Hace unos días se celebró el Día Mundial de la Contraseña, pero no se moleste en comprar una tarta o en mandar tarjetas. El fabricante de circuitos informáticos Intel ha creado la conmemoración como recordatorio anual de que, en general, nuestros hábitos en lo que a contraseñas se refiere no tienen nada que celebrar. Por el contrario, esperan –y otros informáticos profesionales como yo, también– que usemos este día para decir un adiós definitivo a “qwerty” o a “123456”, que siguen siendo las contraseñas más populares.
El problema de las contraseñas cortas y predecibles
El propósito de una contraseña es el de limitar el acceso a la información. Tener una muy simple, como “abcdef” o “dejamentrar”, o incluso palabras normales como “contraseña” o “dragón”, apenas aporta seguridad, como cerrar una puerta sin echar el cerrojo.
Las herramientas de descifrado de contraseñas empleadas por los hackers se aprovechan de esta falta de creatividad. Cuando los piratas encuentran – o compran – credenciales robadas, lo más probable es que descubran que las contraseñas no están almacenadas con el texto de las contraseñas en sí sino a modo de huellas digitales únicas, llamadas “resúmenes”, de las contraseñas reales. Una función de resumen (hash) transforma matemáticamente cada contraseña en una versión codificada y de tamaño fijo. El resumen de la misma contraseña original dará todas las veces el mismo resultado, pero es informáticamente imposible invertir el proceso, es decir, obtener la contraseña normal a partir de una función de resumen específica.
Lo que hace el programa para descifrar contraseñas es computar los valores resumen de gran cantidad de posibles contraseñas y comparar los resultados con las contraseñas resumidas del archivo robado. Si alguna coincide, el hackerconsigue entrar. Por donde primero empiezan estos programas es por valores resumen conocidos de las contraseñas más comunes.
Usuarios más astutos que escogen una contraseña menos común podrían aun así caer presa de lo que se denomina un “ataque al diccionario”. El programa de descifrado prueba cada una de las 150.000 palabras del diccionario. A continuación, prueba palabras combinadas (como “qwertycontraseña”), secuencias duplicadas (“qwertyqwerty”) y palabras seguidas por números (“qwerty123”).
El paso a la búsqueda al azar
Solo si el ataque al diccionario falla, el asaltante pasará reacio a lo que se denomina un “ataque por la fuerza bruta”, es decir, probar secuencias arbitrarias de números, letras y caracteres una y otra vez hasta que alguna coincida.
Las matemáticas nos dicen que una contraseña más larga es más difícil de descifrar que una corta. Eso es válido incluso aunque la contraseña más corta esté compuesta por un conjunto más amplio de caracteres posibles.
Por ejemplo, una contraseña de seis caracteres compuesta a partir de los 95 símbolos distintos de un teclado de inglés americano estándar produce 956, o 735.000 millones de combinaciones posibles. Parecen muchas, pero una contraseña de 10 caracteres a partir solo de los caracteres en minúscula del teclado en inglés produce 2610, 141 billones, de opciones. Por supuesto, una contraseña de 10 caracteres a partir de los 95 símbolos da 9510, 59 trillones, de posibilidades.
Por eso algunos sitios de Internet exigen contraseñas de cierta longitud con cierto número de dígitos y caracteres especiales. Están diseñadas para evitar los ataques de diccionario y de fuerza bruta más comunes. Sin embargo, con suficiente tiempo y capacidad informática, cualquier contraseña es descifrable.
Y en cualquier caso, los humanos somos malísimos memorizando secuencias largas e impredecibles. A veces usamos reglas mnemotécnicas para ayudarnos, como “Adelantamiento Temerario, Guardia Civil” nos ayuda a recordar las bases nitrogenadas del ADN. Pueden también ayudarnos a recordar una contraseña como “freQ!9Ty!JUnc”, que al principio parece muy compleja.
Dividiendo la contraseña en tres partes, “freQ!”, “9Ty!” y “juNC”, revela que se podría recordar en forma de tres palabras pronunciables en inglés: “freak”, “ninety” y “junk”. Las personas memorizamos mejor contraseñas que pueden descomponerse en trozos, bien porque encontramos significado en las porciones o porque nos es más fácil añadir nuestro propio significado a través de la mnemotecnia.
No reutilice las contraseñas
Supongamos que nos tomamos en serio todos estos consejos y decidimos poner contraseñas al menos de 15 caracteres y llenas de números y letras al azar. Inventamos inteligentes reglas mnemotécnicas, memorizamos las que más nos gusten, y empezamos a usarlas una y otra vez en cada página de Internet y en cada aplicación.
Al principio, podría parecer inocuo. Pero los hackers que se dedican a robar contraseñas están en todas partes. Recientemente, grandes empresas como Yahoo, Adobe y LinkedIn han sufrido ciberataques. Cada uno de ellos ha revelado los nombres de usuario y las contraseñas de cientos de millones de cuentas. Los hackers saben que, por lo general, reutilizamos las contraseñas, de modo que una contraseña descifrada en un sitio podría hacer a ese usuario vulnerable en una página distinta.
Superar la contraseña
No solo necesitamos contraseñas largas e impredecibles, sino también diferentes contraseñas para cada página y cada programa que usamos. El usuario de Internet medio tiene 19 contraseñas diferentes. Es fácil entender por qué muchos las anotan en post-its o simplemente pinchan en el enlace “He olvidado mi contraseña”.
Los programas informáticos pueden ayudar La tarea de los programas de gestión de contraseñas es ocuparse de generar y recordar contraseñas únicas y difíciles de descifrar para cada página de Internet y cada aplicación.
A veces, estos mismos programas tienen puntos débilesque los ciberatacantes pueden aprovechar. Y algunas páginas de Internet bloquean el funcionamiento de los gestores de contraseñas. Y por supuesto, el atacante podría espiar en el teclado cuando escribimos nuestra contraseña.
Para resolver estos problemas se ha inventado la autenticación multifactorial. Supone el envío de un código a un teléfono móvil, el escaneo de una huella digital o un dispositivo USB especial. Sin embargo, aunque los usuarios saben que la autenticación multifactorial es probablemente más segura, les preocupa que sea más incómoda o difícil. Para facilitarla, páginas como Authy.com proporcionan guías sencillas para habilitar una autenticación multifactorial en sitios web populares.
De modo que no más excusas. Pongámonos el sombrero de fiesta y empecemos a cambiar esas contraseñas. El Día Mundial de la Contraseña es un momento fenomenal para olvidar el “123456” para siempre, probar un gestor de contraseñas y activar una activación multifactorial. Una vez hecho, tómese un trozo de tarta, porque se lo merecerá.
