Tenemos varias y las usamos a diario. Pero podemos correr grandes
riesgos, incluso sin saberlo. Escoger y gestionar las contraseñas de forma
adecuada se ha convertido en una necesidad para defender nuestra esfera
privada. ¿Cómo hacerlo?
Es
probable que para leer este artículo –si lo hace por internet– haya tenido que
teclear una contraseña que le identifique. Una operación que todos repetimos
varias veces a lo largo del día: para acceder al correo electrónico, a una red
social, al portal al cual estamos suscritos, para comprar un billete de avión,
mirar la cuenta del banco. El llamado password está siempre con nosotros. Según
un estudio de Microsoft, tecleamos a diario ocho veces alguna clave de acceso
para entrar en una determinada plataforma de datos, sin tener en cuenta el PIN
numérico de cuatro dígitos de la tarjeta o del móvil. Muchos usan una
contraseña sencilla y fácil para no olvidarla. Y, a ser posible, que sea
siempre la misma. Craso error.
La
consultora SplashData ha realizado una lista de las peores contraseñas del año
(que reproducimos en un gráfico). Todas son fáciles de intuir o reproducir. “La
gente sigue eligiendo combinaciones débiles y previsibles y exponiéndose a
robos de identidad. Es como si dejaran abierta la puerta de su casa”, dijo
Morgan Slain, de SplashData. Por ejemplo, el año pasado se robaron 32 millones
de contraseñas de la red social de juegos Rock You. Se descubrió que 365.000
personas usaban “12345”
como código para acceder a su información. ¡Imagínense lo que ocurriría si
alguien consiguiera hacerse con las contraseñas de los clientes de una banca on
line! “El problema es que lo usuarios somos unos vagos. No buscamos nada que
sea especialmente complejo. Y hoy en día, con toda la información que circula
por la red, es cada vez más sencillo adivinar”, explica Luis Corrons, director
técnico de PandaLabs, firma especializada en seguridad informática.
¿Qué
riesgos se corren? Pues que algún delincuente entre en nuestro universo más
íntimo. ¿Se acuerdan de lo que le pasó a la actriz Scarlett Johansson? Algunas
fotos osées (atrevidas) suyas aparecieron en la red porque alguien consiguió
adivinarle su contraseña. El pirata, tras responder las preguntas que el
programa formula en caso de pérdida de la clave, basadas en la información
personal de Johansson, pudo entrar en sus archivos.
La
mayoría de las contraseñas son tan frágiles que se pueden adivinar al cabo de
tan sólo diez intentos, según un análisis de la Universidad de
Cambridge llevada a cabo por Joseph Bonneau. La investigación asegura, además,
que los usuarios adultos suelen escoger contraseñas más seguras que los más
jóvenes (aunque se supone que estos dominan mejor las tecnologías, no parecen
conscientes del peligro que corren). Por supuesto, también depende del idioma
en que se escriben. Al parecer, el alemán y el coreano serían las lenguas más
seguras, mientras que el indonesio el más vulnerable.
Un
estudio de la firma tecnológica Verizon, que se hizo público hace tan sólo unas
semanas, ha echado más leña al fuego al sostener que “el 96% de los ataques
ciberinformáticos llevados a cabo en el 2011 “no fueron muy difíciles para los
piratas, debido en parte a la existencias de contraseñas fáciles de adivinar”.
The Washington Post en un artículo reciente encendió la alarma al señalar que
existen algunas páginas que no tienen ningún reparo en ofrecer sus servicios
criminales: por 100 dólares, prometen adivinar la contraseña de correo de las
personas a quien se quiere espiar en tres o cuatro días (eso sí, se paga sólo a
resultado obtenido).
¿Qué
se puede hacer? Bruce Schneier es considerado uno de los gurús en seguridad y
privacidad en internet. Su tesis es que la protección de nuestra privacidad
está en nuestras manos. “Quien piense que la tecnología va a resolver su
problema de seguridad no entiende la tecnología o no entiende su problema”. Es
decir, que es preciso introducir unos hábitos. Existen unas pautas de sentido
común que pueden ser de ayuda al usuario y a la empresa.
