Candado seguridad

binaryCoco en Flickr

Si bien es cierto que Edward Snowden nos ha demostrado lo frágiles que son los "muros" que preservan la privacidad de nuestros datos, y que tanto la NSA como el GCHQ de Reino Unido son capaces de llegar hasta el core de Google; creo que no debemos perder el foco en la seguridad y, por tanto, no tirar la toalla. Dejando a un lado los abusos de la NSA, existen otros muchos riesgos acechándonos, terceros sin demasiados escrúpulos que intentan acceder a nuestros datos, robar nuestras contraseñas para suplantar nuestra identidad o cometer algún tipo de fraude.

En el mes de marzo, por ejemplo, Evernote se veía comprometido y tuvo que reiniciar las contraseñas de los usuarios como medida de seguridad y, a principios de octubre, alrededor de 38 millones de usuarios de Adobe veían comprometidas sus cuentas tras un incidente de seguridad que permitió a un tercero llevarse los datos de las cuentas de los usuarios de este proveedor de software.

Evidentemente, cuando confiamos en un servicio, esperamos que éste custodie adecuadamente nuestros datos; sin embargo, los incidentes de seguridad ocurren. Si bien en el caso de Evernote, los atacantes no llegaron a descifrar las contraseñas de los usuarios, en el caso de Adobe no hubo tanta suerte y las contraseñas pudieron ser descifradas. De hecho, las contraseñas de los usuarios se han terminado haciendo públicas y, con esta información, se ha llegado a publicar un inquietante ranking con las contraseñas más comunes de los usuarios de Adobe que, desgraciadamente, no distan mucho de otras listas de malas contraseñas:

  1. 123456 era la contraseña utilizada por 1.911.938 usuarios de Adobe
  2. 123456789 era usada por 446.162 usuarios
  3. password era la contraseña que usaban 345.834 suscriptores
  4. adobe123 era la contraseña usada por 211.659 usuarios
  5. 12345678 lo usaban 201.580 usuarios
  6. qwerty se usaba como password en 130.832 cuentas
  7. 1234567 era usada por 124.253 usuarios
  8. 111111 era la contraseña que utilizaban 113.884 usuarios
  9. photoshop fue la elección de 83.411 usuarios
  10. 123123 era la contraseña de 82.694 usuarios

El 5% de los usuarios de Adobe estaba usando como contraseña la infame "123456" y alrededor de un 11% de los usuarios de Adobe usaban alguna de las "20 contraseñas" que más se repitieron. Aunque podamos pensar que esta foto es algo que, solamente, aplica a la brecha de seguridad de Adobe; la realidad es que este tipo de malas prácticas están muy extendidas entre los usuarios y, sin pensarlo, los usuarios se lo ponen demasiado fácil a los que viven "robando datos de terceros".

Soteria Password

Las peores contraseñas

El problema de las contraseñas débiles o demasiado evidentes es que se lo ponen demasiado fácil a los que intentan hacerse con nuestros datos.

Lógicamente, alguien con acceso físico a nuestro equipo puede sacar el disco duro e intentar acceder a nuestros datos pero si ciframos la información, lo tendrán mucho más difícil. Si resulta que ciframos el disco duro pero el acceso a nuestro sistema se realiza con una contraseña que es "123456", de nada servirá que cifremos nuestros datos. Y si, para colmo, usamos la misma contraseña en todos los servicios que usamos, estaremos dejando las puertas abiertas para que cualquiera pueda robar nuestros datos o suplantar nuestra identidad.

Quizás pueda parecer que estoy exagerando un poco pero cualquier informe de los que se publican cada año sobre malas contraseñas, tristemente, coincide bastante con los datos que han salido del hackeo a Adobe:

  1. password
  2. 123456
  3. 12345678
  4. abc123
  5. qwerty
  6. monkey
  7. letmein
  8. dragon
  9. 111111
  10. baseball
  11. iloveyou
  12. trustno1
  13. 1234567
  14. sunshine
  15. master

Las contraseñas están referidas a usuarios que hablan inglés pero, si echamos un vistazo a la lista, encontraremos algunas pautas que nos sonarán familiares y seguro que somos capaces de encontrar ejemplos en castellano. Si hace unos meses, Eduardo Arcos nos hablaba de los PINs usados en las tarjetas de crédito y nos ofrecía el inquietante dato que el 10% de los usuarios usa "1234" como PIN y un 25% de los usuarios usa un PIN catalogado como inseguro; en el caso de las contraseñas que usamos para proteger nuestro correo electrónico, nuestro PC o nuestra cuenta de Facebook camina por una senda parecida.

Contraseña segura (2)
Lulu Hoeller en Flickr

¿Cómo podemos construir una contraseña segura?

Para empezar, creo que es importante remarcar que una contraseña es algo personal e intransferible y, además, debemos custodiarlas adecuadamente. De poco sirve una contraseña que combine mayúsculas, minúsculas, números y caracteres especiales si, al final, la tenemos apuntada en un post-it sobre la mesa o en un fichero en texto plano.

