Tener una contraseña segura, la ‘clave’ de la seguridad en línea

Por Sergio Andrés Figueroa.

Uno de los mayores dolores de cabeza para los expertos en seguridad informática consiste en determinar si una persona es quien dice ser, es decir, la autenticación de la persona. En casi cualquier otro aspecto, basta con definir buenas políticas y usar buenas herramientas: la disponibilidad e integridad de la información dependen en gran medida de la habilidad del profesional encargado.

En cambio, la autenticación depende de que el usuario haga algo especial que demuestre su identidad. Y el problema es que cada control de seguridad es un obstáculo para que el usuario haga lo que de verdad quiere hacer (entregar un informe, ver un video, revisar su correo, etc.). Todos seríamos felices si no tuviéramos que pasar por las requisas y detectores de metales de los aeropuertos, pero ciertas experiencias lamentables nos dicen que esos controles evitan riesgos que no vale la pena correr.

Siguiendo el mismo principio, los controles de autenticación evitan robos de identidad, de información sensible de una empresa y de datos bancarios, entre otros.

De todos los métodos de autenticación, el más utilizado en la Web es la contraseña. Una combinación más bien pequeña de letras, números y otros símbolos es lo único que separa a un atacante de nuestra información más sensible.

Pues bien: en la gran mayoría de servicios y sitios web la contraseña la escoge el usuario. Y como la contraseña es vista como un obstáculo y no como herramienta de protección, es frecuente escoger palabras cortas o patrones conocidos que se puedan escribir muy rápidamente (conozca las 25 peores –más fáciles de descubrir– contraseñas de 2011), al igual que patrones sencillos en las contraseñas numéricas, como las de los bancos o el iPhone (el listado de los 10 códigos más comunes en el iPhone demuestra la falta de interés en proteger la información).

Esta costumbre solo le hace más fácil la tarea al atacante: con una base de datos aceptable de palabras (conocida como diccionario), este tiene que hacer relativamente pocos intentos. Si la contraseña es el nombre de alguien (Ricardo), una fecha (041492), un apodo (Mechas), un patrón del teclado (qwerty) o una palabra o frase común (contraseña, iloveyou), alguien que se proponga atacar alguna de sus cuentas podría lograrlo en muy poco tiempo.

Puede verse un estimado de cuánto tardaría una contraseña en ser descubierta por un hacker con herramientas normales en un PC normal en HowSecureIsMyPassword.

Existen algunas empresas que tienen como política obligar a los usuarios a usar ciertas contraseñas generadas aleatoriamente con altos estándares de seguridad. Una contraseña larga, con letras, números y hasta símbolos, sin ningún método nemotécnico concebible, es la contraseña ideal… en teoría. La memoria, en muchos casos, no puede almacenar contraseñas tan seguras. Esto abre otro hueco enorme: los usuarios se ven obligados a escribir las contraseñas en texto plano (legible).

De nada sirve la contraseña más segura del mundo si está escrita en un post-it colgando en el monitor del computador, o escrita en un celular sin protección alguna. Eso es tan grave como montar una cerradura inviolable para la puerta de la casa y dejar la llave siempre pegada.

La contraseña ideal.

Sin entrar en detalles, es fácil probar que una contraseña muy larga es más segura que una contraseña corta que contenga caracteres especiales, números, mayúsculas y minúsculas. Cada caracter extra que tenga una contraseña aumenta exponencialmente el tiempo que toma descubrirla.

No conviene engañarse: toda contraseña puede ser descubierta con suficiente tiempo y poder de cómputo. Esa es la razón por la que muchos sitios piden cambiar la contraseña después de cierto tiempo.

Es importante destacar que, como buena práctica de seguridad, muchos sistemas utilizan lo que se conoce como el hash de la contraseña, esto es, una operación que toma el texto de la contraseña y lo convierte en una clave más resistente a ataques de fuerza bruta (en el que se prueban todas las contraseñas posibles hasta dar con la que utiliza el usuario), además de evitar que las contraseñas se almacenen como texto claro.

Una de las consecuencias del uso de esta técnica es que, ya que los hash tienen una longitud fija (que varía de acuerdo con el mecanismo empleado, pero puede estar alrededor de 160 bits, equivalentes a 20 caracteres), es que a partir de cierto punto empezarán a existir colisiones, que son varias contraseñas que sean representadas por el mismo hash.

Todo esto quiere decir una sola cosa: que una contraseña de 100 caracteres no es mucho más segura que una de 20 caracteres. Si bien una contraseña tan larga como una frase puede ser conveniente, la idea no es escalable: si utilizara el texto entero de un libro, no tendría resultados mejores que si utilizara una frase.

En ese sentido, si dabalearrozalazorraelabad es más segura y fácil de escribir que c0NtR45e~4, utilizar un refrán, un palíndromo, una línea de una canción, una cita de un libro o cualquier otra frase fácil de recordar es más fácil que empezar a escribir símbolos extraños, que además pueden cambiar de ubicación dependiendo del equipo que se esté usando (la arroba, por ejemplo, puede escribirse por lo menos de 4 formas distintas según la configuración del teclado).

Aún en este caso, el valor de la estrategia dependerá de la originalidad de los usuarios. Si todos los usuarios que optan por usar un refrán deciden usar acaballoregalado, los diccionarios simplemente tendrían que incluir esa “palabra” en la lista. Mozilla Foundation creó un video con algunos consejos para hacer una contraseña más segura.

