Hace unos días fue hackeada la red de blogs de Gawker Media. A esta pertenecen blogs de tremenda influencia como Gizmodo, Lifehacker e io9. Como resultado, 1.5 millones de usuarios registrados --según algunas versiones-- vieron expuestos sus datos vía The Pirate Bay: nombres de usuario, e-mails y, por supuesto, constraseñas. Cuando vi el estudio que The Wall Street Journal realizó con esa información, no me soprendió encontrar que 123456 es la contraseña más popular. A la cual le siguen otras más complejas como password y 12345678. Incluso el número 0, que raya en lo ridículo, está en el undécimo lugar.

En ALT1040 mucho hemos hablado sobre la creación de contraseñas seguras. En 2007 Eduardo Arcos nos ofreció consejos que aún son vigentes para los estándares actuales --quizá caduquen cuando la computación cuántica inunde nuestras vidas, pero ese es otro tema--. Y es que suelen recomendarse buenas prácticas a los usuarios finales, pero ¿qué hay de quienes administran webs con la responsabilidad de resguardar la información de millones de clientes? Tan solo recordemos lo sucedido con Twitter en julio de 2009, cuando se dio a conocer que la contraseña para acceder a sus servidores era... "password". (Alguna vez se rumoreó que la contraseña maestra de Facebook era "Chuck Norris".)

Entonces, y he aquí el quid del asunto, ¿de qué sirve seguir todas las recomendaciones de seguridad para crear contraseñas si entre nosotros y nuestra información quizá se encuentre el eslabón más débil?

Por ejemplo, cuando queremos acceder a una nueva red social,

  • ¿acaso nos cuestionamos cómo será gestionada nuestra contraseña? Es raro que así sea.

  • ¿Siempre sabemos si ha sido almacenada o no? ¿Distinguimos la diferencia?

  • Si es el caso, ¿qué hay de los algoritmos de cifrado utilizados? ¿Sabemos si nuestra contraseña fue cifrada con DES, MD5 o AES? Ni siquiera podemos elegir. Más aún, ¿nos enteramos si nuestra preciada clave fue almacenada así tal cual, en claro?

  • Y, ¿presentamos alguna queja cuando detectamos malas prácticas?

Al final del día, solemos confiar en los que están del otro lado de la red. De modo que, regresando a la pregunta principal, ¿de qué sirve una contraseña elegante y segura per se cuando no existe la plataforma adecuada para protegerla de los más curiosos o de las malas prácticas de los sysadmin?

Creo que como usuarios de toda clase de servicios en Internet tenemos la responsabilidad, por nuestra propia seguridad, de conocer a quién le entregamos la llave de nuestra información. Y también el derecho a conocer cómo se gestiona. ¿Qué dicen ustedes?

Imagen: XKCD | Password Reuse