| Foto: Pantherstock

SEGURIDAD

La clave de la seguridad informática

Algunos expertos quieren que la era de la contraseña llegue a su fin, pues cada vez es más vulnerable para proteger la información digital.

23 de febrero de 2013

Hasta hace poco se creía que la contraseña era la forma más segura de proteger la vida digital de las personas. Pero hoy muchos creen que una clave es insuficiente y equivaldría a pretender resguardar a una ciudad de un Ejército enemigo con un candado. Lo han dicho gigantes de los computadores como IBM, así como la firma Deloitte, que en un reciente informe afirmó que estaban contados los días de la seguridad basada exclusivamente en la clave. 

Voces expertas como la de Mat Honan, escritor sénior de la revista Wired, señalan que el acceso a la información digital personal ya no puede depender de una serie secreta de diez caracteres. El propio Poul-Henning Kamp, quien inventó un popular sistema para encriptar contraseñas llamado MD5Crypt, dijo recientemente que su invento era obsoleto. “Les imploro a todos que migren a algo más seguro”, escribió en su blog. La razón es que el 90 por ciento de las contraseñas generadas por los usuarios son susceptibles de ser descifradas en segundos.

Y es que según él, una clave de ocho caracteres hoy puede ser encontrada con un software que va adivinando rápidamente hasta encontrar la combinación correcta. La falta de seguridad se ve reflejada a diario. Entre los casos más sonados está el robo de la base de datos de PlayStation en 2011, por lo cual Sony tuvo que invertir 171 millones de dólares en reconstruir la red y buscar métodos más seguros para proteger a sus usuarios. En 2012 a la red social LinkedIn le hackearon 6 millones de contraseñas. 

Aunque la manera más popular de robar cuentas es el phishing, que consiste en ofrecer el acceso a páginas falsas pero en apariencia reales, hay muchas otras modalidades. Al propio Honan, un hacker llamado Cosmo le robó su identidad de la forma más sencilla: con el servicio de ‘olvidó su clave’ que está disponible en todos los portales. Para responder correctamente las preguntas de seguridad, el hacker se valió de la información que su víctima había publicado en internet (el nombre del perro, su fecha de nacimiento, etc.) para robar su clave. 

El ladrón entró a su correo de Gmail y borró cientos de mensajes. También obtuvo acceso a su cuenta de Apple y desapareció toda la información de su computador, tableta y teléfono, con lo que Honan perdió su mayor tesoro: la historia fotográfica de su hija. Por último se apoderó de su cuenta de Twitter, desde donde lanzó mensajes racistas y homofóbicos. “Las claves de Apple, Twitter y Gmail eran robustas, de diez caracteres, alfanuméricas, algunas con símbolos, pero las tres conectadas entre sí”. Por eso, una vez el hacker entró a una de ellas accedió a todas. Su intención era demostrar que el sistema de seguridad en línea es todo menos seguro. 

Desde ese entonces Honan se ha dedicado al tema. “Lo que encontré es terrorífico. Es fácil que cualquiera acceda a nuestras vidas digitales y la debilidad mayor es la contraseña”, escribió en un reportaje de portada en la edición de diciembre de Wired. También probó que el sistema del hacker es sencillo pues siguiendo sus indicaciones logró acceder a otras cuentas. “En este caso fue Twitter, pero mañana puede ser la cuenta bancaria”.

Estos códigos sirvieron en un momento, pero hoy son obsoletos pues los dispositivos digitales están hiperconectados. Y a pesar de todas las advertencias, los usuarios crean claves de fácil recordación por su comodidad. El consultor de seguridad Mark Burnett realizó un estudio con 10.000 claves y encontró que password (o sea contraseña en inglés) y 123456 eran las más usadas. Además, el 49 por ciento de las personas usan la misma clave para todos los sitios.

Así mismo, ahora hay más información que proteger ya que la gente guarda más datos en la nube. Algunos creen que esto se resuelve con una clave potente. Jeremiah Grossman y Paul Kocher divulgaron a The New York Times unas pautas para crearla, como por ejemplo nunca utilizar una palabra del diccionario sino hacerla basada en una serie de caracteres digitados al azar, que se debe guardar en un disco duro y nunca en el computador (ver recuadro). Pero Honan cree que ni siquiera una clave así podría salvar al mundo de un hacker. 