Para destacar: puede cambiarse una letra por un número (escribiendo ‘4’ en vez de ‘a’, por ejemplo), agregar espacios y decidir hacer algunas letras en mayúscula (todas las ‘C’ en mayúscula, por ejemplo). Lo importante es que sean contraseñas con sentido: aún siendo largas, deben ser fáciles de recordar.

¿Y todo esto cada vez que vaya a crear una contraseña?

No es inteligente utilizar una única contraseña para toda la Web. Si la contraseña que utiliza para poder acceder a los vínculos de un foro, al que solo va a entrar una vez y que no proporciona ninguna seguridad es la misma que utiliza para entrar a los servicios virtuales del banco, es mejor que no cuente con el dinero allí almacenado.

La razón es sencilla: esa contraseña puede ser atacada en muchos puntos, entre los que entrarían un keylogger en su PC, alguien capturando el tráfico por Internet, un ataque al sistema del foro e, inclusive, ser utilizada intencionalmente por los propietarios del foro. En cualquiera de esos puntos su contraseña podría ser vista literalmente, sin protección, como si la tuviera escrita en un post-it.

Pero entonces, ¿hay que pensar una canción o cita distinta y crear una contraseña diferente cada vez que visite un sitio distinto? De acuerdo con los participantes en un foro sobre el tema promovido por la Brigada Digital, iniciativa promovida por el Ministerio TIC, es razonable tener tres contraseñas.

Una puede ser vulnerable, como ‘contraseña’ o el nombre del sitio que se está visitando. Esta contraseña es ‘decorativa’: se utiliza porque el sitio pide contraseña, no más. La información que está ahí es irrelevante, y posiblemente el sitio no se vuelva a visitar.

El segundo nivel implicaría algo más de seguridad. El sitio en el que se está registrando posiblemente se visitará con frecuencia y contiene información útil. Si llegara a perder esa contraseña, muy posiblemente perdería tiempo importante de personalización.

El nivel más importante es aquel en el que información personal sensible está en juego. En este nivel se recomiendan todas las medidas posibles: clave larga, con símbolos, cambiarla con mucha frecuencia, fácil de recordar, difícil de imaginar, etc.

Si llegara a perder esta contraseña, perdería dinero, recuerdos, información muy sensible, e incluso podría tener implicaciones legales.

En este nivel entrarían las contraseñas bancarias, las que permiten acceder a información empresarial y las de correo electrónico (si vale la pena conservarlo).

Otras alternativas.

Es muy frecuente que una pregunta sobre las contraseñas inquiete a las personas: y si hay tantas cosas que pueden hacer que las contraseñas sean un método de autenticación débil, ¿por qué es tan difundido? ¿Qué alternativas existen para demostrar que una persona es quien dice ser?

Existen por lo menos dos mecanismos distintos que resultan más seguros que las contraseñas, pero que no son lo suficientemente flexibles como para remplazarlas. Tanto los sensores biométricos (que identifican a la persona por su huella digital, la forma de su cara, la lectura de su retina, entre otros) como las tarjetas de identificación requieren de hardware adicional para su funcionamiento. Son más seguros, pero más difíciles de implementar.

Otro mecanismo consiste en confiar en la autenticación que provee un servicio externo con suficiente trayectoria para confiar en la identificación. Cada vez es más frecuente, y es relativamente confiable, encontrar páginas que piden la información de la cuenta de Google o Facebook para autenticarse. Si bien sigue necesitando la existencia de una contraseña, se evita tener una clave distinta por cada servicio, inconveniente que suele ser uno de los mayores problemas de este mecanismo. (Sin embargo, se debe cuidar que el sitio que pida la contraseña del correo o de Facebook sea confiable y no esté suplantando a un sitio original).

Por último, vale la pena destacar la influencia que ha venido adquiriendo la denominada autenticación de dos factores o dos pasos: si las contraseñas son débiles, puede agregarse otra capa de autenticación para aumentar la confiabilidad del proceso. El segundo factor, por lo general, es conocido como ‘time based token’, que puede interpretarse como una credencial que es válida por cierto período. Esto quiere decir que además de la contraseña, debe proporcionarse un segundo dato que solo es válido en un momento dado. Cabe destacar que no siempre el segundo factor depende del tiempo, pero es la alternativa más segura que se puede escoger.

Un ejemplo de cómo puede implementarse la autenticación de dos factores de manera masiva es Google Authenticator. Se trata de un servicio que permite, a través de un smartphone (Android, dispositivo iOS o BlackBerry), o incluso desde un teléfono fijo, proporcionar el segundo factor de autenticación. Inicialmente, Google Authenticator estaba disponible solo para cuentas de Google Apps.

Google Authenticator ahora también está disponible para las cuentas gratuitas de Google, lo que hace posible aumentar la protección de Gmail, Google Calendar y demás servicios. En esta páginase encuentra toda la información necesaria para realizar el proceso correctamente, así como las medidas de precaución que hay que tener en cuenta al utilizarlo.

En términos de seguridad, no existe un mecanismo perfecto. No obstante, la información personal es tan importante que no se puede dejar desprotegida. Hasta el más mínimo detalle personal, hasta el más inocente de los datos suministrados en una red social, todo puede ser utilizado por personas ingeniosas y malintencionadas, que perjudiquen tanto a los usuarios como a las personas que los rodean. Por esto, por la importancia que tiene la información,  vale la pena dedicarle atención a la gestión de contraseñas.

Es fácil prevenir, mientras que resulta prácticamente imposible curar.