Tecnología > Seguridad
El fin de las contraseñas
Juan decide abrir una cuenta de Twitter y, para no olvidarse, le pone la misma contraseña que tiene en Facebook, en Gmail y en la aplicación para acceder a su cuenta bancaria. A cargo de tantos sitios web importantes, la clave solo se remite a la fecha de su cumpleaños y sus iniciales. Juan es un hombre previsible.
El caso de Juan es similar al de Pedro, María, Lucía, Pablo y Estela. Todos ellos tienen múltiples cuentas en diferentes plataformas y, por miedo a olvidarse, le ponen la misma clave. Incluso, no la hacen muy compleja para que sea sencillo recordarla.
La mayoría de las contraseñas tienen entre seis y ocho caracteres. El 55% tiene minúsculas y algún número, según una base de datos de más 500 millones de claves filtradas que sistematizó la Universidad de Virginia Tech.
A su vez, quienes tienen mala memoria, la escriben en un papel o en un post-it que dejan pegado en el monitor de su trabajo, el cual es visto por todos sus compañeros e incluso puede verse en alguna foto que se tome en la jornada.
De acuerdo con el estudio, las mayúsculas y los signos especiales aparecen solo en 0,6% de los casos. Los números más usados al final de las letras son también previsibles. Las tres combinaciones de dos dígitos más usadas son, al menos en esta muestra de 3 millones de contraseñas, 00, 23 y 69. Quien añade tres, tampoco es original: 123, 000, 001, 111, 007, 666. Además, la mitad de los usuarios recicla sus códigos de acceso.
Muchos no tienen en cuenta que al no proteger sus cuentas apropiadamente ponen en riesgo la privacidad de sus datos, e incluso pueden ser víctimas de un ataque. Ciberdelincuentes podrían acceder a las cuentas bancarias o información personal. Como mínimo lo que le puede pasar a alguien con poca seguridad es que le vulneren una red social por pura maldad y se tenga que abrir otra. Lamentablemente, existen millones de casos de robo de datos personales o utilización de fondos de una cuenta por exponerse sin saberlo.
Muchas veces también se deja la contraseña predeterminada que viene de fábrica. Los dispositivos vienen con claves (por lo general, es admin) que se encuentran fácilmente en internet. Con este panorama a la vista, a comienzos de octubre, se aprobó una ley en California que indica que a partir de enero de 2020 los fabricantes de dispositivos inteligentes –como routers, televisores o smartphones– deben contar con contraseñas únicas para cada producto fabricado. Según la empresa de seguridad ESET, la medida busca evitar que se utilicen contraseñas por defecto.
A pesar de las mejoras que el usuario pueda hacer (alargar esos 8 caracteres a 20 o más), el método usuario-contraseña es muy poco seguro. Por eso, cada vez son más los sistemas de seguridad biométricos, como el lector de iris, reconocimiento facial o huella dactilar. Todo apunta a que se tomará ese camino.
“Lo que está pasando es que la contraseña se ha vuelto muy vulnerable. Por un lado crean contraseñas muy fáciles de adivinar y, por otro, muchas veces dejan la clave por defecto”, dijo a Cromo Mateo Martín, gerente general de Kod Latam Security.
Si bien se desconoce cuántos son los afectados por invasión de cuenta o robo de contraseña, muchos sufren las consecuencias. Según José Luis López, representante de ESET en Uruguay y pionero en investigación de seguridad informática en el país, “no hay forma de registrar (la incidencia), pero hay muchos códigos maliciosos que pueden insertarse en un dispositivo con acceso débil”. Investigaciones han determinado que si alguien usa el mismo código en muchos sitios, la probabilidad de ataque se multiplica por 10.
Errores de los usuarios
A la hora de elegir una contraseña los individuos utilizan diferentes criterios, pero siempre le dan más importancia a lo que es fácil de recordar en lugar de priorizar la seguridad. Si bien algunos portales exigen contraseñas largas, que incluyan mayúscula, minúscula, números, etcétera, para complejizarla, no suele ser suficiente.
Además de ser incómodo para los internautas. Cuando no son necesarios tantos requisitos, las personas suelen ser concisas y normalmente no las actualizan con la frecuencia que se recomienda.
Según un informe de ESET, las peores 10 contraseñas de 2017 fueron: 123456, password, 12345678, qwerty, 12345, 123456789, letmein, 1234567, football y Iloveyou.
Cuando la clave es sencilla la persona corre riesgo de que existan algoritmos muy parecidos. Martín indicó que los algoritmos que comúnmente se utilizan están muy limitados, por lo que el atacante puede saber la contraseña si conoce la lógica. El individuo también es vulnerable cuando accede a cuentas y elige la opción de loguearse con Facebook, algo que López no recomienda. En estos casos, no solo se corre riesgo en Facebook, sino en todos los servicios que estén vinculados.
“La tendencia es ir hacia el fin de las contraseñas. Justamente se están buscando métodos que sean más fáciles para el usuario y a su vez más seguros”, dijo Martín.
