tecnología

Digite su contraseña

Las claves personales se volvieron un verdadero dolor de cabeza. Consejos sencillos para resolver el problema de los 'passwords'.

8 de septiembre de 2007

Los dìas en que bastaba recordar la fecha de nacimiento para retirar dinero del cajero automático han terminado. Gracias a las nuevas tecnologías, cada cosa que uno hace necesita una nueva contraseña. Así, por ejemplo, se requiere de una contraseña para el correo electrónico, una para la red de la empresa, otra para subir el video de la fiesta del sábado en Youtube, otra para descargar la última de Juanes y otra para perder tiempo en el chat. Los bancos se esmeran en ponerla cada vez más difícil. Además de la tradicional contraseña del cajero automático, se requiere una segunda clave para transacciones en línea. Y encima hay que cambiar mensualmente los códigos para evitar que sean descubiertos por los delincuentes. Hay claves para instalar cada programa de computador, para encender el celular, para abrir una puerta y para bloquear el canal de adultos que no se desea que los niños sintonicen. Las neuronas ya no parecen ser suficientes para almacenar esta avalancha de letras y números.

Para simplificar las cosas, la gente establece contraseñas fáciles de recordar; y tan fáciles las ponen, que no se necesitan los servicios de un hacker avanzado para adivinarlas: ¿quién no ha utilizado su fecha de nacimiento, su propio nombre o el de su mascota como inviolable contraseña de seguridad? Diversos estudios demuestran la escasa originalidad y la pobre imaginación de los humanos al momento de decidir una contraseña. Entre las 10 contraseñas más utilizadas en Internet se encuentran el popular 'qwerty' -que es la secuencia de las primeras letras en un teclado, muy fácil de recordar-, o el consabido '123456'. A quienes escucharon que hay que combinar letras y números no se les ocurre otra cosa que '123abc'. Los más listos utilizan la palabra 'contraseña', convencidos de su talento encriptador. Es la estrategia utilizada por una de cada 700 personas en el mundo. Lo curioso es que las mismas prácticas se repiten en gente de diferentes culturas y lenguas. 'Password' es una de las más utilizadas en el mundo anglófono, así como 'letmein' (déjame entrar, una especie de versión moderna de 'ábrete sésamo') y a 'Charly', que es el nombre más frecuente en ese idioma; en Inglaterra, los hinchas del Liverpool, lo han convertido en una de las contraseñas más utilizadas en ese país, tal como en Colombia son muy frecuentes 'santafecitolindo', 'lamechita' o 'veerdee'.

Ingeniería social

Por 'ingeniería social', los hackers entienden el arte de descubrir la clave de acceso a un sistema sin utilizar técnicas digitales, sino pura información personal. Si su jefe es fanático del automovilismo, con toda seguridad el acceso a la base de datos será 'juanpamontoya' o algo parecido. Bastará probar con unas cuantas combinaciones para lograrlo. Espiar el correo electrónico de su novia será fácil si ensaya con palabras como 'migordis', 'solotuya' o la fecha de la primera noche de amor.

Eso en los casos de atacantes que conocen personalmente a la víctima. Pero ¿qué hay de los ataques masivos desde Internet? Más sencillos aun. Existen diccionarios de ataque que contienen decenas de miles de palabras usuales en cada idioma, disponibles para que los hackers los utilicen. Un programa informático se encarga de probar con cada palabra del diccionario y con combinaciones de ellas hasta dar con la clave. A esto se le conoce como un ataque por fuerza bruta y es una de las técnicas más populares.

Lo más refinado, no obstante, es el arte de descifrar contraseñas. La encriptación utiliza avanzados algoritmos para esconder bajo complejas combinaciones, las palabras que un usuario escribe en la casilla de contraseñas, y además las reemplaza con asteriscos en el momento de escribirlas. El tamaño de estas complejas combinaciones se mide en bits y los sistemas más seguros utilizan claves de 64 ó 128 bits o más. Las técnicas de criptoanálisis se ocupan de crear sistemas capaces de adivinar esos algoritmos y descifrar las contraseñas ocultas en ellos. Otra técnica muy popular es el keylogging, que consiste en instalar secretamente un programa de computador que registra las teclas que se marcan en un campo de contraseña y las envía al atacante. Lo utilizaron hace poco en un café Internet en Bogotá para saquear cuentas bancarias. Para eludir los programas 'antikeylogging' fue creado el 'criptoanálisis acústico', que se basa en el descubrimiento reciente de que cada tecla produce un sonido levemente diferente, con lo que basta grabar los sonidos de las teclas para adivinar la secuencia en que fueron oprimidas.

Las contraseñas fuertes -esto es, largas, que combinan caracteres, números y símbolos, mayúsculas y minúsculas y que no existen en ningún diccionario- son imposibles de recordar; si además, como ocurre hoy día, cada persona debe manejar entre cinco y 10 contraseñas diferentes, el usuario acabará utilizando la misma para todos sus sistemas, lo que le hace una persona altamente vulnerable.

Ante todo esto, hay personas que creen que la mejor estrategia es anotar sus claves en papelitos y guardarlos en la billetera. Pero también existen numerosos programas de computador que ayudan a resolver el problema de las contraseñas de una forma más avanzada. Algunos generan buenas contraseñas cada vez que se les pide, y ahorran el esfuerzo mental de inventarlas, que, como se ha visto, no es sencillo. Otros ayudan a almacenarlas de manera segura, y sólo hay que memorizar la clave de acceso a la base de datos de contraseñas. Se utilizan en computadores de mano (tipo Palm o Blackberry) o en teléfonos móviles, de tal manera que se pueda disponer de ellas en cualquier lugar, y sin tener que devanarse el cerebro en el asunto.