Nuestra vida digital se desarrolla en un mundo rodeado de llaves: tenemos una para encender el ordenador, otra para nuestra cuenta de usuario y otra para cada servicio al que queremos acceder de forma personalizada. Eso sin contar las de la tarjeta de crédito, el teléfono móvil, la alarma de casa… la lista es simplemente interminable. Estas llaves informáticas, en forma de claves o contraseñas acaban siendo una auténtica pesadilla: para que sean razonablemente seguras deben ser distintas, pero recordar tantos números y combinaciones diferentes requiere un esfuerzo que mucha gente no está dispuesta a asumir. De modo que vivimos en un inestable equilibrio entre seguridad y comodidad.
distintas,
La razón por la que no se debe utilizar la misma contraseña en sitios distintos es muy sencilla: ese sistema sólo es tan fuerte como el eslabón más débil de la cadena. Si utilizamos la misma palabra para acceder al banco, a nuestro ordenador, a un foro de Internet y al chat, quien pudiera averiguarla en cualquiera de ellos podría utilizarla en los otros. Son muchos los casos en los que se rompe la seguridad de un servicio de Internet (un foro, por ejemplo) y con él caen las cuentas y contraseñas de miles o millones de usuarios. Armados con esa información, los malos sólo tienen que ir probando si esas mismas contraseñas funcionan en otros servicios a los que puedan tener acceso esos mismos usuarios. Tal vez el porcentaje de aciertos sea pequeño pero, ¡bingo! ya tienen entrada a cuentas más seguras e importantes, como correos, tiendas Paypal, bancos y tarjetas de crédito, gracias a un agujero de seguridad en un sistema «pequeño».
cualquiera
caen las cuentas y contraseñas de miles o millones de usuarios
malos
¿Y qué sucede una vez que los malos tienen una contraseña de correo válida? Simplemente entran y miran a ver si hay otras contraseñas guardadas en el buzón. Como hoy en día mucha gente tiende a guardar el correo de forma casi indefinida, y muchos servicios envían mensajes cada vez que te das de alta o cambias tus datos, eso puede acabar siendo un grave problema. Si quieres que se te pongan los pelos de punta, abre tu programa de correo ahora y teclea en la caja de búsquedas tu propia contraseña. También puedes probar con términos como «contraseña», «password» «registration», «cuenta» o «account». Con esa información, cualquiera que tenga acceso a tu buzón puede ser qué servicios usas y entrar en muchos de ellos. El hackeo del verano pasado a Twitter fue de este estilo, comenzando por una cuenta de baja seguridad de una empleada tenía en un servicio web de baja seguridad, de ahí a un correo abandonado, a otro nuevo… y una vez el hacker pudo entrar en la intranet de la compañía encontró un documento compartido con contraseñas maestras y acabó teniendo acceso a cientos de documentos secretos e incluso al control del dominio de Internet del servicio.
a ver si hay otras contraseñas guardadas en el buzón.
El hackeo del verano pasado a Twitter
hacker
acceso a cientos de documentos secretos
Esto es sólo parte de los problemas de las contraseñas: si dejas tu ordenador encendido y cualquiera tiene acceso físico a él, basta un minuto de despiste para que puedan pescar de ese modo tus cuentas y contraseñas. Normalmente los servicios web no deberían enviarte por correo tu propia contraseña –se supone que es secreta y que no deben guardarla como texto en claro, y menos enviarla– pero muchos están por desgracia mal diseñados. Este mismo problema surge si pierdes tu ordenador portátil o te lo roban y el encendido no está protegido por una contraseña maestra y el contenido cifrado. ¿La última moda? Hacer esto mismo pero con los teléfonos móviles inteligentes, donde mucha gente guarda copias completas de todos sus correos.
Hay un dicho informático que encierra una gran sabiduría: «las contraseñas son como los cepillos de dientes: no se deben compartir con nadie, y hay que renovarlas de vez en cuando.» Pasear por una oficina suele enojar a los administradores de sistemas, que ven contraseñas colgadas en post-its de las pantallas, o en tablones. Escribirlas en papel y pegarlas debajo del teclado, o meterlas en el cajón también es habitual. Mala idea. Tampoco es que sea buena idea decirle la contraseña de la alarma de tu casa a alguien que solo tenga que entrar un día, o la clave de tu ordenador al técnico que va a repararlo –especialmente si es la misma que para otros servicios– así que… ¿qué hacer? La solución es cambiarlas antes de decírselas a nadie y tan pronto como hayan terminado, volver a cambiarlas. Y nunca apuntarlas a la vista de la gente y menos compartirlas.
post-its
antes
Otro problema está en la utilización de palabras demasiado simples como contraseñas. Tal vez 0000, 1111, 1234 y 123456 sean las más universales, seguidas de fechas, nombres propios, de mascotas y de seres queridos. Mala idea también. Quien quiera robar una contraseña tendrá una lista de las más comunes para ir probando, seguida de palabras personalizadas que conozca sobre su víctima o, a falta de algo mejor, un enorme diccionario con todas las palabras que existen en diversos idiomas para irlas probando. Estos ataques por diccionario suelen ser terriblemente efectivos: pueden romper la mayor parte de las contraseñas en cuestión de minutos u horas. ¿Un remedio casero? Utilizar una contraseña que en vez de una palabra sea una frase. Cualquier frase que a uno le guste puede valer, cuanto más larga mejor. Y si es cuestión de comodidad, se pueden escribir únicamente las iniciales.
