Su contraseña no es segura

Revista Transformación Digital | viernes 25 - agosto - 2017

Como si del programa ‘Cazadores de mitos’ se tratase, uno de los más populares de internet, el de las contraseñas seguras, ha caído. Y es que, al contrario de lo que pudiese parecer hasta ahora, el uso combinado de números, letras y caracteres especiales en una contraseña no es seguro. ¿Por qué? Te lo descubrimos.

El mito cazado ha sido descubierto no por un cualquiera, sino por el propio creador del mito: es decir, la persona que inventó las contraseñas seguras opina que las contraseñas que inventó ya no son seguras. Sí, tal cual. O mejor dicho: nunca fueron seguras.
El origen de la norma
Corría el año 2003 cuando el experto en telecomunicaciones Bill Burr fue el encargado de escribir un informe para el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST, por sus siglas en inglés) sobre las contraseñas. En época de auge de internet, era necesario dar consejos, una teoría que, de hecho, ha llegado hasta nuestros días.
En su informe, Burr recomendaba (con aparente buen criterio) que las contraseñas, para que fuesen seguras, deberían contener letras, mayúsculas/minúsculas, números y caracteres especiales, un mix que, a priori, pondría las cosas más difíciles para los hackers.
Y, de hecho, esas recomendaciones son las que se usan aún hoy día en muchas páginas y empresas.
Pero ahora Burr ha cambiado de opinión. Y ha sido bastante claro en su análisis: “Me arrepiento mucho de lo que hice entonces”, ha destacado este experto en una entrevista en The Wall Street Journal.
El principal motivo, según Burr, es que se ha logrado un efecto perverso: “Simplemente la gente se vuelve loca y no elige buenas contraseñas hagas lo que hagas”.

Los problemas
A partir de aquella teoría de Burr sobre cómo crear una contraseña segura han surgido algunos problemas. El primero es un uso no muy literal de sus palabras, y el segundo es todo lo contrario: llevado al más absoluto extremo. En el primer caso, la recomendación de Burr ha derivado en la elaboración de contraseñas que se basan en una sola palabra pero cambiando letras por números y caracteres. Por ejemplo, la palabra ‘contraseña’ deriva en ‘C0n7raseñ@’, o ‘password’ en ‘P@ssW0rd’.
En opinión de Burr, pues, esta lectura tan simple de las normas lleva a los usuarios a tomar una decisión errónea: los hackers no son tontos, y saben cómo se forman estas palabras de forma sencilla. Y más si son palabras muy usadas. Es decir: decenas de miles de personas tienen como contraseña ‘C0n7raseñ@’, por lo que sus cuentas son vulnerables.
En el otro extremo, están los que llevan al límite las recomendaciones del informe elaborado por este experto: palabras largas de letras en mayúsculas y minúsculas, con números y caracteres especiales de por medio. ¿El resultado? Sí, la contraseña es muy segura, pero el problema es que los usuarios son incapaces de recordarla.

Por lo tanto, de poco sirve ese password si ni quien lo ha puesto puede acceder a su propia cuenta y tiene que cambiarla por otra. Y aún es menos segura si el usuario se ve obligado a apuntarla en un documento para copiarla y pegarla cada vez.
Además de esos dos motivos, Burr riza el rizo de las recomendaciones desmontando otro mito del informe. Según el mismo experto, ya no es necesario cambiar las contraseñas cada 90 días… siempre que sean seguras, claro.
De hecho, no es solo Burr el que ha denunciado que las contraseñas supuestamente seguras ya no son tan seguras. Por ejemplo, el responsable de ciberseguridad del Reino Unido, Ciaran Martin, ridiculizó el pasado febrero las recomendaciones para elaborar contraseñas que su propio país elaboró.
Y es que según Martin, de hacer caso a recomendaciones como cambiar las contraseñas cada mes, se está pidiendo a los ciudadanos que “memoricen un número nuevo de 600 cifras cada mes”, algo que ni el personal más cualificado de la agencia de seguridad local podría hacer. “Tenemos que ponérselo más fácil a los ciudadanos”, es su conclusión.
Soluciones prácticas
En una era en que cada vez tenemos más cuentas en servicios de internet y por tanto más passwords a memorizar, la nueva recomendación que ha adoptado el NIST es la siguiente: dejémonos de contraseñas con números, letras y similares inteligibles e imposibles de memorizar y apostemos por una fórmula más simple.
Y esta no es otra que utilizar ahora una palabra larga en forma de frase compuesta por varias palabras que sean fáciles de recordar para el usuario pero no para posibles hackers.

Sería algo tipo ‘ordenadorcaballosandiaesternon’, ‘polloalfombrillaronaldoalbahaca’ o ‘parquettrincheracoquetearornitorrinco’: palabras encadenadas que tengan sentido para el usuario.
Algunos informes apuntan que una contraseña tipo ‘C0n7raseñ@’ puede ser adivinada en tres días. En cambio, la unión de varias palabras eleva a años su tiempo de penetración.

Soluciones biométricas
Otra de las soluciones podría no estar tan lejos en llegar: utilizar la propia tecnología para la identificación. Hablamos de por ejemplo identificación a través de la huella dactilar o a través del iris.
¿Os suena? Sí, son los sistemas que ya llevan muchos teléfonos inteligentes, y que podrían usarse de ‘puente’ en el móvil para identificarse.
Contraseñas prohibidas
Mientras el uso de esos sistemas de identificación no se aplican también en muchos otros servicios, lo que sí que está claro es cuáles son las contraseñas a evitar.
Según la empresa Keeper Security, el top 10 de contraseñas más usadas (también leído como las que NUNCA debes usar) en 2016 fueron:

123456
123456789
qwerty
12345678
111111
1234567890
1234567
password
123123
987654321

Fuente: Media Trends. Artículo de  Oriol Navarro.

Etiquetas: , , , , ,

Categorías: General, Seguridad, Transformación digital