_
_
_
_

La era de las contrase?as se encamina a su fin

Nuevos sistemas de seguridad en la Red buscan acabar con los fallos de las actuales claves de acceso

Jordi P¨¦rez Colom¨¦
Los passwords m¨¢s usados hoy en internet son inmensamente f¨¢ciles de descifrar.
Los passwords m¨¢s usados hoy en internet son inmensamente f¨¢ciles de descifrar.PIXABAY

Los humanos somos muy previsibles creando contrase?as. La mayor¨ªa tiene entre 6 y 8 caracteres porque as¨ª nos lo aconsejaron. Un 55% tiene min¨²sculas y alg¨²n n¨²mero, seg¨²n esta base de datos de m¨¢s 500 millones de claves filtradas. Las may¨²sculas y los signos especiales aparecen solo en un 0,6% de ellos. Los n¨²meros m¨¢s usados al final de las letras son tambi¨¦n inmensamente previsibles. Las tres combinaciones de dos d¨ªgitos m¨¢s usadas son, al menos en esta muestra de 3 millones de contrase?as, 00, 23 y 69. Quien hace el esfuerzo de a?adir tres cifras tampoco se esfuerza especialmente: 123, 000, 001, 111, 007, 666. Un algoritmo adecuado y la potencia de c¨¢lculo actual son capaces de destrozar nuestra mediocre inventiva.

Adem¨¢s, un 52% de los usuarios recicla sus c¨®digos de acceso, seg¨²n un estudio de la Universidad de Virginia Tech, "servicios sensibles, como webs de compra y email, tienen la mayor¨ªa de passwords repetidos o [levemente] modificados".

Incomprensiblemente, a¨²n no ha habido cat¨¢strofes generalizadas que afecten a la ciberseguridad de los usuarios comunes. El email privado del autor de este art¨ªculo ha sido expuesto a ataques en bit.ly, Dropbox, LinkedIn, Tumblr y Stratford. En esta web se pueden comprobar las cuentas de correo electr¨®nico a las que afectan 314 hackeos. Aqu¨ª se puede comprobar c¨®mo algunos c¨®digos (es el caso de las fechas de nacimiento, por ejemplo) se repiten miles de veces en Internet.?

Bill Nurr, antiguo director del National Institute of Standards and Technology de Estados Unidos, ahora jubilado con 73 a?os, fue quien en de 2003 aconsej¨® el uso de contrase?as de al menos 8 caracteres que combinaran letras y n¨²meros. Pero en 2017 afirm¨® en una entrevista a The Wall Street Journal que lamentaba su propuesta: hab¨ªa creado un ej¨¦rcito en busca de combinaciones sencillas de n¨²meros y letras. Lo que parec¨ªa un buen consejo se convirti¨® en millones de "abcd123" o "password1".

Las fechas de nacimiento, por ejemplo, se repiten hasta la saciedad como claves de acceso

C¨®mo rectificar

Una mejora posible es alargar esos 8 caracteres a 20 o m¨¢s. Pero una sola combinaci¨®n maravillosa tampoco es la soluci¨®n. Mark Risher, director de seguridad de Google, ha puesto de manifiesto los riesgos de usar repetidamente una sola contrase?a, por compleja que sea. Es mejor alternar passwords distintos, aunque sean m¨¢s sencillos. "Nuestra investigaci¨®n ha probado que si alguien usa el mismo c¨®digo en muchas webs", afirma, "la probabilidad de ataque se multiplica por 10. Pero si alguien cae en una trampa de phishing [suplantaci¨®n de identidad o captura fraudulenta de datos] la probabilidad de que un [nuevo] ataque tenga ¨¦xito se incrementa por 500", explica.

La soluci¨®n ideal es aparentemente sencilla: una contrase?a distinta y compleja para cada web. Pero aqu¨ª viene el problema: ?qui¨¦n recordar¨¢ docenas de "d$%29fht_pp*!2o8"? "Escr¨ªbelo en un papel o a¨²n mejor arch¨ªvalo en un gestor de passwords", dice Risher.

Las grandes tecnol¨®gicas tienen sus propios gestores. Hay adem¨¢s apps espec¨ªficas, cuyo uso no siempre es sencillo. Hay una soluci¨®n intermedia aceptable: crear frases o grupos de palabras. Contrase?as de 35 caracteres (mejor con alguna ?) son m¨¢s dif¨ªciles de reventar.

