuario podría obtener acceso a su cuenta en su aplicación. Si un usuario pierde su dispositivo o se lo roban, un mal actor podría obtener el enlace. O, si la contraseña de correo electrónico del usuario es pirateada, el pirata informático también tendría acceso al enlace mágico. Los enlaces mágicos también son vulnerables a los ataques man-in-the-middle (MITM) si los usuarios están en una red no cifrada, lo que permitiría al pirata informático robar el token.

Eso pone gran parte de la responsabilidad de la seguridad en el usuario. Lo mejor que puede hacer el usuario es:

  • Habilitar la autenticación multifactor (MFA) para su cuenta de correo electrónico.
  • Utilizar un proveedor de correo electrónico seguro.
  • Evitar el uso de redes sin cifrado.

Desafortunadamente, todas estas son sugerencias y no nada exigible.

Otra vulnerabilidad de seguridad de los enlaces mágicos viene con compartirlos. De la misma manera que una aplicación que usa contraseñas no puede establecer reglas sobre que sus usuarios compartan contraseñas, solo puede llegar hasta cierto punto para hacer cumplir los enlaces mágicos que no se compartan.

Estas son algunas de las mejores formas de asegurarse de que los enlaces mágicos no se compartan más allá del titular de la cuenta:

  • Mitiga el riesgo haciendo que cada vínculo mágico funcione solo una vez.
  • Establece un tiempo de vencimiento para cada enlace mágico (por ejemplo, 15 minutos).
  • Haz que los enlaces deban ser abiertos por el mismo navegador o dispositivo.

No te preocupes, la seguridad en torno a los enlaces mágicos no es del todo mala. Las contraseñas débiles y las contraseñas reutilizadas tienen enormes problemas de seguridad que conducen a violaciones de la cuenta. Con la autenticación sin contraseña, no hay contraseñas débiles o reutilizadas. Los piratas informáticos no tienen nada que hacer mediante la fuerza bruta o la suplantación de identidad de un cliente.