Algunos servicios ofrecen u obligan a teclear una pregunta extra para «recordar la contraseña» a modo de «pista» por si se olvida. Son una auténtica trampa mortal. Puede que la contraseña sea más o menos segura o difícil de adivinar, pero una pregunta secreta siempre es más fácil de adivinar, y da acceso a la contraseña principal. Mucha gente no tendría problema en adivinar nombres de mascotas o fechas de nacimiento investigando un poco si con eso pueden recuperar una contraseña. Los expertos sugieren teclear textos largos o al azar en esas opciones. Si se olvida una contraseña, siempre se puede pedir que te envíen un correo para cambiarla por una nueva, lo cual resulta una mejor opción.
más fácil
Recientemente Lifehacker publicaba un artículo sobre la alarmante baja seguridad de las aplicaciones que ofrecen «recordar contraseñas». Muchos programas simplemente guardan la contraseña como un texto normal y corriente, que aunque no se ve en pantalla quedan en el disco duro, de donde otras personas podrían copiarlo. «Una vez que has hecho clic en «Recordar contraseña», estás muerto», sentenciaban. Por muy complicadas que sean, y aunque si están protegidas por sistemas de cifrado sencillo, los atacantes pueden usar programas especializados para romperlas en un rato mediante diccionarios o fuerza bruta (probando los miles de millones de combinaciones posibles). Pero, ¿cómo se harían con el fichero de contraseñas, si la cuenta del usuario protege el ordenador? Si tienen acceso físico a la máquina, hay muchas formas de clonar el disco duro entero sin siquiera entrar en la cuenta: arrancar con un disco de rescate de datos de Windows o con un Linux externo en un CD-ROM es la forma más corriente.Te recomendamos Todo sobre sofas
Lifehacker
alarmante baja seguridad de las aplicaciones que ofrecen «recordar contraseñas»
muerto
fuerza bruta
clonar
¿Qué recomiendan todos los profesionales para evitar estas situaciones? Lo primero, conocer todos estos potenciales los problemas y actuar en consecuencia. Buscar el equilibro entre paranoia y comodidad. Elegir contraseñas difíciles de adivinar, preferiblemente frases, y a ser posible distintas para cada servicio. Una alternativa para no tener que memorizar cientos de contraseñas es elegir la misma para los servicios de muy baja seguridad (los de un solo uso, o que sólo se van a probar), otra para los normales (chats, foros, fotos, vídeos) y otras completamente distintas para los más importantes (correo, bancos y tiendas).
Tomemos ejemplo de Bruce Schneier, el «Chuck Norris de la seguridad informática». Entre sus consejos está uno que cualquiera puede usar: escribir todas las contraseñas en un papel, y llevarlo siempre encima en un sitio que ya protegemos con cierta seguridad: nuestra cartera. Cuando las necesitas, puedes consultarlas y teclearlas. Y en caso de que alguien te robe la cartera, te darás cuenta enseguida, con el tiempo suficiente para entrar a los servicios en cuestión y cambiar las claves o pedir unas nuevas. Tan cómodo como seguro.
nuestra cartera.
{ Foto (CC) Bohman }
Posts Relacionados
- Técnicas para no revelar tus contraseñas (Coomic)
- Cuidado con los armagedones en Twitter que pueden provocar paranoia colectiva
- Adiós a las contraseñas: la autenticación cognoscitiva te identifica por tu forma de pensar
- El candado-piano quiere dar la nota
- La religión como paranoia colectiva
Técnicas para no revelar tus contraseñas (Coomic)
Técnicas para no revelar tus contraseñas (Coomic)
Cuidado con los armagedones en Twitter que pueden provocar paranoia colectiva
Cuidado con los armagedones en Twitter que pueden provocar paranoia colectiva
Adiós a las contraseñas: la autenticación cognoscitiva te identifica por tu forma de pensar
Adiós a las contraseñas: la autenticación cognoscitiva te identifica por tu forma de pensar
El candado-piano quiere dar la nota
El candado-piano quiere dar la nota
La religión como paranoia colectiva
La religión como paranoia colectiva
Entre la paranoia y la comodidad: el mundo de las contraseñas
Nuestra vida digital se desarrolla en un mundo rodeado de llaves: tenemos una para encender el ordenador, otra para nuestra cuenta de usuario y otra para cada
comodibujar
es
2025-01-02
Si crees que alguno de los contenidos (texto, imagenes o multimedia) en esta página infringe tus derechos relativos a propiedad intelectual, marcas registradas o cualquier otro de tus derechos, por favor ponte en contacto con nosotros en el mail [email protected] y retiraremos este contenido inmediatamente