Cooking Ideas - un blog para alimentar tu mente de ideas

Entre la paranoia y la comodidad: el mundo de las contraseñas

  • Por |
  • 19.01.2010 |
  • 08:17 h.

Llaves (CC) Linus Bohman

Nuestra vida digital se desarrolla en un mundo rodeado de llaves: tenemos una para encender el ordenador, otra para nuestra cuenta de usuario y otra para cada servicio al que queremos acceder de forma personalizada. Eso sin contar las de la tarjeta de crédito, el teléfono móvil, la alarma de casa… la lista es simplemente interminable. Estas llaves informáticas, en forma de claves o contraseñas acaban siendo una auténtica pesadilla: para que sean razonablemente seguras deben ser distintas, pero recordar tantos números y combinaciones diferentes requiere un esfuerzo que mucha gente no está dispuesta a asumir. De modo que vivimos en un inestable equilibrio entre seguridad y comodidad.

La razón por la que no se debe utilizar la misma contraseña en sitios distintos es muy sencilla: ese sistema sólo es tan fuerte como el eslabón más débil de la cadena. Si utilizamos la misma palabra para acceder al banco, a nuestro ordenador, a un foro de Internet y al chat, quien pudiera averiguarla en cualquiera de ellos podría utilizarla en los otros. Son muchos los casos en los que se rompe la seguridad de un servicio de Internet (un foro, por ejemplo) y con él caen las cuentas y contraseñas de miles o millones de usuarios. Armados con esa información, los malos sólo tienen que ir probando si esas mismas contraseñas funcionan en otros servicios a los que puedan tener acceso esos mismos usuarios. Tal vez el porcentaje de aciertos sea pequeño pero, ¡bingo! ya tienen entrada a cuentas más seguras e importantes, como correos, tiendas Paypal, bancos y tarjetas de crédito, gracias a un agujero de seguridad en un sistema «pequeño».

¿Y qué sucede una vez que los malos tienen una contraseña de correo válida? Simplemente entran y miran a ver si hay otras contraseñas guardadas en el buzón. Como hoy en día mucha gente tiende a guardar el correo de forma casi indefinida, y muchos servicios envían mensajes cada vez que te das de alta o cambias tus datos, eso puede acabar siendo un grave problema. Si quieres que se te pongan los pelos de punta, abre tu programa de correo ahora y teclea en la caja de búsquedas tu propia contraseña. También puedes probar con términos como «contraseña», «password» «registration», «cuenta» o «account». Con esa información, cualquiera que tenga acceso a tu buzón puede ser qué servicios usas y entrar en muchos de ellos. El hackeo del verano pasado a Twitter fue de este estilo, comenzando por una cuenta de baja seguridad de una empleada tenía en un servicio web de baja seguridad, de ahí a un correo abandonado, a otro nuevo… y una vez el hacker pudo entrar en la intranet de la compañía encontró un documento compartido con contraseñas maestras y acabó teniendo acceso a cientos de documentos secretos e incluso al control del dominio de Internet del servicio.

Esto es sólo parte de los problemas de las contraseñas: si dejas tu ordenador encendido y cualquiera tiene acceso físico a él, basta un minuto de despiste para que puedan pescar de ese modo tus cuentas y contraseñas. Normalmente los servicios web no deberían enviarte por correo tu propia contraseña –se supone que es secreta y que no deben guardarla como texto en claro, y menos enviarla– pero muchos están por desgracia mal diseñados. Este mismo problema surge si pierdes tu ordenador portátil o te lo roban y el encendido no está protegido por una contraseña maestra y el contenido cifrado. ¿La última moda? Hacer esto mismo pero con los teléfonos móviles inteligentes, donde mucha gente guarda copias completas de todos sus correos.

