Cada matí obro Gmail amb la mateixa rutina: faig un cop d’ull a les notificacions, reviso correus i accedeixo directament amb la meva clau d’accés, que fa temps va substituir les meves contrasenyes velles en tots els serveis que en permeten l’ús. Tanmateix, tot i que molts ja hem fet aquest pas, Google acaba de llançar una advertència que deixa clar que la majoria segueix ancorada en el passat: les contrasenyes, fins i tot combinades amb SMS, ja no són suficients per protegir-nos.

L’empresa assegura que la majoria d’usuaris de Gmail encara confien en mètodes tradicionals, com ara contrasenyes i la verificació en dos passos per SMS, per mantenir fora de perill el compte. El problema és que, mentre seguim emprant aquests sistemes heretats, els fraus en línia es disparen: només a l’últim any, segons l’FBI, les estafes digitals van generar 16.600 milions de dòlars, un 33 % més que l’anterior. La sofisticació dels atacs creix a un ritme imparable, i l’autenticació clàssica comença a semblar un cadenat de plàstic davant d’un lladre expert.

El nou gran enemic es diu IA generativa. Eines com v0, de Vercel, permeten que els cibercriminals creïn pàgines de pesca completament funcionals i visualment idèntiques a les reals, amb simples instruccions en text. En pocs minuts, poden replicar un lloc d’inici de sessió de Google i enganyar l’usuari més previngut. I si introdueixes la teva contrasenya en aquesta pàgina clonada, ja hauràs caigut al parany sense remei.

Aquí rau la veritable preocupació de Google. Tot i que l’autenticació en dues passes afegeix una capa extra, si es basa en SMS continua sent vulnerable a les suplantacions i als atacs d’intermediaris. Per això, l’empresa està impulsant l’ús de passkeys, un mètode d’accés molt més robust, basat en claus criptogràfiques vinculades al dispositiu de l’usuari. Amb elles, ni les webs falses ni els lladres de contrasenyes poden accedir al compte, perquè no hi ha cap contrasenya per robar.

Aquest canvi de paradigma no és només un moviment de Google. Microsoft, de fet, està anant fins i tot més lluny: el seu objectiu és eliminar completament les contrasenyes del seu ecosistema i reemplaçar-les per passkeys a tots els seus serveis. Les dues empreses saben que la vella idea que «una contrasenya forta et protegeix» ha caducat. Les passkeys ja no sonen a futur: són presents per a milions d’usuaris i l’única barrera real davant de la nova generació d’atacs.

Avui, la qüestió no és si farem servir passkeys, sinó quant trigarem a adoptar-les com a estàndard global. Perquè, si alguna cosa ens ensenya aquest advertiment de Google, és que la ciberseguretat real no depèn de claus memoritzades, sinó de tecnologies dissenyades per protegir-nos fins i tot quan abaixem la guàrdia. I en un món on la IA pot suplantar qualsevol interfície, l’única opció segura és una verificació que no pugui falsificar.

Potser en uns anys mirarem enrere i ens sorprendrà haver confiat la protecció de tota la nostra vida digital a un grapat de caràcters que, al final, qualsevol podia robar. Perquè, com passa sempre en tecnologia, el que avui creiem sòlid pot tornar-se fum amb un sol canvi al tauler.