DÍA MUNDIAL DE LA CONTRASEÑA
En lo que va de 2020 ya se filtraron 500 millones de contraseñas; ¿qué siguen haciendo mal los usuarios?
Este contenido es exclusivo para nuestros suscriptores.
No se puede arrancar una nota sobre el Día Mundial de la Contraseña sin hacer esta pregunta: ¿pero qué le pasa a la gente? En lo que va del año, la industria de la seguridad informática estima que ya se filtraron más de 500 millones de contraseñas. Eso es grave, sí. Aunque sea una pequeña porción, unas 500.000 correspondieron a cuentas de Zoom, la plataforma de videoconferencias más utilizada durante las medidas de aislamiento por la COVID-19. Lo más grave es que las combinaciones “12345”, “123456” y “123456789”, entre otras harto conocidas ?como “test1” o “contraseña” o “qwerty” o la más romántica: “iloveyou”?, siguen poniéndole las cosas fáciles a los cibercriminales. La lista de contraseñas más utilizadas y, por ende, más hackeadas, se repite cada año. Al tiempo que las violaciones de datos y los robos a gran escala de información personal aumentaron en frecuencia y la situación del nuevo coronavirus exacerbó esto aún más.
“El usuario quiere lo más cómodo posible y la seguridad siempre es un grano en un lugar no deseado”, ilustró José Luis López, director ejecutivo de ESET Uruguay.
Las contraseñas, ubicuas hoy en páginas web y servicios digitales, continúan siendo un sistema de autenticación imperfecto, poco eficiente y con un riesgo elevado. Es “el más cómodo” -aunque muchos preferirían que fuese solo un “enter”- pero es solo el chancho al que el usuario final le rasca el lomo cada vez que se pregunta para qué va a cambiar la contraseña si después se la olvida o la anota en un post-it que deja pegado en la computadora como hacía Jeffrey Wrong. Si usted no sabe quién es Jeffrey Wrong busque en Google una foto de él posando frente a sus monitores de la agencia de emergencias de Hawái, de donde más tarde se emitió por error una alerta por amenaza de misil balístico que despertó a toda la población un domingo.
En este sentido, López recordó el caso del servicio online de las bibliotecas de la Universidad de la República para el que solo bastaba conocer el número de cédula de un estudiante, docente o egresado para entrar al sistema. “Una cédula es fácilmente encontrable”, afirmó.
Y añadió que lo mismo ocurre con la plataforma CREA, que pertenece a ANEP dentro del marco del Plan Ceibal. “Son malas prácticas que involucran un montón de problemas para instituciones, empresas y gobiernos. Son cosas que deberían estar en la tapa del libro”, señaló.
El correo electrónico, las redes sociales, las cuentas bancarias, los servicios por suscripción... si tal y como recomiendan los expertos en ciberseguridad se tiene una contraseña distinta para cada plataforma, estas pueden ascender con facilidad a varias decenas. Pero, como el “ser humano es vago”, a juicio de López, el combo de predictibilidad y reutilización eleva el riesgo.
“Si de algo sirve la cuarentena y el teletrabajo es que la gente ponga más atención en su responsabilidad antes de poner una contraseña; que piense que esto puede ser peligroso. Es un problema que siempre va a estar ahí mientras que el punto final sea una persona que elige mal”, comentó el director ejecutivo de ESET Uruguay.
Doce caracteres y símbolos.
Una contraseña segura debe contar con al menos 12 caracteres y con al menos dos o tres tipos diferentes de caracteres (letras minúsculas, letras mayúsculas, dígitos y símbolos en lugares impredecibles. Estos caracteres no deben ir al principio ni al final. Otra recomendación es crear una oración que nadie haya dicho antes y usar la primera letra o dos de cada palabra como contraseña, mezclando otros tipos de caracteres.
Acceder a más servicios con una huella digital y nada más, por ejemplo, podría ser la nueva norma para acceder a todo tipo de datos personales. El desafío contra la dependencia excesiva de las contraseñas cuenta con un organismo abierto de la industria: la Alianza FIDO, que investiga y trata de impulsar alternativas más seguras e incluye miembros como Google, Facebook, Alibaba, Microsoft, PayPal, Visa y Amazon para que la eventual solución funcione en todos los sistemas operativos y plataformas. Según López, lo pensado hasta ahora es los códigos se transmitan de forma privada y automática sin intervención humana. “El tema es hasta qué punto esta tecnología sea fácil de usar porque, en general, lo más seguro es más dificultoso” y -otra vez-? el usuario antepone comodidad sobre protección.
Los sustitutos más sonados para las contraseñas y los que más tracción han ganado en los últimos tiempos son los sistemas de reconocimiento biométrico, ya sea facial o táctil, presentes en varios modelos de teléfono, tabletas y computadoras. Son fáciles y cómodos pero no seguros. Para que el conocimiento facial sea “muy seguro” se necesita equipamiento mucho más grande y caro para el dispositivo.
El año pasado los errores de esta técnica acapararon titulares en Estados Unidos, cuando un experimento de la Unión Estadounidense de Libertades Civiles (ACLU) halló que el reconocimiento facial había identificado erróneamente a 28 congresistas, en su mayoría pertenecientes a minorías, como criminales.
Otro método se sirve de un lápiz de memoria USB para la autenticación de dos factores (U2F), es decir, uno en el que para ganar acceso a una plataforma, el usuario debe aportar algo que conoce (contraseña) y algo que tiene (USB). Es un sistema más robusto pero es más caro y menos fácil de usar que las contraseñas convencionales.
“Debemos rezagar la comodidad. Sí, es más fácil no tener contraseña, pero es inseguro. Hay que valorar la importancia de la seguridad y lo que la suplante siempre va a tener un nivel de incomodidad”, advirtió López.
Pese a ser un método “inferior”, seguiremos dependiendo de las contraseñas durante mucho tiempo, ya que son baratas y todo el mundo las sabe utilizar, porque el que no sabe hace todo mal: elige menos de 12 caracteres o nombres de personas o mascotas o letras de canciones o frases amorosas o patrones obvios. Al fin y al cabo, no se le puede echar la culpa al que filtra una contraseña si el usuario no se pensó en algo mejor que en “abc123” para proteger su cuenta.