Hay un dicho informático que encierra una gran sabiduría: «las contraseñas son como los cepillos de dientes: no se deben compartir con nadie, y hay que renovarlas de vez en cuando.» Pasear por una oficina suele enojar a los administradores de sistemas, que ven contraseñas colgadas en post-its de las pantallas, o en tablones. Escribirlas en papel y pegarlas debajo del teclado, o meterlas en el cajón también es habitual. Mala idea. Tampoco es que sea buena idea decirle la contraseña de la alarma de tu casa a alguien que solo tenga que entrar un día, o la clave de tu ordenador al técnico que va a repararlo –especialmente si es la misma que para otros servicios– así que… ¿qué hacer? La solución es cambiarlas antes de decírselas a nadie y tan pronto como hayan terminado, volver a cambiarlas. Y nunca apuntarlas a la vista de la gente y menos compartirlas.

Otro problema está en la utilización de palabras demasiado simples como contraseñas. Tal vez 0000, 1111, 1234 y 123456 sean las más universales, seguidas de fechas, nombres propios, de mascotas y de seres queridos. Mala idea también. Quien quiera robar una contraseña tendrá una lista de las más comunes para ir probando, seguida de palabras personalizadas que conozca sobre su víctima o, a falta de algo mejor, un enorme diccionario con todas las palabras que existen en diversos idiomas para irlas probando. Estos ataques por diccionario suelen ser terriblemente efectivos: pueden romper la mayor parte de las contraseñas en cuestión de minutos u horas. ¿Un remedio casero? Utilizar una contraseña que en vez de una palabra sea una frase. Cualquier frase que a uno le guste puede valer, cuanto más larga mejor. Y si es cuestión de comodidad, se pueden escribir únicamente las iniciales.

Algunos servicios ofrecen u obligan a teclear una pregunta extra para «recordar la contraseña» a modo de «pista» por si se olvida. Son una auténtica trampa mortal. Puede que la contraseña sea más o menos segura o difícil de adivinar, pero una pregunta secreta siempre es más fácil de adivinar, y da acceso a la contraseña principal. Mucha gente no tendría problema en adivinar nombres de mascotas o fechas de nacimiento investigando un poco si con eso pueden recuperar una contraseña. Los expertos sugieren teclear textos largos o al azar en esas opciones. Si se olvida una contraseña, siempre se puede pedir que te envíen un correo para cambiarla por una nueva, lo cual resulta una mejor opción.

¿Recordad contraseña? Mala idea…

Recientemente Lifehacker publicaba un artículo sobre la alarmante baja seguridad de las aplicaciones que ofrecen «recordar contraseñas». Muchos programas simplemente guardan la contraseña como un texto normal y corriente, que aunque no se ve en pantalla quedan en el disco duro, de donde otras personas podrían copiarlo. «Una vez que has hecho clic en «Recordar contraseña», estás muerto», sentenciaban. Por muy complicadas que sean, y aunque si están protegidas por sistemas de cifrado sencillo, los atacantes pueden usar programas especializados para romperlas en un rato mediante diccionarios o fuerza bruta (probando los miles de millones de combinaciones posibles). Pero, ¿cómo se harían con el fichero de contraseñas, si la cuenta del usuario protege el ordenador? Si tienen acceso físico a la máquina, hay muchas formas de clonar el disco duro entero sin siquiera entrar en la cuenta: arrancar con un disco de rescate de datos de Windows o con un Linux externo en un CD-ROM es la forma más corriente.

¿Qué recomiendan todos los profesionales para evitar estas situaciones? Lo primero, conocer todos estos potenciales los problemas y actuar en consecuencia. Buscar el equilibro entre paranoia y comodidad. Elegir contraseñas difíciles de adivinar, preferiblemente frases, y a ser posible distintas para cada servicio. Una alternativa para no tener que memorizar cientos de contraseñas es elegir la misma para los servicios de muy baja seguridad (los de un solo uso, o que sólo se van a probar), otra para los normales (chats, foros, fotos, vídeos) y otras completamente distintas para los más importantes (correo, bancos y tiendas).

