11111111, 12345678, contraseña, realmadrid, qwerty. “Aunque parezca sorprendente, el uso de contraseñas vulnerables sigue siendo alto entre los usuarios, junto con la reutilización de contraseñas para acceder a más de una cuenta o servicio”, lamenta la Oficina de Seguridad del Internauta del Instituto Nacional de Ciberseguridad (Incibe).
El problema viene de lejos. O más bien, se podría decir que estuvo siempre ahí. Un reciente informe del organismo británico homólogo del Incibe, el National Cybersecurity Center, cifra en un 85% el porcentaje de contraseñas repetidas, inseguras o fácilmente rompibles. Hace un lustro, un estudio de Deloitte ponía la cifra de contraseñas peligrosas generadas por usuarios en el 90%.
El riesgo que conllevan este tipo de contraseñas no se reduce a que un ciberdelincuente llame a la puerta y compruebe que estaba casi entreabierta. Al contrario, romper la barrera de seguridad y penetrar en la bandeja de email o las redes sociales de un usuario, y a partir de ahí saltar a su banca online o a bases de datos de su empresa, se puede hacer incluso de manera automática.
“La mayoría de ataques provienen de bots automáticos con acceso a filtraciones de contraseñas de servicios de terceros”, explican Kurt Thomas y Angelika Moscicki, expertos en ciberseguridad de Google. Fueron los encargados de presentar un estudio de la compañía que mostró que “una higiene básica de la cuenta” es capaz de repeler el 99% de ataques de bots y un 66% de los ataques dirigidos contra una cuenta en concreto.
Con “higiene básica”, Google hacía referencia a utilizar un método de múltiple autentificación. Este consiste en no utilizar solo algo que sabes(la contraseña), sino mezclarlo también con algo que tienes (un mensaje con un código único al móvil, por ejemplo) o con algo que eres(biometría) para acceder a un servicio.
El uso del método de autentificación múltiple no implica erradicar la contraseña, el eslabón más débil de la cadena de la ciberseguridad. Tras años de contraseñas “111111”, las multinacionales digitales ya se han cansado. A ellas tampoco les gustan las contraseñas débiles que provocan estafas y delitos en sus servicios, así que investigan cómo saltarse por completo la capacidad de memorizar de los usuarios en el proceso de autentificación.
La iniciativa se denomina passwordless (sin contraseña) y no lleva a engaño. Pretende eliminar la contraseña de la ecuación, “aunque el proceso por debajo sí que tiene una capa de seguridad robusta. Los usuarios siguen teniendo que verificar sus identidades con una o más formas de autentificación”, explica en conversación con eldiario.es Rubén Ramiro, del equipo de ciberseguridad de Telefónica.
Hay varios métodos passwordless en pruebas. Uno de ellos se sirve de tokens, códigos cifrados que el servicio al que se intenta acceder y el ordenador del usuario se intercambian para identificarse mutuamente. Otro modo es mediante correo electrónico, “el sistema más prometedor”, explica Ramiro. Se basa también en un código cifrado, pero en este caso el usuario lo recibe en su bandeja de mail. Por último, la gran apuesta de los fabricantes: el passwordless basado en biometría.
“Un sistema de inicio de sesión sin contraseña que utiliza la autenticación de correo electrónico cifrada y una biométrica verdaderamente segura podría cambiar por completo la forma en que usamos Internet”, defiende. ¿De cuánto tiempo estamos hablando? “Uno o dos años”.
¿Es posible un Internet sin contraseñas?
La autentificación biométrica usa la huella dactilar, la cara o la retina de un usuario como llave de entrada a cuentas y aplicaciones. Es un método ya extendido en los teléfonos móviles porque, pese a ser una tecnología en desarrollo (se ha demostrado poder engañarla mostrando una foto), no es habitual que alguien que quiera forzar la entrada al teléfono tenga acceso a él y a la cara o la huella de su propietario a la vez. Y si lo tiene, quizá la amenaza de que desbloqueen su móvil sin permiso sea la menor de las que enfrente ese usuario.
El riesgo llega a la hora de implantar la biometría como autentificación en ámbitos que no se reducen a un dispositivo personal como el teléfono. Apple dio una patada al tablero la pasada semana al anunciar un sistema de autentificación basado en el Face ID (su método de identificación mediante la cara del usuario) como llave para entrar en servicios de terceros. Lo mismo que hacen Google o Facebook con el denominado login social al ofrecer a los usuarios usar su cuenta para identificarse en otras páginas.