Hay una soluci¨®n intermedia aceptable, la de crear frases o grupos largos de palabras

El problema de fondo, sin embargo, sigue siendo el mismo: los usuarios no tienen incentivos para mejorar su seguridad porque no han visto peligrar sus datos. Esa perfecci¨®n puede cambiar con el creciente refinamiento de las t¨¦cnicas de phishing. V¨¦ase un ejemplo reciente, enviado desde la direcci¨®n comunicaciones@endesatemponegocios.coma: "Hemos detectado que una de tus facturas ha sido doblemente pagada. El origen de la mala estimaci¨®n en nuestro sistema de d¨¦bito autom¨¢tico, hemos deducido de su cuenta un importe de 765,00 EUR. En este caso debe confirmar su solicitud de reembolso". Segu¨ªa un enlace en el que se requer¨ªan los datos del destinatario. La cifra y la redacci¨®n deficiente dan motivos para sospechar de un fraude, pero el sistema es bastante m¨¢s sofisticado que el de los correos que prometen beneficios millonarios por participar en operaciones ilegales (lo que se conoce como timo del nigeriano).

Este tipo de phishing tiene grados de perfecci¨®n. En el reciente hackeo de 29 millones de usuarios de Facebook, los atacantes se hicieron con las cuatro ¨²ltimas cifras de millones de tarjetas de cr¨¦dito. No sirven para sacar dinero, pero tienen otros usos, seg¨²n Risher: "Otra cosa que da bastante miedo. Algunos de los grandes hackeos ofrecen informaci¨®n que da credibilidad. Por ejemplo, los cuatro ¨²ltimos d¨ªgitos de tu tarjeta. As¨ª que te pueden escribir algo as¨ª: 'Jordi, somos el Banco Santander sobre tu tarjeta de cr¨¦dito que termina en ****3456'. Eso puede ser bastante cre¨ªble incluso si no saben tu n¨²mero completo de tarjeta. Ese poco que saben hacer que parezca mucho m¨¢s leg¨ªtimo".

El phishing no se dirige a nadie de forma espec¨ªfica. S¨ª el spear phishing, modalidad de fraude en la que se intenta entrar en cuentas concretas, en ocasiones no solo por dinero: "Los datos pueden ser m¨¢s importantes que el dinero. Nuestra propia informaci¨®n puede ser usada para comprometer nuestras cuentas personales, organizaciones o, en casos extremos, la seguridad nacional del pa¨ªs", dice Michael Sirivianos, profesor en la Universidad de Tecnolog¨ªa de Chipre. El spear phishing fue el origen del hackeo al Partido Dem¨®crata de Estados Unidos antes de las elecciones de Trump. O de la intrusi¨®n en Sony por parte de Corea del Norte.

A Risher no le gusta admitirlo para no dar sensaci¨®n de derrota, pero una de las cosas que mejor garantizan la ciberseguridad del usuario corriente es que, como tal, no es interesante para nadie: "Espero que los lectores se lleven la impresi¨®n de que no todo es hackeable. Hay muchas cosas que se pueden hacer que limitan las oportunidades de que pase algo malo", dice Risher, que a?ade: "Aunque el porcentaje no llega a cero porque hay esa asimetr¨ªa entre atacante y defensor. Como defensores tenemos que asegurarnos de que cada ventana, cada puerta, la chimenea, el s¨®tano, todo est¨¦ cerrado. El atacante solo necesita una v¨ªa abierta para entrar. Eso es una gran ventaja, pero no significa que debas dejar la puerta sin cerrar".

El fin de todas las claves personales

Mark Risher, director de seguridad de Google.
Mark Risher, director de seguridad de Google.GOOGLE

El futuro de la contrase?a es desaparecer. La seguridad en la Red ser¨¢ tan importante que depender¨¢ de algo f¨ªsico: una llave, el m¨®vil. Un equipo codirigido por Sirivianos ha creado uno de estos sistemas, ReCRED, donde la seguridad depende del acceso al m¨®vil mediante factores biom¨¦tricos: huella, reconocimiento facial. "Esto pasa la carga de la autenticaci¨®n del usuario al m¨®vil que siempre llevamos encima", explica. Sirivianos cree que este sistema se generalizar¨¢ en un plazo de 5 a?os.

Google y otras plataformas ya ofrecen el doble factor de autenticaci¨®n: si se activa esta modalidad, el acceso a la cuenta de un ordenador se controla desde el tel¨¦fono m¨®vil. Google ofrece ya su Sistema de Seguridad Avanzado, que obliga a comprar dos llaves f¨ªsicas, limita las apps de terceros dentro del correo y trata de interceptar mensajes de suplantaci¨®n de identidad.

Otro modo de dejar atr¨¢s las contrase?as ser¨¢ el an¨¢lisis del comportamiento online: "Hoy se investiga en sistemas de autenticaci¨®n continua, que monitorizan las acciones del usuario. Si el comportamiento difiere suficientemente de lo esperado, el sistema toma medidas", dice Andr¨¦s Mar¨ªn, profesor de la Universidad Carlos III de Madrid.

