Por qu¨¦ ¡°l¨¢piz empanada ruedines piscina¡± es una contrase?a segura

Yahoo sufri¨® en 2013 un robo de 3.000 millones de cuentas de correo electr¨®nico durante una brecha de seguridad. En 2014, la firma registr¨® otra sustracci¨®n masiva que afect¨® a 500 millones de cuentas. Un a?o m¨¢s tarde la web de citas Friend Finder sufri¨® un hackeo que implic¨® el robo de datos de 412 millones de usuarios. Un ataque en 2017 a la financiera estadounidense Equifax afect¨® a 146 millones de clientes. Y en 2018, un hacker rob¨® la informaci¨®n personal de 500 millones de clientes de la cadena hotelera Marriot. Estos son los cinco peores ciberataques corporativos de la historia por n¨²mero de afectados. Pero no los ¨²nicos. Uber, Adobe, Sony o LinkedIn son solo algunas de las m¨²ltiples empresas que han sufrido robos masivos de contrase?as en los ¨²ltimos a?os.

¡°Las credenciales de los usuarios son muy valiosas, ya que permiten tanto su venta masiva en los mercados alternativos como la posibilidad de generar nuevos ataques contra los usuarios o las empresas de donde han obtenido sus datos de acceso¡±, explica el investigador en seguridad inform¨¢tica Jaime S¨¢nchez, que trabaja en una multinacional de las telecomunicaciones. Cuando un usuario tiene que elegir una contrase?a, tiende a construirla de la misma forma, con la misma informaci¨®n personal como base, y usando las mismas ideas para a?adir complejidad a la misma. S¨¢nchez ha recopilado junto al tambi¨¦n investigador en seguridad inform¨¢tica Pablo Caro miles de millones de contrase?as reales de proveedores como Yahoo, Badoo, Adobe o LinkedIn con el fin de hacer un an¨¢lisis a gran escala de esos comportamientos comunes.

La principal conclusi¨®n de este estudio, presentado en el congreso de seguridad inform¨¢tica RootedCon 2019, es que la inmensa mayor¨ªa de usuarios tiene contrase?as muy d¨¦biles e inseguras que podr¨ªan ser descifradas por un atacante de forma r¨¢pida y sencilla. La mayor¨ªa de contrase?as suelen estar formadas por entre siete y nueve caracteres. Caro, que es miembro del equipo de hacking de una empresa espa?ola, explica que lo normal es que un usuario construya su contrase?a utilizando una palabra com¨²n. Por ejemplo, un nombre de un familiar o una mascota, su lugar de trabajo o el nombre de su pueblo. Despu¨¦s, seg¨²n se?ala, es habitual que aplique ¡°mutaciones¡± a partir de dichas palabras: ¡°A?adir un n¨²mero o un s¨ªmbolo al final, cambiar una letra por un n¨²mero parecido, poner la primera letra en may¨²scula¡­¡±.

El 20% de las contrase?as son muy f¨¢ciles de romper, el 60% tienen una dificultad media y el 20% son bastante dif¨ªciles, seg¨²n han comprobado ambos expertos al realizar el an¨¢lisis. Entre las m¨¢s sencillas, est¨¢n ¡°1234¡±, ¡°querty¡± o ¡°asdfg¡±. Mientras que la poblaci¨®n occidental suele utilizar m¨¢s letras en sus contrase?as, las personas orientales optan por n¨²meros porque les resulta m¨¢s f¨¢cil recordarlos. Adem¨¢s, los n¨²meros tienen significados individuales cuando suenan en la lengua china. Por ejemplo, el n¨²mero 5 en chino se lee como ¡°wu¡±, que a la vez se pronuncia de forma parecida a la palabra china que significa¡°yo¡±. Una credencial habitual en China es 5201314, ya que hace referencia a la expresi¨®n inglesa ¡°I love you forever and ever¡± (te quiero para siempre, en espa?ol).

Todas estas contrase?as normalmente no se almacenan en texto plano, sino que se utiliza un hash ¡ªun algoritmo que cifra una entrada y devuelve un c¨®digo de salida encriptado¡ªpara protegerlas y dificultar la tarea a un atacante. S¨¢nchez sostiene que generalmente se utilizan dos m¨¦todos para identificar contrase?as a trav¨¦s de un hash: fuerza bruta y diccionarios. ¡°En el caso de fuerza bruta, lo que se realiza es una combinaci¨®n del espacio de caracteres deseado, con una longitud fija o incremental, hasta que se d¨¦ con la combinaci¨®n correcta. Cuando realizamos un ataque con un diccionario, los diferentes intentos se realizan utilizando informaci¨®n conocida, como una lista de palabras en un idioma concreto o de contrase?as comunes¡±, afirma.

