La era de las contrase?as se encamina a su fin

Nuevos sistemas de seguridad en la Red buscan acabar con los fallos de las actuales claves de acceso

18 oct 2018 - 16:35CEST

Los passwords m��s usados hoy en internet son inmensamente f��ciles de descifrar.PIXABAY

Los humanos somos muy previsibles creando contrase?as. La mayor��a tiene entre 6 y 8 caracteres porque as�� nos lo aconsejaron. Un 55% tiene min��sculas y alg��n n��mero, seg��n esta base de datos de m��s 500 millones de claves filtradas. Las may��sculas y los signos especiales aparecen solo en un 0,6% de ellos. Los n��meros m��s usados al final de las letras son tambi��n inmensamente previsibles. Las tres combinaciones de dos d��gitos m��s usadas son, al menos en esta muestra de 3 millones de contrase?as, 00, 23 y 69. Quien hace el esfuerzo de a?adir tres cifras tampoco se esfuerza especialmente: 123, 000, 001, 111, 007, 666. Un algoritmo adecuado y la potencia de c��lculo actual son capaces de destrozar nuestra mediocre inventiva.

Adem��s, un 52% de los usuarios recicla sus c��digos de acceso, seg��n un estudio de la Universidad de Virginia Tech, "servicios sensibles, como webs de compra y email, tienen la mayor��a de passwords repetidos o [levemente] modificados".

Incomprensiblemente, a��n no ha habido cat��strofes generalizadas que afecten a la ciberseguridad de los usuarios comunes. El email privado del autor de este art��culo ha sido expuesto a ataques en bit.ly, Dropbox, LinkedIn, Tumblr y Stratford. En esta web se pueden comprobar las cuentas de correo electr��nico a las que afectan 314 hackeos. Aqu�� se puede comprobar c��mo algunos c��digos (es el caso de las fechas de nacimiento, por ejemplo) se repiten miles de veces en Internet.?

Bill Nurr, antiguo director del National Institute of Standards and Technology de Estados Unidos, ahora jubilado con 73 a?os, fue quien en de 2003 aconsej�� el uso de contrase?as de al menos 8 caracteres que combinaran letras y n��meros. Pero en 2017 afirm�� en una entrevista a The Wall Street Journal que lamentaba su propuesta: hab��a creado un ej��rcito en busca de combinaciones sencillas de n��meros y letras. Lo que parec��a un buen consejo se convirti�� en millones de "abcd123" o "password1".

Las fechas de nacimiento, por ejemplo, se repiten hasta la saciedad como claves de acceso

C��mo rectificar

Una mejora posible es alargar esos 8 caracteres a 20 o m��s. Pero una sola combinaci��n maravillosa tampoco es la soluci��n. Mark Risher, director de seguridad de Google, ha puesto de manifiesto los riesgos de usar repetidamente una sola contrase?a, por compleja que sea. Es mejor alternar passwords distintos, aunque sean m��s sencillos. "Nuestra investigaci��n ha probado que si alguien usa el mismo c��digo en muchas webs", afirma, "la probabilidad de ataque se multiplica por 10. Pero si alguien cae en una trampa de phishing [suplantaci��n de identidad o captura fraudulenta de datos] la probabilidad de que un [nuevo] ataque tenga ��xito se incrementa por 500", explica.

La soluci��n ideal es aparentemente sencilla: una contrase?a distinta y compleja para cada web. Pero aqu�� viene el problema: ?qui��n recordar�� docenas de "d$%29fht_pp*!2o8"? "Escr��belo en un papel o a��n mejor arch��valo en un gestor de passwords", dice Risher.

Las grandes tecnol��gicas tienen sus propios gestores. Hay adem��s apps espec��ficas, cuyo uso no siempre es sencillo. Hay una soluci��n intermedia aceptable: crear frases o grupos de palabras. Contrase?as de 35 caracteres (mejor con alguna ?) son m��s dif��ciles de reventar.

Hay una soluci��n intermedia aceptable, la de crear frases o grupos largos de palabras

El problema de fondo, sin embargo, sigue siendo el mismo: los usuarios no tienen incentivos para mejorar su seguridad porque no han visto peligrar sus datos. Esa perfecci��n puede cambiar con el creciente refinamiento de las t��cnicas de phishing. V��ase un ejemplo reciente, enviado desde la direcci��n comunicaciones@endesatemponegocios.coma: "Hemos detectado que una de tus facturas ha sido doblemente pagada. El origen de la mala estimaci��n en nuestro sistema de d��bito autom��tico, hemos deducido de su cuenta un importe de 765,00 EUR. En este caso debe confirmar su solicitud de reembolso". Segu��a un enlace en el que se requer��an los datos del destinatario. La cifra y la redacci��n deficiente dan motivos para sospechar de un fraude, pero el sistema es bastante m��s sofisticado que el de los correos que prometen beneficios millonarios por participar en operaciones ilegales (lo que se conoce como timo del nigeriano).