Cómodo y seguro
Cada vez son más las plataformas utilizadas por cada usuario e incluso serán más en el futuro en la medida en que todo apunte al internet de las cosas. Este concepto refiere a una interconexión digital de dispositivos cotidianos, como electrodomésticos con internet.
La tecnología suele ser cómoda y ágil, pero no lo es si para cada cosa se tiene que tener una contraseña única y compleja. A pesar de que sería lo ideal, las personas no tienen forma de retener tanta información y terminan teniendo cuentas vulnerables.
Por tanto, se ponen en juego dos aspectos: la comodidad del usuario y la seguridad. “Es la combinación de que sea cómodo para el usuario y seguro, que sea algo que identifique realmente a una persona”, indicó López.
Es entonces cuando entran los métodos de seguridad biométricos, que suelen ser una opción más cómoda y segura. Hoy en día, algunos smartphones tienen esta tecnología. Lo más habitual es un lector de huella pero hay varios modelos con reconocimiento facial como el Samsung Galaxy S9. Por lo tanto, no es necesario detenerse a pensar una contraseña, sino que es suficiente con poner la huella dactilar o el rostro frente a la cámara.
Para López, la opción de usuario-contraseña tiene un alto riesgo de ser vulnerada de distintas formas. No necesariamente tiene que ser un error de la persona; a veces, los delincuentes descifran la clave de diferentes formas.
Pero “la falsificación de datos biométricos es más complicada”, dijo el experto. Aunque aclaró que de todas formas no es 100% seguro, “la ventana de inseguridad es más pequeña que usuario-contraseña”.
La muerte de la clave
Un método de seguridad muy utilizado es el de autentificación. Es decir, muchas plataformas cuentan con la opción de activar la autentificación por medio de un mensaje de texto al teléfono o por una llamada. Martín explicó que se trata de tecnologías de “doble factor”.
Para tener una seguridad de doble factor es clave contar con al menos dos de los siguientes tres aspectos: “algo que yo sé”, “algo que yo tengo” y “algo que soy”. Con el primero de ellos, Martín se refirió a una contraseña; con el segundo, a un celular, y con el tercero, a una contraseña biométrica. “La idea es usar al menos dos para lograr una combinación robusta”, agregó.
El objetivo es que a futuro se deje de depender directamente del sistema usuario-contraseña. Por eso, cada vez habrá más métodos de seguridad biométrica.
Martín explicó que esta seguridad es mejor por el simple motivo de que se requiere de la presencia de la persona. Además, como cada vez más todo se hará a través del celular, la tecnología biométrica sería una opción cómoda. Todo esto indica que las contraseñas dejarán de existir.
Uno de los métodos futuros podría basarse en un certificado, como la cédula de identidad y la huella, por ejemplo.
La realidad es que a medida que aumente el uso de dispositivos, tanto en el hogar como en la industria, la seguridad se verá más vulnerable y, por tanto, se requerirán métodos más robustos.
“La tendencia es ir hacia el fin de las contraseñas. Justamente se están buscando métodos que sean más fáciles para el usuario y a su vez más seguros”, dijo Martín.
Autenticación web
El navegador Firefox cuenta con Web Authentication, por lo que es más seguro ingresar a todos los sitios. Se implementa a través de lectura biométrica. Esta opción sería similar al sistema de seguridad de iPhone, según López. Microsoft, por su parte, lanzó recientemente una aplicación con la que se puede ingresar a los portales sin una contraseña. Al querer acceder, la app enviará un mensaje al celular y se deberá aprobar con un pin o tecnología biométrica.
Se recomienda que no sea fácil u obvia. Para ello, es importante evitar las típicas claves “1,2,3,4”, “iloveyou”, “password”, entre otras. Para que sea más compleja, debe ser bastante larga y al menos incluir mayúsculas, minúsculas y números.
Para no tener ningún tipo de riesgo, es aconsejable cambiar la contraseña con frecuencia. Algunas plataformas web exigen la modificación de la clave cada cierto tiempo.
López sugirió una técnica para utilizar a la hora de elegir la clave: tomar una frase que recuerde a algo, que solo el usuario la sepa y no se olvide. Y, a su vez, escribirla alterada con una mayúscula o un número en el medio. Por ejemplo: “MeGustaMiPerro25”.
Las contraseñas escritas en post-it o en un papel en el escritorio del trabajo son vulnerables a aparecer en una foto sin querer o en un video de la cámara de seguridad de la empresa. Por ello, se recomienda no dejar ninguna clave a la vista de nadie. Asimismo, hay que evitar decírsela a alguien más, a pesar de la confianza que pueda tenerse con la persona.
Utilizar los sistemas de seguridad de doble factor. Es aconsejable habilitar la autenticación en las plataformas que lo hacen posible, por ejemplo, en Facebook. De esta forma aumenta la seguridad.
En muchas plataformas se tiene la opción de abrir la cuenta desde Facebook. No es un método seguro, ya que pone en riesgo todas las plataformas que estén vinculadas.
Muchas personas han sido engañadas por páginas falsas de bancos, en las que les piden que ingrese a su cuenta para actualizar determinados datos o por alguna otra excusa similar. No debe ponerse la contraseña en un sitio que no es seguro. Existen formas de comprobar que sea el oficial.