Tampoco creo que valga como excusa que es complicado recordar tantas contraseñas, máxime cuando podemos aplicar reglas mnemotécnicas para evitar olvidarlas o, incluso, podemos recurrir a un gestor de contraseñas como el que ofrece Firefox (que se puede cifrar) o aplicaciones como KeePass.

Partiendo de esta base, la mejor forma de huir de una contraseña débil es evitar las cosas "demasiado simples o evidentes". El primer paso es huir de las contraseñas por defecto ("admin/admin", "root/root", "admin/123456" y similares), así como contraseñas demasiado frecuentes (y que son suceptibles de estar recogidas en un "diccionario de claves"). Este tipo de claves débiles son fáciles de adivinar y, en un ataque por fuerza bruta, no requieren demasiada carga computacional.

También debemos evitar los datos personales porque son algo que se podría averiguar mediante ingeniería social o, directamente, alguien que esté dentro de nuestro círculo o que nos conozca. Dentro de las cosas a evitar, Google recopiló una serie de pautas que vale la pena tener en cuenta a la hora de montar nuestra contraseña y, en lo que concierne a datos personales, se recomienda evitar:

Nombres de mascotas Fechas significativas: bodas, cumpleaños, etc. Nombres de familiares: hijos, cónyuges, etc. Ciudades o localidades con vinculaciones personales: la ciudad en la que nacimos, nuestra ciudad favorita, el lugar en el que pasamos las vacaciones, etc. * Aficiones: deportes favoritos, equipos deportivos que seguimos, película favorita, etc.

Un compañero de trabajo, que precisamente trabaja en proyectos relacionados con la seguridad, comentaba una frase que creo que resume bien este tipo de malas prácticas:

He perdido mi contraseña, tengo que cambiarle el nombre a mi perro

Contraseña segura
Simon Lieschke en Flickr

¿Y entonces qué hacemos? ¿Cómo podemos generar una contraseña segura? Una de las formas más simples es mediante un generador de contraseñas; aplicaciones que generan una cadena pseudoaleatoria de caracteres que podemos usar como contraseña porque no son algo fácil de vulnerar. Esta técnica suele dar buenos resultados aunque, honestamente, no es práctico porque solemos obtener como resultado contraseñas difíciles de recordar y tendremos que depender de un gestor de contraseñas (y ojo que como gestor no vale usar un cuaderno).

Las contraseñas deben ser algo que podamos recordar pero también deben ser seguras; quizás planteándonos estas dos cosas, podríamos fijarnos una serie de criterios que deberían cumplirse (además de las malas prácticas a evitar que ya hemos comentado):

Nuestra contraseña, como mínimo, debería tener 8 caracteres (aunque si tiene más, mucho mejor). Deberíamos evitar las repeticiones de caracteres o patrones o secuencias obvias; es decir, cosas como "no más de dos números seguidos", evitar cosas como "1234" o "qazwsx". Deberíamos combinar mayúsculas, minúsculas, números y caracteres especiales (,+,ç,?,¿,!,- o ?) y, de esta forma, obligarnos a escribir una secuencia algo más difícil de adivinar.

Contraseñas seguras
Mindful Security

Si alguien piensa que es algo difícil de recordar, algo tan simple como cambiar vocales por números, por ejemplo, puede ser una buena forma de comenzar a construir una contraseña algo más robusta. Cambiar la 'o' por el '0' o la 'e' por el '3' puede mejorar, sensiblemente, una contraseña y, de hecho, es algo que podemos probar usando el comprobador de contraseñas de Microsoft (que evalúa la fortaleza de una contraseña cualquiera).

Finalmente, es importante cambiar las contraseñas con regularidad en todos los servicios que usamos, evitando usar la misma contraseña en todos los servicios en los que estamos registrados y, por supuesto, no reciclando las contraseñas ni hacer algo tan cutre como tomar la anterior y poner un "1" al final (algo que he visto hacer en más de una ocasión).

Las contraseñas son las llaves que abren la puerta a nuestros datos personales y nuestros perfiles en Twitter, Facebook o LinkedIn; evitar que caigan en malas manos es algo que corre, en gran parte, de nuestra cuenta. Por tanto, creo que vale la pena que invirtamos algo de tiempo en mejorar nuestras contraseñas porque, gracias a esta pequeña inversión, nos ahorraremos un gran dolor de cabeza.

¿Y qué pasa con la otra parte? ¿Cómo custodian Facebook, Google o Twitter nuestras contraseñas? A estas alturas, la mayoría de servicios almacena las contraseñas cifradas pero, una brecha de seguridad como la de Adobe, es algo que puede ocurrir en cualquier otro servicio; si usamos la misma contraseña siempre con el mismo login, por el precio de un hack habremos regalado el acceso a todos nuestros servicios (así que en nuestra mano está no ponérselo tan fácil a los amigos de lo ajeno).

Recibe cada mañana nuestra newsletter. Una guía para entender lo que importa en relación con la tecnología, la ciencia y la cultura digital.

Procesando...
¡Listo! Ya estás suscrito

También en Hipertextual: