27 ene 2017

"Tenemos problemas peores que 123456"

En la semana, The Register publicó los resultados de una investigación de Keeper Security, y parece que nada ha cambiado. La contraseña más usada sigue siendo 123456. Eso representa el 17% de las claves analizadas. Otro dato interesante: la lista de las contraseñas más usadas no ha cambiado sustancialmente en los años recientes, y las primeras siete del top 15 usan seis caracteres o menos.

Previsiblemente, la conclusión de Keeper Security es que la educación en seguridad tiene alcances limitados, lo que, a la luz de otros fenómenos, resulta una obviedad. Las conductas temerarias al conducir, la postergación de análisis médicos de rutina, el consumo de sustancias peligrosas, la exposición desmedida al sol y el uso de auriculares con suficiente volumen para quebrar un riel son otros ejemplos en los que las campañas y artículos de divulgación no alcanzan. Pero eso no significa que las cosas estarían igual sin tales campañas y artículos. Estarían mucho peor.

De modo semejante, divulgar los riesgos de usar contraseñas débiles no va a cambiar la actitud de un porcentaje significativo de los usuarios. Pero, al revés de lo que ocurre en otro ámbitos, como el del tránsito, no es posible aquí aplicar multas. Es verdad que hay cada vez más sitios que informan que la contraseña es débil, pero, por razones evidentes, ninguna organización va a impedir que alguien se registre porque su clave puede adivinarse o quebrantarse con facilidad. Casi el único espacio en el que uno se rompe la cabeza intentando que el sitio acepte una contraseña es en el home banking y en la computadora que usamos en la oficina. Pero todo esto, a la larga, también se puede burlar. Los algoritmos son capaces de detectar si una clave es robusta frente a un ataque de fuerza bruta, pero no determinar si estamos usando una cadena de caracteres que caerá ante un ataque de inteligencia.

Dicho más sencillo, los métodos de autenticación que venimos usando casi desde los albores de la informática están mal diseñados. Pero no es que sus gestores fueran unos mentecatos. Con sólo un teclado como entrada de datos, era bien poco lo que podía pergeñarse.

Ahora es diferente. Varios modelos de celulares de media y alta gama tienen lectores de huellas digitales, lo que es una bendición. Es posible también usar el iris para identificar al usuario, y en lo sucesivo, podrían aparecer otros métodos. Desafortunadamente, hay un punto suelto en este delicado tejido. Cuando tengo las manos apenas húmedas, el smartphone no reconoce mi huella. Al tercer intento, ¿qué hace? Me pide una contraseña. ¡Buh!

Cierto, con sensores cada vez mejores, o con la lectura del iris, esto no debería ocurrir. Pero esa no es la cuestión. La cuestión es que un método de autenticación debe tener por fuerza un salvaguardia. Lo único que no falla -llevamos décadas probándolo- son las claves escritas.

Así que, como ocurre con otras tecnologías, aunque venimos anunciando su inminente desaparición desde hace casi 20 años, las contraseñas se resisten tenazmente a desaparecer; incluso cuando hay un número importante de alternativas. Sin mencionar que, en el caso de los métodos biométricos (iris, huellas), hay un evidente riesgo para la privacidad. Me guste o no, ya toqué el pianito para el fabricante del teléfono y el del sistema operativo. Como mínimo.

Sumado a esto que las claves, fuertes o débiles, se roban en masa en brechas de seguridad que, por desgracia, son casi cotidianas, el escenario es tan grave que podríamos empezar a aconsejar no usar contraseñas en absoluto y daría lo mismo. Pero no, esperen, no hagan eso en sus casas.
Bueno, en realidad, cada vez más personas están subiéndose a la Red sin contraseña alguna. La Internet de las Cosas (IoT, por sus siglas en inglés) es un gigantesco flanco entre mal protegido y sin protección alguna. Pero dejemos esto de lado por hoy.

¿Cuánto es 17 por ciento?

