Según PANews, se ha identificado un nuevo tipo de ataque que puede eludir los sistemas de inicio de sesión basados en claves WebAuthn. El descubrimiento fue realizado por 23pds, Director de Seguridad de la Información en SlowMist Technology, quien compartió los hallazgos en la plataforma X. Este ataque permite a los perpetradores secuestrar la API de WebAuthn a través de extensiones de navegador maliciosas o explotando vulnerabilidades XSS en sitios web. En consecuencia, los atacantes pueden forzar un retroceso a inicio de sesión con contraseña o manipular el proceso de registro de claves para robar las credenciales de los usuarios.
Esta vulnerabilidad no requiere acceso al dispositivo de la víctima ni a Face ID. Los usuarios que inician sesión con claves en sitios web comprometidos o aquellos con extensiones maliciosas pueden enfrentar suplantación de identidad, lo que lleva a violaciones de cuentas.
WebAuthn, o Autenticación Web, es un estándar web desarrollado por el W3C y la Alianza FIDO. Su objetivo es proporcionar autenticación segura a través de criptografía de clave pública, ya sea como un reemplazo o complemento a las contraseñas tradicionales. Los usuarios pueden iniciar sesión utilizando claves de seguridad hardware como YubiKey, autenticadores de plataforma integrados como Windows Hello, Touch ID, biometría de Android, o dispositivos conformes con el estándar FIDO2.