Muchos de los problemas de seguridad tienen más que ver con el descuido o desconocimiento del usuario que con la pericia de los ‘atacantes’. El equivalente en la Red a dejar la puerta abierta es contar un buen sistema de seguridad informático al que se accede mediante una clave poco segura. Por eso, la elección de una buena contraseña es fundamental.
Ingeniería social
De nada sirven las páginas seguras y las comunicaciones cifradas si el usuario, sin duda el eslabón más débil de la cadena de la seguridad, no pone algo de su parte. Por muy segura que sea la puerta, no será muy útil si dejamos la llave al alcance de cualquiera o elegimos una que sea fácil de copiar. Esas claves o contraseñas deben ser seguras y guardadas a buen recaudo, pues dan acceso al correo electrónico, la banca online o cualquier otro servicios de la Red.
Existen, básicamente, dos métodos para atacar un sistema protegido mediante contraseñas. El primero emplea tanto la habilidad informática como la «fuerza bruta»: un ordenador potente dedicado a combinar caracteres al azar o un ‘ataque de diccionario’, que se limita a probar palabras comunes utilizadas como contraseña. Para el segundo no hace falta ser un hacker, basta emplear un poco de ‘ingeniería social‘, desde técnicas más o menos elaboradas para persuadir a un usuario a revelar su contraseña (como mensajes o llamadas telefónicas falsas) a la investigación de datos o documentos personales para deducir claves de acceso.
Paris Hilton
La multimillonaria heredera de la cadena de hoteles Hilton, tras hacerse (más) famosa gracias a un vídeo subido de tono que se ‘escapó’ a la Red, ha vuelto a saltar a la palestra porque su agenda telefónica, repleta de nombres conocidos, ha aparecido también colgada en Internet. Tras diversas especulaciones sobre cómo un habilidoso hacker podría haberse hecho con su listín personal, se ha desvelado que el asalto ha sido otra vez consecuencia de «olvidarse la llave puesta».Los datos personales y la agenda telefónica de Paris Hilton estaban almacenados en Internet en el servicio que ofrece el operador T-Mobile. A esos datos Hilton accedía mediante una contraseña, que en caso de olvido podría solicitar si respondía a la pregunta «¿cuál es nombre de su animal doméstico preferido?». La respuesta, Tinkerbell, no era muy difícil de adivinar: es el nombre de su chihuahua, que en una ocasión extravió y ofreció 5.000 dólares públicamente a quien lo encontrase.
A la elección de una buena contraseña deben seguir medidas para proteger su integridad: ni se deben compartir ni pegar en un post-it en el monitor o guardarlas en algún archivo del ordenador de fácil acceso. Y como demuestra el caso Paris Hilton, también hay que cuidar la ‘segunda contraseña’, esa que se utiliza para recuperar claves olvidadas a través de una ‘pregunta secreta’.
«Quien piense que la tecnología va a resolver su problema de seguridad no entiende la tecnología, o no entiende su problema» (Bruce Schneier)
El problema esencial es la fragilidad de la memoria humana, que lleva al usuario a seleccionar contraseñas fáciles de recordar que normalmente coinciden con las que son fáciles de ‘reventar’, sea porque son palabras muy comunes, sea porque están íntimamente relacionadas con su dueño (la fecha de aniversario, de nacimiento, el nombre del hijo, etc.). Pero en realidad no es tan complicado utilizar una buena contraseña que a la vez no sea difícil de recordar.
La clave perfecta
Una buena contraseña es aquella que es imposible de averiguar a la vez que es fácil de recordar para el usuario (así no hace falta apuntarla en ningún sitio). Existen unas normas comúnmente aceptadas para que una clave pueda ser calificada de segura. Una contraseña segura debe contener al menos seis caracteres (mejor a partir de ocho) y ser alfanumérica: combinar letras (mayúsculas y minúsculas), números y símbolos. Si es posible, es útil emplear una frase completa. Por tanto:
- No emplear sólo palabras o sólo números.
- No utilizar palabras que se puedan encontrar en el diccionario, ni siquiera palabras en otros idiomas o escritas en orden inverso.
- No utilizar información personal (DNI, número de la seguridad social, etc.) ni relaciona de alguna forma con el dueño (nombre de la mascota, fechas señaladas, lugar de vacaciones etc.) para la creación de la contraseña.
- No emplear una contraseña parecida al nombre de usuario utilizado para acceder al mismo sistema o servicio.
- No utilizar la misma contraseña para todo.
- Al cambiar de contraseña (es conveniente hacerlo de vez en cuando) no emplear una similar a la antigua.
Utilidades
Una clave segura sería del tipo hK&4Pk#.4r, es decir, una combinación aleatoria de ocho o más cifras, símbolos y letras. Pero claro, como ese tipo de contraseñas son difíciles de recordar y más si, como es preceptivo, se utilizan varias diferentes, es posible que esa combinación haga referencia a una palabra o frase que el usuario si recuerda (p.ej.: «no por mucho madrugar amanece más temprano» se convierte en NxMmA+t). También se puede echar mano de gestores de contraseñas, como Password Safe (gratuito), con el que recordar un única contraseña que abre la puerta a todas las que utilizamos y ya no tendremos que recordar.
Algunas páginas (como Diceware), programas (claves.exe) o incluso aplicaciones del navegador (como la extensión Secure Password Generator de Firefox) ayudan a generar claves seguras. También se puede chequear online la fiabilidad de nuestra contraseña con herramientas como Password Security de SecurityStats.
Fraudes como el phishing o timos más sofisticados, así como el frecuente descuido o falta de pericia de algunos usuarios (Paris Hilton es un buen ejemplo) han llevado desde hace tiempo a buscar una alternativa al nombre de usuario + contraseña para abrir el paso a un servicio de Internet. Algunos bancos online o comercios de Internet, a la cabeza de lo sistemas de seguridad por necesidad, combinan las contraseñas con una segunda clave o acreditación (DNI, el número que aparece en la parte posterior de la tarjeta de crédito, etc.).
Pero el reto es combinar seguridad con comodidad para el usuario, y el futuro apunta hacia la biometría, o el uso de dispositivos de lectura para la identificación mediante huellas dactilares, reconocimiento de voz o análisis del iris.