Enlaces mágicos - Inicio de sesión sin contraseña por correo
Lectura de 2 min aprox.
Un enlace mágico es una URL de inicio de sesión de un solo uso que se envía a la dirección de correo del usuario. En lugar de introducir una contraseña, la autenticación se completa con solo hacer clic en el enlace del correo. Servicios como Slack, Notion y Medium lo han adoptado, y ha captado la atención como una forma sencilla de implementar la autenticación sin contraseña. Sin embargo, dado que su seguridad depende por completo de la seguridad de la cuenta de correo, debe distinguirse claramente de tecnologías sin contraseña más robustas, como las llaves de acceso.
Cómo funcionan los enlaces mágicos
El flujo de autenticación de un enlace mágico es técnicamente similar al de una contraseña de un solo uso (OTP). La diferencia es que, en lugar de un código numérico, se envía por correo una URL que contiene un token aleatorio criptográficamente seguro.
Al token se le aplican las siguientes restricciones.
- Caducidad: normalmente de 10 a 30 minutos. Los enlaces caducados quedan inválidos
- Un solo uso: el token se invalida de inmediato tras hacer clic. No se puede reutilizar
- Aleatoriedad criptográfica: usar un token de longitud suficiente (128 bits o más) que no se pueda adivinar
- Vinculación de IP (opcional): algunos servicios comparan la dirección IP de la solicitud con la del clic
Casos de adopción
Ofrece la opción de «enviar un enlace de inicio de sesión por correo» como alternativa a introducir una contraseña. Se usa mucho en el primer inicio de sesión al unirse a un equipo.
Adopta los enlaces mágicos como método de inicio de sesión predeterminado, logrando una experiencia en la que ni siquiera es necesario configurar una contraseña.
Se ofrece como método de autenticación junto al inicio de sesión social. Una elección que prioriza la sencillez propia de una plataforma de contenidos.
Ventajas y desventajas
| Ventajas | Desventajas |
|---|---|
| No hay que recordar ni gestionar contraseñas | Depende por completo de la seguridad de la cuenta de correo |
| Sin riesgo de filtración ni reutilización de contraseñas | Tiempo de espera hasta que llega el correo (de segundos a minutos) |
| Implementación sencilla (sin almacenamiento de contraseñas en el servidor) | Sin resistencia al phishing (los usuarios pueden ser engañados con correos falsos) |
| Baja barrera para el registro de usuarios | No se puede iniciar sesión en un entorno sin conexión |
Lo que hay que tener especialmente en cuenta es que los enlaces mágicos no tienen resistencia al phishing. Si un atacante prepara una página de inicio de sesión falsa y consigue que el usuario introduzca su dirección de correo, un enlace mágico legítimo llega al correo del usuario. Cuando el usuario hace clic en ese enlace, se materializa un escenario de ataque de intermediario en el que la sesión del atacante queda autenticada. Consulta el artículo sobre la protección de la cuenta de correo para conocer cómo reforzar la seguridad del correo.
Comparación con las llaves de acceso
Tanto los enlaces mágicos como las llaves de acceso son autenticación sin contraseña, pero sus modelos de seguridad son fundamentalmente diferentes.
| Aspecto | Enlace mágico | Llave de acceso |
|---|---|---|
| Base de la autenticación | Posesión de la cuenta de correo | Posesión del dispositivo + biometría |
| Resistencia al phishing | Ninguna | Sí (vinculada al origen) |
| Velocidad de inicio de sesión | Lenta (espera del correo) | Instantánea (huella o reconocimiento facial) |
| Facilidad de adopción | Muy fácil | Algo compleja (implementación de WebAuthn) |
El artículo sobre los desafíos de migrar a las llaves de acceso explica una estrategia de migración por fases desde los enlaces mágicos hacia las llaves de acceso.
Conceptos erróneos comunes
La idea de que «los enlaces mágicos son más seguros que las contraseñas» es medio cierta y medio falsa. Aunque eliminan los riesgos de la reutilización de contraseñas y de las contraseñas débiles, si la cuenta de correo se ve comprometida, todos los enlaces mágicos caen en manos del atacante. Si la cuenta de correo no tiene configurada la autenticación multifactor (MFA), la seguridad de un enlace mágico no difiere mucho de la de una contraseña débil. Consulta el artículo sobre la autenticación de dos factores para conocer cómo proteger la cuenta de correo.libros sobre autenticación sin contraseña (Amazon) también son referencias útiles.
Casos de uso reales
«Tras cambiar el inicio de sesión de nuestras herramientas internas a enlaces mágicos, las solicitudes de restablecimiento de contraseña bajaron a cero. Sin embargo, hay casos en que el correo tarda más de 30 segundos en llegar, y algunos usuarios se han quejado de que «iniciar sesión es lento». Acabamos optando por usar llaves de acceso para las herramientas a las que entramos con frecuencia y enlaces mágicos para las que solo usamos de vez en cuando.»
¿Te resultó útil este artículo?