Este tipo de ataques se realizan de forma combinada y, seg¨²n se obtenga informaci¨®n adicional del objetivo, se reorienta y optimiza el proceso con otras t¨¦cnicas: ¡°Una vez obtenida la contrase?a hasheada, siempre ser¨¢ posible obtener la original¡±. El problema radica en el factor tiempo y en el coste. Dependiendo del algoritmo para proteger la contrase?a, y el hardware que se utilice para realizar el proceso, se podr¨ªa tardar desde tan solo unos milisegundos hasta millones de a?os. ¡°Por ejemplo, una contrase?a de 10 caracteres como ¡®m@4#J%CN5P¡¯ implica, en el peor de los casos, realizar un ataque sobre 60.510.648.114.517.017.120 combinaciones posibles. Teniendo acceso a una instancia en la nube que realiza 450.000.000.000 comprobaciones por segundo, el tiempo m¨¢ximo para obtener la contrase?a ser¨ªa de unos cuatro a?os 266 d¨ªas 23 horas y 47 minutos, con un coste aproximado de 347.740,33 d¨®lares¡±, explica.

Un gran n¨²mero de usuarios utilizan la misma contrase?a en todas sus cuentas, tanto personales como empresariales. ¡°Si logramos atacar una infraestructura m¨¢s d¨¦bil, como un foro de deportes en Internet donde el usuario est¨¦ registrado, es posible que tambi¨¦n obtengamos unas credenciales adecuadas para acceder de forma remota al espacio de trabajo del usuario dentro de la empresa¡±, afirma S¨¢nchez. Eso genera al atacante nuevos objetivos y permite evitar ciertas medidas de seguridad a las que deber¨ªa enfrentarse si no tuviera unas credenciales v¨¢lidas.

De esta forma, tal y como subraya Caro, ¡°alguien podr¨ªa hacerse con gran parte de la identidad digital de una persona¡± y usar las cuentas de email para registrarse en servicios de pago, usar tarjetas de cr¨¦dito almacenadas en tiendas online para realizar compras e incluso usar la informaci¨®n personal conseguida para intentar estafar al usuario de formas incre¨ªblemente sofisticadas. ¡°Hasta el acceso a nuestra agenda de contactos tiene valor, porque puede utilizarse para engrosar listas de env¨ªo de spam o continuar el ataque¡±, a?ade.

Cualquier persona malintencionada con suficiente conocimiento t¨¦cnico puede robar credenciales, ¡°bien para utilizarlas o para venderlas en el mercado negro de la deep web¡±. Aunque en ocasiones en casos de hacktivismo o espionaje estos ataques pueden atribuirse a alg¨²n actor, S¨¢nchez asegura que la mayor¨ªa de veces no tienen autor¨ªa.

C¨®mo crear contrase?as seguras

Ambos expertos recomiendan utilizar un gestor de contrase?as como LastPass o KeePass a los usuarios que quieran confiar en un tercero. Son programas que se encargan de generar contrase?as aleatorias y las recuerdan por el usuario. Tambi¨¦n aconsejan crear contrase?as largas construidas con palabras aleatorias que sean f¨¢ciles de recordar para el usuario y dificulten la tarea de un posible atacante. Caro pone como ejemplo la siguiente contrase?a: "L¨¢piz empanada ruedines piscina". Y S¨¢nchez a?ade algunas indicaciones: ¡°Nunca deber¨ªa ser una frase hecha o presente en literatura o letras musicales, no debe contener informaci¨®n del usuario, su empresa o datos personales y debe incluir cuatro o cinco palabras diferentes¡±.

A¨²n as¨ª, en muchas ocasiones el usuario no puede evitar que alguien se haga con su contrase?a. Por ejemplo, al hackear un servidor que almacene su contrase?a hasheada de forma insegura o sin hashear. ¡°Por norma general, es posible encontrar ciertas vulnerabilidades en los sistemas de la gran mayor¨ªa de empresas. Esto es una debilidad o un fallo en el sistema que puede poner en riesgo la informaci¨®n, permitiendo a un atacante comprometer la integridad, disponibilidad, o como en el caso de los robos masivos, la confidencialidad de los datos¡±, explica S¨¢nchez. Las causas de estas vulnerabilidades, seg¨²n se?ala, pueden ser muy diferentes: desde fallos de dise?o, errores de configuraci¨®n o falta de actualizaci¨®n hasta carencias en alg¨²n procedimiento.

En estos casos, ambos coinciden en que la forma de proteger el acceso a sus cuentas es utilizar un segundo factor de autenticaci¨®n. Por ejemplo, un c¨®digo generado por una app del m¨®vil o enviado por SMS, que se solicita adem¨¢s de la contrase?a. ¡°De esta forma, incluso aunque alguien se hiciese con nuestras credenciales, no podr¨ªa acceder a nuestras cuentas, ya que tendr¨ªa que tener acceso f¨ªsico a nuestro m¨®vil¡±, afirma Caro. Tambi¨¦n es posible a?adir cierto nivel de dificultad de tal forma que, adem¨¢s de introducir una contrase?a, el usuario confirme su identidad con algo que tiene ¡ªcomo un token USB o una tarjeta de coordenadas¡ª o algo que es ¡ªinformaci¨®n biom¨¦trica como la huella, la voz o el rostro¡ª. ¡°La autenticaci¨®n de dos o m¨¢s factores, al realizar comprobaciones mediante mecanismos diferentes, agrega una capa de seguridad a nuestros servicios y aplicaciones personales como nuestros port¨¢tiles o tel¨¦fonos m¨®viles, y a nuestros servicios online de terceros como Google, Outlook o Facebook¡±, concluye S¨¢nchez.