La magnitud del negocio del hackeo es enorme. Risher no explica si hay incluso Gobiernos detr¨¢s de algunos esfuerzos criminales: "Es posible localizar d¨®nde est¨¢ esta gente, pero no merece la pena dedicar muchos recursos a localizar qui¨¦n est¨¢ detr¨¢s de los mismos tipos de ataques que provienen de muchos adversarios distintos". Y a?ade: "Es un negocio provechoso. Hay grupos donde un equipo investiga, otro trabaja con infraestructura (servidores), otros preparan los mensajes e incluso un cuarto aporta recursos humanos y salarios. Algunos tienen oficinas por todo el mundo para cubrir diferentes husos horarios", concluye Risher.

Tu suscripci¨®n se est¨¢ usando en otro dispositivo

?Quieres a?adir otro usuario a tu suscripci¨®n?

Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.

?Por qu¨¦ est¨¢s viendo esto?

Flecha

Tu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.

Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.

En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.

Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.

Sobre la firma

Jordi P¨¦rez Colom¨¦
Es reportero de Tecnolog¨ªa, preocupado por las consecuencias sociales que provoca internet. Escribe cada semana una newsletter sobre los jaleos que provocan estos cambios. Fue premio Jos¨¦ Manuel Porquet 2012 e iRedes Letras Enredadas 2014. Ha dado y da clases en cinco universidades espa?olas. Entre otros estudios, es fil¨®logo italiano.