Tomemos ejemplo de Bruce Schneier, el «Chuck Norris de la seguridad informática». Entre sus consejos está uno que cualquiera puede usar: escribir todas las contraseñas en un papel, y llevarlo siempre encima en un sitio que ya protegemos con cierta seguridad: nuestra cartera. Cuando las necesitas, puedes consultarlas y teclearlas. Y en caso de que alguien te robe la cartera, te darás cuenta enseguida, con el tiempo suficiente para entrar a los servicios en cuestión y cambiar las claves o pedir unas nuevas. Tan cómodo como seguro.

{ Foto (CC) Bohman }

Comentarios: 9

Posts Relacionados

[…] Original post: Entre la paranoia y la comodidad: el mundo de las contraseñas … […]

Información Bitacoras.com…

Valora en Bitacoras.com: Nuestra vida digital se desarrolla en un mundo rodeado de llaves: tenemos una para encender el ordenador, otra para nuestra cuenta de usuario y otra para cada servicio al que queremos acceder de forma personalizada. Eso sin c…..

Trackback Bitacoras.com | enero 19, 2010 | 12:43 pm

me iba a la cama y me has hecho cambiar la mitad de mis passwords…he flipado con lo de poner mi pasword en el gmail!….terrorifico!!!!

Comentario David Cantolla | enero 22, 2010 | 1:39 am

Yo las tengo escritas en un papel, guardado en casa. Me parece más seguro que la cartera porque si pierdo la cartera con las contraseñas…..¿cómo voy a entrar para cambiarlas? Chao

Comentario Alfonso | enero 22, 2010 | 10:47 am

Hay soluciones de muy baja tecnología para el uso de contraseñas que no sea un suplicio aprenderselas. Se puede usar una misma contraseña, siempre y con variables que dependan del nombre del sitio donde vamos a entrar. Ejemplo: contraseña “paco” pero al entrar a gmail tiene cinco letras, seria “paco5” o “pacog”al ser la g la letra por el que empieza, o “pacol”, al ser “l” la letra por la que acaba, o una combinación de estas; darle el valor númerico por la posicion en el abecedario, etc. evidentemente cuanto más lo compliquemos, más seguro estaremos. Lo unico que hay que ser sistematico a la hora de aplicarlo. Para que alguien supiera nuestro código, ya debería primero conocer un número importante de contraseñas

Comentario Marce | enero 22, 2010 | 11:12 am

Alfonso: En realidad no entras directamente para cambiarlas; pides que te las envíen por correo porque se te han olvidado y con ese enlace entras y las cambias.

Comentario Alvy | enero 22, 2010 | 3:25 pm

Me parece que comparar a Bruce Schneier con Chuck Norris, no es muy acertado. Para mi es una de las mentes mas claras (o la mas) en temas de seguridad a la que ha dedicado su vida. Es mas, es de las pocas personas que hace una critica solida y consistente a las paranoicas e inutiles medidas de seguridad que se implementan por ejemplo en los aeropuertos.

Comentario paquito | enero 22, 2010 | 7:30 pm

Esa comparación es simplemente un chiste de Internet. Por si no los conoces, te sugiero reirte un poco con los Hechos sobre Chuck Norris.

Comentario Alvy | enero 22, 2010 | 7:49 pm

Mi truco personal: ademas de llevarlas en la cartera, sustituir algunos caracteres por numeros y asociarlos a algun evento personal. por ejemplo, me anoto la VISA, pero dos o tres de los numeros los anoto asi: ** **= Edad de mi padre cuando me case

Esto es muuuy dificil de averiguar- a nivel “chori”

Comentario Miguel | enero 26, 2010 | 9:34 am

Sorry, the comment form is closed at this time.

Últimos Tweets

Feeds. Network


Copyright © CookingIdeas. Puedes copiar, distribuir el contenido de este blog, pero por favor utiliza el enlace permanente que tiene cada uno de los post, al hacer mención a los contenidos de este blog. Los contenidos de CookingIdeas están bajo una licencia Creative Common 3.0


Copyright @ 2011 Vodafone España, S.A.U.
Privacidad | Legal y Regulatorio | Vodafone