6 may. 2016

Estudio de contraseñas cognitivas en la filtración de datos del Banco Nacional de Qatar (QNB)

Cada vez que se produce una filtración de datos sensibles de usuario con contraseñas (en plano o reversibles) de por medio, alguien suele analizar cuáles y con qué frecuencia se utilizan. Siempre ganan "123456", "password" o similares. En el caso del reciente filtrado de datos del banco QNB (Qatar National Bank), lo hemos analizado desde otro punto de vista: las contraseñas "cognitivas", esas preguntas que se suelen hacer para recuperarlas y que sirven habitualmente como puerta de atrás para muchos ataques.

Hace poco se ha hecho público un filtrado de 1.4 gigabytes de datos de lo que ha resultado un ataque a QNB, el banco nacional de Qatar. Al margen de todo el resto de información que aparece en la base datos (más que jugosa, entre ella bastantes tarjetas de crédito), nos ocupamos ahora de las contraseñas cognitivas. No están ni mucho menos desterradas.

Las contraseñas cognitivas son esas preguntas supuestamente personales, que te permitirán recuperar la contraseña de un servicio si la has perdido. Las típicas son "¿Cuál es el apellido de soltera de tu madre?", "¿Cómo se llama tu mascota?"... y similares genialidades. Sirven para "demostrar que eres tú" a quien solicita un cambio de contraseña, algo que de base, traslada el riesgo desde una contraseña a un dato personal probablemente deducible o incluso directamente público.

Este método siempre ha sido mala idea, pero hoy por hoy, gracias a la exhibición que realiza el usuario medio de su vida privada y gustos en redes sociales, lo es más. Históricamente han servido para conseguir acceso a cuentas de correo de famosos (recordemos el caso Paris Hilton, Sarah Palin o Scarlett Johansson) y millones de usuarios anónimos. Además están en periodo de extinción entre los servicios que se toman en serio la seguridad.

Estas preguntas se plantean principalmente en el proceso de creación de una cuenta de cualquier tipo. Puede encontrarse predeterminada o configurarla el propio usuario. En el caso de esta filtración del banco, parece que los usuarios podían elegirlas, lo que permite además analizar qué tipo de preguntas o temas escogen como "pista" para ellos mismos. Como ejercicio en este sentido, hemos analizado los datos de la filtración de QNB y el resultado no deja de ser curioso.
  • Un 35,32% apela al nombre de alguien.
  • Un 7,69% se acuerda de su madre.
  • Un 4,90% lo asocia con su día de nacimiento.
  • Un 4,46% recuerda una "primera vez".
  • Un 4,17% habla de sus mascotas.
  • Un 4,10% se refiere a algo de los coches.
  • Un 3,81% recuerda algún dato de su esposa o marido.
  • Un 3,03% se acuerda de su padre.
  • Un 2,66% habla de nombres o fechas de su hijo.
  • Un 2,09% del apellido de soltera.
  • Un 2,07% de algo "favorito".
Evidentemente, este resultado puede estar sesgado por el tipo de datos filtrados y el perfil de usuarios, idioma, cultura... pero puede ser representativo.

Contenido completo en fuente original ElevenPaths

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!