En Colombia el riesgo es mayor porque no existe la cultura de consultar las cuentas personales desde un solo computador. “La gente usa el de la oficina, la universidad, el café internet y no tienen una sesión personalizada en el de la casa, por lo cual sus datos están expuestos a ser ‘hackeados’ fácilmente”, dijo a SEMANA Pablo Arrieta, experto en tecnologías de la información. Asegura que muchos proveedores de servicios como Twitter o Facebook no tienen representación en Colombia y si alguna cuenta es hackeada no se sabe a quién pedir auxilio. “Las empresas no están muy preparadas para colaborar y los usuarios deberían luchar por obtener respuesta inmediata”, señala. 

Los expertos todavía no tienen claro cuál será el siguiente sistema de protección. “Hay un montón de técnicas que funcionan bien a pequeña escala, como en una empresa, pero no hay alternativas para las contraseñas a gran escala”, dijo a SEMANA Rich Mogull, experto en seguridad informática y director de securosis.com. 

Según Honan, ese nuevo sistema debería tener dos componentes clave. El primero es que sea cómodo, pues si es demasiado dispendioso, no será viable. De hecho, la gente se hace un lío al manejar las contraseñas pues se necesita que cada código sea indescifrable y se requiere uno para cada cuenta. El segundo punto es que habrá que entregar parte de la privacidad, algo que no todos están dispuestos a hacer. “Se parecería a poner una caja fuerte en su cuarto al cuidado de expertos en seguridad mediante una cámara. Ellos solo le permitirían abrirla al dueño, pero estarían mirándolo”. 

Dentro del abanico de posibilidades está la biometría. Marcas como Samsung, Apple o Sony tienen la tecnología para reconocer los ojos y la voz en sus televisores e incluso en los teléfonos inteligentes.

“Los rasgos de la persona deberían ser los códigos de identificación del futuro. Si yo compro un computador, tableta o teléfono lo ideal es que venga personalizado para que nadie más pueda usarlo”, señaló Arrieta.

Algunos ven la respuesta en el sistema de autenticación de doble factor que emplea Gmail. Cuando al usuario se le olvida la contraseña la página le envía un mensaje de texto a su teléfono móvil con el nuevo código. Aunque este sistema todavía se centra en la clave, Honan cree que es mejor que el sistema actual. 

Los bancos también han tomado cartas en el asunto. Una primera instancia de seguridad es que el usuario registre el computador desde el cual hace sus transacciones bancarias. Cuando alguien intenta ingresar desde otro equipo este le hace cinco preguntas que solo el dueño sabe responder. 

Un sistema reciente es generar claves dinámicas. En este campo el token ha sido la fórmula más atractiva para empresas, bancos y entidades gubernamentales. Se trata de un pequeño dispositivo electrónico que le brinda al usuario un nivel extra de seguridad, pues este lo usa para generar claves aleatorias de seis cifras cada vez que accede a la página. “El sistema funciona bien para bancos, pero sería demasiado para proteger un correo electrónico”, dice Gina Pardo, directora de Operación Bancaria de Asobancaria. 

Los ingenieros de sistemas del Departamento de Defensa de Estados Unidos (Darpa) están desarrollando otro sistema que identifica al usuario por su forma de digitar el teclado. A esto lo llaman la huella dactilar cognitiva y aunque no ha salido de los laboratorios de investigación, podría ser confiable porque los movimientos del tecleo están gobernados por el sistema motor y no por los pensamientos. “Fisiológicamente es improbable que sea imitado por otra persona”, dice Roy Maxion, profesor de Informática de la Universidad de Carnegie Mellon, en Estados Unidos. 

Lo ideal no es abolir la contraseña sino añadirle otros métodos de autenticación aleatorios. La contraseña sería solo una ficha de un gran rompecabezas que permitiría a los usuarios de la nube tener mayor seguridad. 

Cómo sobrevivir a la contraseña

Recomendaciones básicas para proteger su seguridad.

Nunca
  • Use palabras comunes o datos como su fecha de nacimiento, teléfono o dirección de la casa como contraseña.
  • Use la misma contraseña para todas sus cuentas. 
  • Escriba contraseñas cortas sino de al menos diez caracteres. 
  • Acceda desde sitios públicos a sus cuentas.
  • Guarde las contraseñas en el computador ni en el correo electrónico. Lo mejor es tenerlas en una USB encriptada.
Siempre
  • Cambie su clave cada tres meses. 
  • Dé respuestas falsas a las preguntas de seguridad que le piden al abrir su cuenta y anótelas para recordarlas.
  • Abra un correo electrónico que le sirva solo para recuperar contraseñas y asegúrese de que el nombre de usuario no esté ligado a su nombre o gustos personales.
  • Acepte la autenticación de dos o más factores cuando se lo ofrezcan