“La característica importante que tiene y lo que le diferencia de los sistemas de Google o Facebook es que no vas a tener que poner una contraseña en ningún sitio, sino usar solo el Face ID. Es como cuando desbloqueas el iPhone sin el código, pero usado para acceder a sistemas de terceros”, expone Ramiro.
Me han hackeado la cara
“Creo honestamente que esta tecnología mejorará Internet y hará que la gente esté mucho, mucho más segura”, ha expuesto sin reparos el jefe de procesos de autentificación de Google tras el anuncio de Apple en una entrevista con The Verge.
El movimiento de la marca de la manzana no elimina la contraseña del todo, puesto que para identificarse en las plataformas de Apple seguirá siendo necesaria una contraseña en determinados momentos. Más bien la coloca como intermediaria y pone su reputación como seguro de privacidad: ya no hay que confiar en cientos de servicios a los que entregar datos personales y cerrarlos con una contraseña. Ahora solo hay que confiar en que a Apple no le roben tu cara.
“Los proveedores intentan desarrollar medidas para no depender tanto del factor humano, que sigue siendo el punto débil porque tienen que pedirle al usuario que haga contraseñas robustas y únicas para cada servicio. Ahí es donde surge la biometría”, expone Enric Luján, miembro del colectivo Críptica y coautor de Resistencia Digital (Descontrol).
“La biometría es muy fácil y asumible para todo el mundo. Una manera fácil y rápida de poner un código sumamente complejo, porque es muy difícil copiar una huella dactilar. Tiene una contrapartida en caso de que la huella se vea comprometida pero, para la gran mayoría de personas, podría ser de ayuda para no tener que pensar contraseñas muy elaboradas”, continúa Luján, profesor de Ciencia Política en la Universidad de Barcelona.
“Mi madre por ejemplo tiene activada la biometría, se lo habilité yo. ¿Por qué? Porque si no, es el caso típico: mi madre habría puesto el típico código 1111“, resume. Eso sí, el profesor opina que el paso de la huella a la cara de Apple es un paso atrás: “Huellas tengo diez, pero cara solo tengo una. Si hay una brecha de seguridad puedo empezar a utilizar otro dedo, pero si se filtran los patrones de mi cara…”
Ábrete sésamo: métodos seguros sin biometría
“Hoy por hoy la combinación de una contraseña compleja más un segundo factor de autenticación es lo suficientemente seguro y poco engorroso para el usuario medio, además de que es la combinación que cada día usan las servicios y sitios web”, afirma en conversación con este medio Jorge SoydelBierzo, experto en ciberseguridad.
“A esto hay que añadir un gestor de contraseñas que nos permita tener contraseñas muy fuertes y diferentes para cada web o servicio que usemos, obviamente esto debe estar bien protegido con una clave maestra y un segundo factor de autenticación”, recomienda. Los gestores de contraseñas son servicios que crean contraseñas muy robustas y las gestionan por nosotros, protegidas en bases de datos cifradas. Los hay libres como Keepass. Otras opciones más sencillas de usar, como LastPass, cuestan menos de un euro al mes (aunque también cuenta con versión gratuita con menos capacidades).
Ese segundo factor de autentificación puede ser biometría, pero no solo. Se puede recurrir a algo que tengo, campo en el que entran métodos como las apps de claves efímeras, como Google Authenticator o Duo Security (“en la que podemos recibir un aviso de confirmación de conexión”, explica el experto). También está la opción de utilizar una llave USB/NFC física como Yubikey.
Este tipo de llave USB es uno de los métodos más avanzados de seguridad dentro de un sistema de autentificación múltiple, aunque su principio es simple: si la llave no está conectada al equipo, no se puede acceder a las cuentas del usuario. Robar la contraseña o forzarla mediante fuerza bruta informática (repitiendo masivamente cadenas de patrones en busca del código correcto) es inútil si la llave USB está en el bolsillo del dueño de la cuenta.
“Yo uso LastPass, más Keepass de backup por si hubiese una caída del servicio, todo con su segundo factor de autentificación, además de una Yubikey de segundo factor para hacer login en mis máquinas”, explica SoydelBierzo.
Fuente: El Diario