Día internacional de la contraseña. ¡Felicidades 1234!

La contraseña, esa medida de seguridad que, desde hace décadas, ha sido la llave que nos permitía acceder a programas, servicios, áreas protegidas… Una combinación numérica o alfanumérica (vale, lo más correcto es referirse a las numéricas como clave, pero hay personas que emplean 1234 como contraseña, así que no voy tan errado), tal vez una frase con sentido, quizá una fecha señalada y, en pocos casos, una combinación sin sentido de letras, números y caracteres especiales.

Si nos remontamos en la historia, podemos encontrar sus antecedentes en las palabras de paso (en francés contraseña se dice exactamente así, mot de passe), como el histórico «Santo y seña», que exigían los vigías para poder franquear determinados accesos. Y en realidad no ha cambiado tanto desde entonces. Es verdad que antes se gritaba, o al menos se pronunciaba en voz alto (no parece muy seguro si hay alguien que no debería escuchando en las inmediaciones) y ahora se teclea. Y también es cierto que ahora se supone que son más seguras… pero eso, solo se supone.

No voy a profundizar en el clásico estudio que cada año es actualizado y publicado, y que nos demuestra que muchas personas siguen empleando contraseñas como «1234», «qwerty», «password» y similares. Y no lo haré porque creo que esas campañas están hechas para concienciar, pero si una persona lleva 10 años escuchando las mismas advertencias y no responde a las mismas, me temo que de poco servirá la undécima. Por eso, en lugar de contraseñas curiosas, creo que es más interesante dar un repaso a los potenciales problemas de seguridad de la contraseña como sistema de seguridad.

Uno de los principales riesgos de las contraseñas tiene que ver con las probabilidades de que un atacante que sepa algo de la potencial víctima pueda averiguarla. Nombres de seres queridos, fechas de nacimiento, pueblo al que vamos todos los veranos desde que éramos niños… cuanto más personal sea la contraseña, en el sentido de que tiene algún vínculo con nuestras vidas, más probable es que un atacante que nos conozca pueda llegar a averiguarla.

Otro gran problema de la seguridad de las contraseñas tiene que ver con su almacenamiento, y curiosamente es un problema que puede afectar a ambas partes. Por una parte, si mantenemos nuestras contraseñas guardadas en un archivo del bloc de notas de Windows, y más aún si el archivo se llama «contraseñas.txt», pues seamos francos, quizá deberías replantearte tu política de seguridad o tu vida digital. O las dos cosas. O, mejor aún, plantéate emplear un gestor de contraseñas, como los seis gratuitos que han analizado nuestros compañeros de MuyComputer. Es cierto que no son 100% fiables, pero sí que son bastante más seguros que un fichero de texto plano.

Ahora bien, el problema puede venir por el otro lado, si el servicio en el que empleas esa contraseña no la custodia de forma segura. Llevamos años sabiendo de filtraciones masivas de credenciales de acceso, algunas tan sonadas como las que experimentó Yahoo hace ya unos años. De aquella filtración masiva, todavía circulan datos a día de hoy, y es probable que algunas de esas claves todavía sigan activas en otros servicios.

Las credenciales y contraseñas compartidas son otro problema a tener en cuenta. Es un hábito más común de lo que pueda parecer el compartir, por ejemplo, cuentas de acceso a servicios de streaming, de descargas, etcétera. Esto ya entraña cierto riesgo, pero si además resulta que el responsable de esa cuenta emplea las mismas credenciales en otros servicios, estará comprometiendo la seguridad de los mismos, poniendo su acceso en las manos de las personas con las que comparte la cuenta.

Vista esta colección de problemas, puede dar la impresión de que la contraseñas no son un método de protección especialmente seguro… y efectivamente así es. Siento ser tan categórico, y evidentemente tampoco es lo mismo si empleas como tal el nombre de tu perro o una cadena como «hGFDr5$hGtgGf$&%_» (por cierto, si tu caso es el segundo y eres capaz de recordar diez contraseñas distintas, deja lo que estás haciendo y empieza a trabajar en la búsqueda de la vacuna del coronavirus, necesitamos que las mentes privilegiadas se centren en las tareas importantes). Pero seguras, lo que se dice seguras, lamento decirte que no.

Pero bueno, tampoco es problema, ¿verdad? Seguramente ahora mismo estarás pensando en que las palabras de paso tienen los días contados, gracias a la inminente llegada masiva de los sistemas de identificación biométrica, que podrían sustituir a las contraseñas. Nosotros ya nos lo planteamos recientemente y, lo siento, pero alguno todavía no están tan cerca, otros no son tan seguros como pudiera parecer, e incluso parte de ellos presentan riesgos que son difícilmente evitables.

La clave es que, en realidad, la unión hace la fuerza. Una contraseña por si misma no es el método más seguro del mundo, un código recibido en un mensaje SMS no es la medida más segura del mundo, y un escáner dactilar no es la medida más segura del mundo. Ahora bien, si combinamos dos de ellas o, mejor incluso, las tres, obtendremos un sistema que, en conjunto, es mucho más que la suma de las partes. Los accesos MFA, de los que el más extendido es 2FA, nos devuelven a un nivel de fiabilidad similar al que ofrecían las contraseñas en los primeros días de la informática.

Así pues, siempre que puedas opta por sistemas de identificación MFA y, si tienes que crear una nueva contraseña, recuerda que 4321 y tan poco fiable como 1234 (estos hackers están en todo). Si no tienes bien claro todo lo que deberías tener en cuenta a la hora de elegir una contraseña, lo mejor que puedes hacer es consultar la guía de buenas prácticas publicada por nuestros compañeros de MuyComputer.

 

La entrada Día internacional de la contraseña. ¡Felicidades 1234! es original de MuySeguridad. Seguridad informática.