Por Pablo G. Bejerano
17/05/2016
Hace años –ya casi décadas– la vida era sencilla. Hubo un tiempo en que lo más difícil que había que recordar era el número de teléfono de casa, el de un par de amigos y el de los abuelos. Internet empezó a cambiar esto, pero al principio no nos dimos cuenta. Sólo había que apuntar la contraseña del correo electrónico en un papel y dejarlo junto al ordenador. El correo electrónico era como el postal pero no se utilizaba para recibir nada importante, como información bancaria o comunicaciones oficiales.
Poco a poco hubo que apuntar en ese papel otras contraseñas, como la de un segundo mail o las claves para entrar en un foro. Y, casi sin darnos cuenta, hemos llegado a un punto en el que una persona hoy tiene al menos tres correos electrónicos y es miembro de varias redes sociales. A esto se une que está registrado en distintas aplicaciones móviles y se ha dado de alta en portales de descuentos, sitios de reservas de hotel, una plataforma para comprar entradas de teatro (y de lo que surja) y un par de páginas que no volverá a visitar, pero a través de las cuales accedió a una interesante promoción.
Además, hemos perdido aquel papel y ahora tiramos de memoria. Acordarse de todas las contraseñas empezó a ser complicado a partir de la tercera o la cuarta, pero aún era más difícil inventárselas. Cuando se acaban las derivaciones tipo romanrodrigo1980bis sólo queda repetirlas. Y con el fin de recordarlas creamos contraseñas fáciles y las repetimos en diferentes plataformas.
Un estudio de la firma Sophos, que desarrolla productos de seguridad informática, estimaba en 2014 que un usuario medio tenía 19 contraseñas. También apuntaba que uno de cada tres no utilizaba contraseñas seguras. Las conclusiones no son de extrañar teniendo en cuenta el ranking anual de peores contraseñas que elabora SplashData, otra empresa dedicada a la seguridad. El año pasado, entre las claves que se usaron asiduamente, la más fácil de adivinar por los hackers fue 123456, seguida de password y 12345678. En el ranking se pueden encontrar palabras sueltas, como dragon, princess o monkey, que también son sencillas.
En la actualidad sí llegan mensajes importantes al correo electrónico y hemos introducido en las redes sociales una gran cantidad de información que no queremos ver en manos ajenas. También usamos contraseñas para acceder a nuestra cuenta bancaria y para entrar en aplicaciones del trabajo que contienen datos sensibles. No podemos permitirnos que averigüen nuestras claves.
Palabras robustas y únicas
Una de las formas más comunes de obtener contraseñas es mediante lo que se llaman ataques de fuerza bruta, en los que un equipo prueba combinaciones hasta que alguna abre la puerta. Por eso no hay que repetir. “Es casi inevitable que una de tus contraseñas sea comprometida en alguna página web en algún momento. Y si has usado esa misma contraseña en muchas webs el riesgo se multiplica, ya que hay gente que empezará a probar con una combinación de tu email y la contraseña”, explica Morgan Slain, CEO de la compañía SplashData.
Para que una contraseña sea segura tiene que ser única y necesita tener una combinación difícil de adivinar por una máquina. De ahí que las palabras más comunes no sirvan. Slain descartaría todas las que aparecen en el diccionario, y recomienda más de 14 caracteres, dando cabida a símbolos más allá de los alfanuméricos.
Tampoco hace falta inventar un código que parezca sacado de una novela de espías de la Guerra Fría. Josep Albors, director de comunicación y laboratorio de la compañía de antivirus ESET España, habla de una solución más cercana. “Tan efectiva es una contraseña de 10 o 12 caracteres, mezclando números, letras mayúsculas y minúsculas, como una contraseña que sea lo suficientemente larga, como una frase de 30 palabras”.
Estas claves pueden ser más fáciles de recordar si sólo son dos o tres, pero cuando su número aumenta tenemos el mismo problema. Tanto Slain como Albors están de acuerdo en que hoy la solución más práctica es un gestor de contraseñas. Una plataforma donde se introducen las claves de acceso y se almacenan bajo la seguridad que proporciona la empresa proveedora. La plataforma tiene una contraseña maestra, que genera el usuario, y que servirá para entrar en cualquiera de los servicios cuya clave esté almacenada en este espacio.
Hay muchas herramientas de este estilo, como LastPass, DashLane o 1Password, incluso la propia SlashData cuenta con la suya. “Vimos este problema venir en el año 2000, así que pretendimos crear una solución fácil pero segura, que sirviera para gestionar muchas contraseñas diferentes y otro tipo de información que todos necesitamos tener controlada, como nombres de usuario”, señala Morgan Slain.
Es una solución funcional y con garantías, pero no infalible. En la seguridad digital nada lo es. El pasado año uno de estos gestores de contraseñas, LastPass, anunció a sus usuarios que había detectado una actividad sospechosa en su red, aunque rápidamente hizo un llamamiento a la calma, afirmando que no había evidencia de que las contraseñas hubieran quedado expuestas.
Slain afirma que el aislamiento de la información en estas plataformas es muy alto, así como el nivel de cifrado, lo que dificulta que un intruso pueda extraer datos válidos. “Es bastante más seguro que ir usando contraseñas débiles o ir apuntándolas en papelitos”, confirma Albors. “Porque los gestores de contraseñas son vulnerables hasta cierto punto, pero se necesita más esfuerzo para obtener estas contraseñas almacenadas”.
Es más fácil que un hacker obtenga la contraseña maestra de un usuario atacando a éste antes que a la plataforma de gestión. “Tu seguridad personal en un gestor de contraseñas depende de la robustez de tu contraseña maestra. Es importante que hagas una buena y que no se la digas a nadie ni la uses en otras webs”, comenta Slain.
A pesar de estas plataformas, el sistema de seguridad digital no convence. Por eso se ha creado el doble factor de autentificación, que genera un código de un solo uso para confirmar el acceso cuando se produce desde un equipo que no es el habitual. Un ejemplo es el mensaje que mandan al móvil cuando se hace una transferencia.
Hay empresas como Google o Microsoft que están estudiando técnicas para sustituir las contraseñas, pero dan pocas pistas sobre la dirección de sus esfuerzos. Mientras, los smartphones han abierto el camino de la biometría, sensores que se sirven de parámetros biológicos para reconocer al usuario, como la huella dactilar o el reconocimiento facial.
Son métodos que aportan más seguridad, aunque tienen sus fallos. “Dependerá de los recursos que hayan querido gastarse. No es lo mismo aplicar biometría en un dispositivo de 600 euros que en un dispositivo de seguridad militar”, indica Albors, citando casos de personas que han engañado al reconocimiento facial mediante fotos en alta resolución o al sensor de huella dactilar utilizando una fotocopia de la huella.