Este tipo de phishing tiene grados de perfecci��n. En el reciente hackeo de 29 millones de usuarios de Facebook, los atacantes se hicieron con las cuatro ��ltimas cifras de millones de tarjetas de cr��dito. No sirven para sacar dinero, pero tienen otros usos, seg��n Risher: "Otra cosa que da bastante miedo. Algunos de los grandes hackeos ofrecen informaci��n que da credibilidad. Por ejemplo, los cuatro ��ltimos d��gitos de tu tarjeta. As�� que te pueden escribir algo as��: 'Jordi, somos el Banco Santander sobre tu tarjeta de cr��dito que termina en ****3456'. Eso puede ser bastante cre��ble incluso si no saben tu n��mero completo de tarjeta. Ese poco que saben hacer que parezca mucho m��s leg��timo".

El phishing no se dirige a nadie de forma espec��fica. S�� el spear phishing, modalidad de fraude en la que se intenta entrar en cuentas concretas, en ocasiones no solo por dinero: "Los datos pueden ser m��s importantes que el dinero. Nuestra propia informaci��n puede ser usada para comprometer nuestras cuentas personales, organizaciones o, en casos extremos, la seguridad nacional del pa��s", dice Michael Sirivianos, profesor en la Universidad de Tecnolog��a de Chipre. El spear phishing fue el origen del hackeo al Partido Dem��crata de Estados Unidos antes de las elecciones de Trump. O de la intrusi��n en Sony por parte de Corea del Norte.

A Risher no le gusta admitirlo para no dar sensaci��n de derrota, pero una de las cosas que mejor garantizan la ciberseguridad del usuario corriente es que, como tal, no es interesante para nadie: "Espero que los lectores se lleven la impresi��n de que no todo es hackeable. Hay muchas cosas que se pueden hacer que limitan las oportunidades de que pase algo malo", dice Risher, que a?ade: "Aunque el porcentaje no llega a cero porque hay esa asimetr��a entre atacante y defensor. Como defensores tenemos que asegurarnos de que cada ventana, cada puerta, la chimenea, el s��tano, todo est�� cerrado. El atacante solo necesita una v��a abierta para entrar. Eso es una gran ventaja, pero no significa que debas dejar la puerta sin cerrar".

El fin de todas las claves personales

Mark Risher, director de seguridad de Google.GOOGLE

El futuro de la contrase?a es desaparecer. La seguridad en la Red ser�� tan importante que depender�� de algo f��sico: una llave, el m��vil. Un equipo codirigido por Sirivianos ha creado uno de estos sistemas, ReCRED, donde la seguridad depende del acceso al m��vil mediante factores biom��tricos: huella, reconocimiento facial. "Esto pasa la carga de la autenticaci��n del usuario al m��vil que siempre llevamos encima", explica. Sirivianos cree que este sistema se generalizar�� en un plazo de 5 a?os.

Google y otras plataformas ya ofrecen el doble factor de autenticaci��n: si se activa esta modalidad, el acceso a la cuenta de un ordenador se controla desde el tel��fono m��vil. Google ofrece ya su Sistema de Seguridad Avanzado, que obliga a comprar dos llaves f��sicas, limita las apps de terceros dentro del correo y trata de interceptar mensajes de suplantaci��n de identidad.

Otro modo de dejar atr��s las contrase?as ser�� el an��lisis del comportamiento online: "Hoy se investiga en sistemas de autenticaci��n continua, que monitorizan las acciones del usuario. Si el comportamiento difiere suficientemente de lo esperado, el sistema toma medidas", dice Andr��s Mar��n, profesor de la Universidad Carlos III de Madrid.

La magnitud del negocio del hackeo es enorme. Risher no explica si hay incluso Gobiernos detr��s de algunos esfuerzos criminales: "Es posible localizar d��nde est�� esta gente, pero no merece la pena dedicar muchos recursos a localizar qui��n est�� detr��s de los mismos tipos de ataques que provienen de muchos adversarios distintos". Y a?ade: "Es un negocio provechoso. Hay grupos donde un equipo investiga, otro trabaja con infraestructura (servidores), otros preparan los mensajes e incluso un cuarto aporta recursos humanos y salarios. Algunos tienen oficinas por todo el mundo para cubrir diferentes husos horarios", concluye Risher.

Tu suscripci��n se est�� usando en otro dispositivo

?Quieres a?adir otro usuario a tu suscripci��n?

A?adir usuario Continuar leyendo aqu��

Si contin��as leyendo en este dispositivo, no se podr�� leer en el otro.

?Por qu�� est��s viendo esto?

Flecha

Tu suscripci��n se est�� usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.

Si quieres compartir tu cuenta, cambia tu suscripci��n a la modalidad Premium, as�� podr��s a?adir otro usuario. Cada uno acceder�� con su propia cuenta de email, lo que os permitir�� personalizar vuestra experiencia en EL PA?S.

En el caso de no saber qui��n est�� usando tu cuenta, te recomendamos cambiar tu contrase?a aqu��.

Si decides continuar compartiendo tu cuenta, este mensaje se mostrar�� en tu dispositivo y en el de la otra persona que est�� usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu�� los t��rminos y condiciones de la suscripci��n digital.

Sobre la firma

Jordi P��rez Colom��

Es reportero de Tecnolog��a, preocupado por las consecuencias sociales que provoca internet. Escribe cada semana una newsletter sobre los jaleos que provocan estos cambios. Fue premio Jos�� Manuel Porquet 2012 e iRedes Letras Enredadas 2014. Ha dado y da clases en cinco universidades espa?olas. Entre otros estudios, es fil��logo italiano.