El Director de Seguridad de la Información de SlowMist Technology, 23pds, ha destacado una nueva amenaza de seguridad relacionada con los inicios de sesión basados en claves WebAuthn. Investigadores han identificado un método de ataque que permite a actores maliciosos eludir la autenticación WebAuthn secuestrando la API mediante extensiones de navegador dañinas o explotando vulnerabilidades de secuencias de comandos entre sitios (XSS). Este ataque puede forzar una degradación a inicios de sesión con contraseña o manipular el proceso de registro de claves para robar credenciales, sin necesidad de acceso físico al dispositivo ni Face ID. La vulnerabilidad representa un riesgo significativo para los usuarios que dependen de WebAuthn para una autenticación segura, ya que puede conducir a la suplantación de identidad y al compromiso de cuentas. WebAuthn, desarrollado por el W3C y la Alianza FIDO, está diseñado para mejorar la seguridad mediante criptografía de clave pública, ofreciendo alternativas a las contraseñas tradicionales a través de llaves de seguridad hardware o dispositivos compatibles.