Me pregunté, al ver las nuevas estadísticas sobre las contraseñas que usamos: ¿es realmente tan grave un 17% de 123456?

Tengo la impresión de que la situación es mucho menos catastrófica de lo que parece. En primer lugar, el hecho de que la lista de claves más usadas no haya cambiado sustancialmente en (al menos) una década debería indicarnos algo. Existe -y casi con toda certeza seguirá existiendo- una proporción de personas que por ignorancia, por inconsciencia o por indolencia no usan buenas claves.
Ocurre en todos los órdenes y, en lugar de tomarlo como una razón para bajar los brazos, habría que interpretarlo como un dato inmutable de la realidad. Y como un incentivo para seguir divulgando. Sin esos esfuerzos no se habría mantenido en 17 por ciento. Sería mucho mayor.

Por otro lado, hoy es más relevante usar la autenticación de múltiples factores, porque buena parte de las contraseñas (robustas o débiles) se roban en masa en brechas de seguridad. La autenticación de múltiples factores es un método que, típicamente, te envía un PIN por mensaje de texto para completar el ingreso al sitio. Se la puede desactivar para equipos autorizados (tu notebook, por ejemplo) y es un método muy sólido, porque el pirata puede haber obtenido tu contraseña, pero es más difícil que además tenga tu teléfono.

En tercer lugar, cada día, cientos de cuentas se crean y de inmediato se abandonan, por un número de motivos. Es poco probable que esas cuentas sean bendecidas por una contraseña robusta. Lo mismo ocurre con aquellos servicios que o no tienen mucha importancia para nosotros o no nos parecen importantes para los delincuentes (sea esto cierto o no).

En cuarto lugar, también hay una cantidad significativa de cuentas creadas de forma automática, un dato que se advierte en el listado de Keeper Security allí donde aparece un porcentaje grande de claves aleatorias, pero siempre las mismas. Por ejemplo, 3rjs1la7qe (puesto 20). Ahora, así como hay piratas más cuidadosos con sus contraseñas, otros programarán sus autómatas para que pongan claves menos robustas.

De modo que ese 17% no necesariamente está representando la proporción real de usuarios que usan su correo o su Facebook con una clave tan inútil.

Concedido, 123456 pasará a la historia como ícono de la torpeza informática. Es verdad, un número de contraseñas robustas bien jerarquizadas y la autenticación de múltiples factores son siempre medidas inteligentes. Pero tengo la impresión de que, pese a las preocupantes estadísticas de Keeper Security, el público ha madurado más rápido que la industria de Internet.

Tengo en mi pantalla, todo el tiempo, las alertas del Instituo SANS y del US-CERT, entre otras, y las brechas de seguridad y las vulnerabilidades, que los piratas explotan para robar contraseñas y otros datos sensibles, se cuentan de a cientos. Prácticamente no pasa una semana sin una brecha más o menos importante. Y las menores, muchas de las cuales no llegan a los titulares, se cuentan por decenas cada día. Peor todavía, cuando uno mira las siete causas principales por las que tales brechas ocurren, se hace todavía más claro que el cibernauta promedio es más prudente que muchas organizaciones. Hasta las elecciones en el país más poderoso de la Tierra han sido hackeadas. Dato: en 2016 el número de brechas de seguridad dadas a conocer creció un 40 por ciento. No quiero imaginar el calvario de los administradores de sistemas, que por un lado deben lidiar con el que pretende usar 123456 y, por el otro, con directorios y funcionarios que le atribuyen a la seguridad informática una importancia secundaria.

Es cierto, 123456 no es la única clave a la vez popular e inútil. Pero aún así, en mi opinión, tenemos problemas mucho más serios que la tristemente célebre contraseña que no sabe ni contar hasta diez.

Fuente: Ariel Torres - La Nación

Suscríbete a nuestro Boletín

2 comentarios:

  1. Si te hackean tu huella digital no tienes como cambiarla, contraseñas puedes cambiarlas tantas veces como deseaa ;)

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!