De
entrada, habría que descartar como contraseña fechas de cumpleaños, nombre de
hijos, mascotas, aniversarios, etcétera. SplashData recuerda que se pueden usar
espacios para separar palabras para formar frases con sentido, del tipo “es
hora de lavarse las 2 manos”. Schneier recomienda no sólo cambiar la clave
frecuentemente –cada seis meses, como mínimo– sino también de no reutilizar
antiguas que ya se usaron en su momento.
Emplear
siempre la misma contraseña es práctico, sin lugar a dudas. Pero también es
arriesgado. Porque si nos la crakean, entonces abriremos las puertas de muchos
sitios a los delincuentes. John Pescatore, analista de la consultora Gartner,
explicaba que una de las razones del éxito de ataques informáticos como los de
Anonymous reside precisamente en que los hackers primero obtienen claves de
acceso a servicios periféricos y luego descubren que estas también son válidas
para entrar en material sensible o correo electrónico. “Es la maldición de la
reutilización de la misma clave”, dice.
Así
que tenemos que tener varias claves de acceso. En el fondo, en la vida real no
usamos la misma llave para abrir el coche, la oficina o el garaje, con lo que
deberíamos aplicar esta misma prudencia en la vida…virtual. Eso sí, Schneier
sostiene que tampoco hay que pasarse: por ejemplo, una empresa no puede obligar
al empleado a cambiar la contraseña demasiado a menudo, porque si no el
trabajador elegirá una clave demasiado sencilla para no olvidarla, lo que haría
peligrar a todo el sistema.
Según
Schneier, no es oportuno usar la opción que tienen algunos programas o páginas
de “recordar mi contraseña” y guardarla en el ordenador para la próxima vez que
se desee entrar, ya que un extraño podría aprovecharse de ello. Asimismo, hay
que evitar teclear nuestra clave en un ordenador que no conocemos, porque nunca
se sabe qué tipo de seguridad ofrece el equipo. Y nunca escribir la contraseña
en una página web en la que se accede mediante un enlace de correo electrónico,
ya que nos exponemos al llamado phishing, es decir, la estafa que suele llegar
por e-mail y que es dirigida a adquirir información confidencial de forma
fraudulenta. Sorprendentemente, Schneier dice que como último recurso no está
mal apuntar una parte de la contraseña en un papelito y llevarlo en la cartera.
Los
caracteres especiales suelen ser más difíciles de adivinar. Un buen truco
consiste entonces en sustituir la “a” con “@”, la “e” con “&”, la “s” con
“$”. También es mejor combinar letras, números y mayúsculas. Una solución que
agrupa a todas estas sugerencias a la vez es simular el lenguaje onomatopéyico
y usar iniciales. Por ejemplo, en castellano, la frase “con diez cañones por
banda, viento en popa a toda vela” se convierte en “C10cpbvep@tv!” (siempre
comprobar en un motor de búsqueda que nadie haya usado antes este código).
“Desde
un punto de vista general, la mejor clave es la que no tiene sentido alguno”,
sugiere Rafael Achaerandio, director de análisis de la consultora en tecnología
IDC. Por supuesto, cuanto más larga sea la clave, mejor. Pero tampoco tiene que
ser muy extensa o excesivamente compleja, porque si no se obtiene el efecto
contrario. Al olvidarla, el usuario puede verse tentado de apuntarla en un
post-it a la vista de todos o incluso verse obligado a solicitar a la página en
cuestión que se la recuerde constantemente (y a exponerla más de la cuenta).
Los expertos creen que 15 caracteres proporcionan una buena seguridad. Aunque
pocos lo saben, la gran parte de redes sociales no tienen límite máximo o si lo
tienen es muy amplio, con lo que hoy por hoy se pueden introducir como códigos
frases enteras.
En
un informe del mes pasado de Gartner, el analista Ant Allan recomendaba
escribir pegadas cuatro o cinco palabras sacadas del diccionario que tengan más
de cinco caracteres. Son las llamadas passphrases. Por ejemplo:
“tormentaveleropuertomarinero”. “Estas contraseñas son mucho más resistentes a
ciertos tipos de ataques y son más fáciles de recordar que otras más cortas,
con caracteres especiales. No hay que olvidar que escribir números o símbolos
en el teclado de un móvil puede ser problemático para ciertos usuarios”,
sostiene. Aunque es cierto que, desde un punto de vista teórico, un pirata
hábil siempre podría individuar la conexión mínima que existe entre las
palabras escogidas.