M¨¢s informaci¨®n

Archivado En

Recomendaciones EL PA?S
Recomendaciones EL PA?S
Recomendaciones EL PA?S
_
_
seductrice.net
universo-virtual.com
buytrendz.net
thisforall.net
benchpressgains.com
qthzb.com
mindhunter9.com
dwjqp1.com
secure-signup.net
ahaayy.com
tressesindia.com
puresybian.com
krpano-chs.com
cre8workshop.com
hdkino.org
peixun021.com
qz786.com
utahperformingartscenter.org
worldqrmconference.com
shangyuwh.com
eejssdfsdfdfjsd.com
playminecraftfreeonline.com
trekvietnamtour.com
your-business-articles.com
essaywritingservice10.com
hindusamaaj.com
joggingvideo.com
wandercoups.com
wormblaster.net
tongchengchuyange0004.com
internetknowing.com
breachurch.com
peachesnginburlesque.com
dataarchitectoo.com
clientfunnelformula.com
30pps.com
cherylroll.com
ks2252.com
prowp.net
webmanicura.com
sofietsshotel.com
facetorch.com
nylawyerreview.com
apapromotions.com
shareparelli.com
goeaglepointe.com
thegreenmanpubphuket.com
karotorossian.com
publicsensor.com
taiwandefence.com
epcsur.com
southstills.com
tvtv98.com
thewellington-hotel.com
bccaipiao.com
colectoresindustrialesgs.com
shenanddcg.com
capriartfilmfestival.com
replicabreitlingsale.com
thaiamarinnewtoncorner.com
gkmcww.com
mbnkbj.com
andrewbrennandesign.com
cod54.com
luobinzhang.com
faithfirst.net
zjyc28.com
tongchengjinyeyouyue0004.com
nhuan6.com
kftz5k.com
oldgardensflowers.com
lightupthefloor.com
bahamamamas-stjohns.com
ly2818.com
905onthebay.com
fonemenu.com
notanothermovie.com
ukrainehighclassescort.com
meincmagazine.com
av-5858.com
yallerdawg.com
donkeythemovie.com
corporatehospitalitygroup.com
boboyy88.com
miteinander-lernen.com
dannayconsulting.com
officialtomsshoesoutletstore.com
forsale-amoxil-amoxicillin.net
generictadalafil-canada.net
guitarlessonseastlondon.com
lesliesrestaurants.com
mattyno9.com
nri-homeloans.com
rtgvisas-qatar.com
salbutamolventolinonline.net
sportsinjuries.info
wedsna.com
rgkntk.com
bkkmarketplace.com
zxqcwx.com
breakupprogram.com
boxcardc.com
unblockyoutubeindonesia.com
fabulousbookmark.com
beat-the.com
guatemala-sailfishing-vacations-charters.com
magie-marketing.com
kingstonliteracy.com
guitaraffinity.com
eurelookinggoodapparel.com
howtolosecheekfat.net
marioncma.org
oliviadavismusic.com
shantelcampbellrealestate.com
shopleborn13.com
topindiafree.com
v-visitors.net
djjky.com
053hh.com
originbluei.com
baucishotel.com
33kkn.com
intrinsiqresearch.com
mariaescort-kiev.com
mymaguk.com
sponsored4u.com
crimsonclass.com
bataillenavale.com
searchtile.com
ze-stribrnych-struh.com
zenithalhype.com
modalpkv.com
bouisset-lafforgue.com
useupload.com
37r.net
autoankauf-muenster.com
bantinbongda.net
bilgius.com
brabustermagazine.com
indigrow.org
miicrosofts.net
mysmiletravel.com
selinasims.com
spellcubesapp.com
usa-faction.com
hypoallergenicdogsnames.com
dailyupdatez.com
foodphotographyreviews.com
cricutcom-setup.com
chprowebdesign.com
katyrealty-kanepa.com
tasramar.com
bilgipinari.org
four-am.com
indiarepublicday.com
inquick-enbooks.com
iracmpi.com
kakaschoenen.com
lsm99flash.com
nana1255.com
ngen-niagara.com
technwzs.com
virtualonlinecasino1345.com
wallpapertop.net
casino-natali.com
iprofit-internet.com
denochemexicana.com
eventhalfkg.com
medcon-taiwan.com
life-himawari.com
myriamshomes.com
nightmarevue.com
healthandfitnesslives.com
androidnews-jp.com
allstarsru.com
bestofthebuckeyestate.com
bestofthefirststate.com
bestwireless7.com
britsmile.com
declarationintermittent.com
findhereall.com
jingyou888.com
lsm99deal.com
lsm99galaxy.com
moozatech.com
nuagh.com
patliyo.com
philomenamagikz.net
rckouba.net
saturnunipessoallda.com
tallahasseefrolics.com
thematurehardcore.net
totalenvironment-inthatquietearth.com
velislavakaymakanova.com
vermontenergetic.com
kakakpintar.com
begorgeouslady.com
1800birks4u.com
2wheelstogo.com
6strip4you.com
bigdata-world.net
emailandco.net
gacapal.com
jharpost.com
krishnaastro.com
lsm99credit.com
mascalzonicampani.com
sitemapxml.org
thecityslums.net
topagh.com
flairnetwebdesign.com
rajasthancarservices.com
bangkaeair.com
beneventocoupon.com
noternet.org
oqtive.com
smilebrightrx.com
decollage-etiquette.com
1millionbestdownloads.com
7658.info
bidbass.com
devlopworldtech.com
digitalmarketingrajkot.com
fluginfo.net
naqlafshk.com
passion-decouverte.com
playsirius.com
spacceleratorintl.com
stikyballs.com
top10way.com
yokidsyogurt.com
zszyhl.com
16firthcrescent.com
abogadolaboralistamd.com
apk2wap.com
aromacremeria.com
banparacard.com
bosmanraws.com
businessproviderblog.com
caltonosa.com
calvaryrevivalchurch.org
chastenedsoulwithabrokenheart.com
cheminotsgardcevennes.com
cooksspot.com
cqxzpt.com
deesywig.com
deltacartoonmaps.com
despixelsetdeshommes.com
duocoracaobrasileiro.com
fareshopbd.com
goodpainspills.com
hemendekor.com
kobisitecdn.com
makaigoods.com
mgs1454.com
piccadillyresidences.com
radiolaondafresca.com
rubendorf.com
searchengineimprov.com
sellmyhrvahome.com
shugahouseessentials.com
sonihullquad.com
subtractkilos.com
valeriekelmansky.com
vipasdigitalmarketing.com
voolivrerj.com
zeelonggroup.com
1015southrockhill.com
10x10b.com
111-online-casinos.com
191cb.com
3665arpentunitd.com
aitesonics.com
bag-shokunin.com
brightotech.com
communication-digitale-services.com
covoakland.org
dariaprimapack.com
freefortniteaccountss.com
gatebizglobal.com
global1entertainmentnews.com
greatytene.com
hiroshiwakita.com
iktodaypk.com
jahatsakong.com
meadowbrookgolfgroup.com
newsbharati.net
platinumstudiosdesign.com
slotxogamesplay.com
strikestaruk.com
trucosdefortnite.com
ufabetrune.com
weddedtowhitmore.com
12940brycecanyonunitb.com
1311dietrichoaks.com
2monarchtraceunit303.com
601legendhill.com
850elaine.com
adieusolasomade.com
andora-ke.com
bestslotxogames.com
cannagomcallen.com
endlesslyhot.com
iestpjva.com
ouqprint.com
pwmaplefest.com
qtylmr.com
rb88betting.com
buscadogues.com
1007macfm.com
born-wild.com
growthinvests.com
promocode-casino.com
proyectogalgoargentina.com
wbthompson-art.com
whitemountainwheels.com
7thavehvl.com
developmethis.com
funkydogbowties.com
travelodgegrandjunction.com
gao-town.com
globalmarketsuite.com
blogshippo.com
hdbka.com
proboards67.com
outletonline-michaelkors.com
kalkis-research.com
thuthuatit.net
buckcash.com
hollistercanada.com
docterror.com
asadart.com
vmayke.org
erwincomputers.com
dirimart.org
okkii.com
loteriasdecehegin.com
mountanalog.com
healingtaobritain.com
ttxmonitor.com
nwordpress.com
11bolabonanza.com