El
problema de la fragilidad de la clave de acceso no afecta sólo al usuario, sino
a la empresa en su conjunto. Según Verizon, los fallos de seguridad afectan en
el 85% de los casos a las pymes o aquellas compañías que emplean a menos de
1.000 personas, en el sector servicios. “Es importante que las empresas adopten
en su seno protocolos de seguridad, que obliguen a sus empleados a actuar de
una determinada manera, a cambiar las claves o a adoptar precauciones. Porque
el usuario por sí solo no siempre es precavido”, dice Achaerandio. “Es verdad
que la seguridad ha mejorado de nivel, pero se abren nuevas brechas
constantemente y los delincuentes son cada vez más sofisticados. La creciente
exposición a redes sociales hace que haya mucha más información sensible que
circula, antes había menos canales”, señala.
Para
los más despistados, es bueno saber que existen programas que facilitan la
creación y la gestión de las claves de acceso (LastPass, PasswordSafe,
1Password, ClipperZ, pero hay muchos más y existen algunas versiones
gratuitas). El principio de funcionamiento de estas aplicaciones es el
siguiente: se guardan las contraseñas habituales (o se generan nuevas) en una
carpeta, mediante la cual accedemos a través de una única clave. De esta
manera, el usuario sólo tiene que acordarse de una. Otra opción más sencilla
para protegerse es Passwordbird, un programa que genera una contraseña segura
de forma aleatoria basada en las respuestas a tres preguntas que se nos hacen:
un nombre importante para el usuario, una palabra que diga algo y una fecha
especial.
Luis
Corrons sugiere, entre los distintos software disponibles, el Keepass Password
Safe (Keepass.info). “Podemos hasta pedirle
al propio programa que sea él el que se encargue de todo. Se organizan todas
las contraseñas allí, por temática (banca on line, correo, redes sociales,
etcétera). Además, permite copiar la contraseña desde el programa para pegarla
donde la necesitemos, sin mostrarla y sólo tenemos unos segundos para pegarla,
de tal forma que no se queda en el portapapeles guardada, lo que podría ser un
riesgo.”
¿Existe
alguna otra solución que no prevea el empleo de contraseñas? El Pentágono está
estudiando alternativas. Una de ellas es la que busca identificar al usuario al
analizar su forma de teclear. El principio es sencillo: cada uno de nosotros
usa el teclado de forma diferente: hay quien aprieta más o menos, a una cierta
velocidad, etcétera. El inconveniente es que la persona tendrá que trabajar un
tiempo tecleando antes de acceder a sus datos. Podría haber más novedades en
esta línea: según una investigación de la Universidad Carnegie
Mellon en Pittsburg (EE.UU.), también en el uso del ratón habría patrones
personales, como la velocidad del puntero o la trayectoria del mismo en la
pantalla.
¿Más
alternativas? Otra opción es la de escanear el iris del ojo del usuario,
mediante un dispositivo USB (Hoyos Group está implementando un sistema en este
sentido). A su vez, una firma de la Silicon Valley (oneID) ha desarrollado un método
cruzado para identificar al usuario con dos dispositivos: uno es el desde el
que se desea acceder a la cuenta (el ordenador) y otro previamente registrado,
como el móvil. El primero enviará un código clave al segundo, que luego se
tiene que confirmar a posteriori.
Como
se ve, existen muchas vías, aunque no se ha encontrado la solución definitiva.
“Nunca puedes lograr la contraseña ideal al 100% –concluye Corrons–. Hace 13
años detectábamos 100 virus al día. En la actualidad tenemos 73.000 diarios”. Y
muchos de estos programas contagiosos actúan tras adivinar contraseñas.
¡Vacúnense!
LAS
PEORES CONTRASEÑAS:
123456
12345
123456789
password
iloveyou
princess
rockyou
1234567
12345678
abc123
nicole
daniel
babygirl
monkey
jessica
lovely
michael
ashley
654321
qwerty
No hay comentarios:
Publicar un comentario
Pueden comentar la nota aquí: