{"id":16471,"date":"2019-06-17T08:44:09","date_gmt":"2019-06-17T14:44:09","guid":{"rendered":"http:\/\/otech.uaeh.edu.mx\/noti\/?p=16471"},"modified":"2019-06-17T08:44:09","modified_gmt":"2019-06-17T14:44:09","slug":"harto-de-las-contrasenas-la-carrera-para-desterrarlas-de-internet-esta-a-punto-de-terminar","status":"publish","type":"post","link":"https:\/\/otech.uaeh.edu.mx\/noti\/ciberseguridad\/harto-de-las-contrasenas-la-carrera-para-desterrarlas-de-internet-esta-a-punto-de-terminar\/","title":{"rendered":"\u00bfHarto de las contrase\u00f1as? La carrera para desterrarlas de Internet est\u00e1 a punto de terminar"},"content":{"rendered":"
11111111, 12345678, contrase\u00f1a, realmadrid, qwerty. “Aunque parezca sorprendente, el uso de contrase\u00f1as vulnerables sigue siendo alto entre los usuarios, junto con la reutilizaci\u00f3n de contrase\u00f1as para acceder a m\u00e1s de una cuenta o servicio”,\u00a0lamenta la Oficina de Seguridad del Internauta del Instituto Nacional de Ciberseguridad (Incibe).<\/p>\n
El problema viene de lejos. O m\u00e1s bien, se podr\u00eda decir que estuvo siempre ah\u00ed. Un reciente\u00a0informe\u00a0<\/span>del organismo brit\u00e1nico hom\u00f3logo del Incibe, el National Cybersecurity Center, cifra en un 85% el porcentaje de contrase\u00f1as repetidas, inseguras o f\u00e1cilmente rompibles. Hace un lustro, un estudio de Deloitte pon\u00eda\u00a0la cifra de contrase\u00f1as peligrosas generadas por usuarios\u00a0<\/span>en el 90%.<\/p>\n
El riesgo que conllevan este tipo de contrase\u00f1as no\u00a0se reduce a\u00a0que un ciberdelincuente llame a la puerta y\u00a0compruebe que estaba casi entreabierta. Al contrario, romper la barrera de seguridad y penetrar en la bandeja de email o las redes sociales de un usuario, y a partir de ah\u00ed saltar a su banca online o a bases de datos de su empresa, se puede hacer incluso de manera autom\u00e1tica.<\/p>\n
“La mayor\u00eda de ataques provienen de bots autom\u00e1ticos con acceso a filtraciones de contrase\u00f1as de servicios de terceros”, explican Kurt Thomas y Angelika Moscicki, expertos en ciberseguridad de Google. Fueron los encargados de presentar un estudio de la compa\u00f1\u00eda que mostr\u00f3 que “una higiene b\u00e1sica de la cuenta” es capaz de repeler el 99% de ataques de bots y un 66% de los ataques dirigidos contra una cuenta en concreto.<\/p>\n
Con “higiene b\u00e1sica”, Google hac\u00eda referencia a utilizar un m\u00e9todo de m\u00faltiple autentificaci\u00f3n. Este consiste en no utilizar solo\u00a0<\/span>algo que sabes<\/em>(la contrase\u00f1a), sino mezclarlo tambi\u00e9n con\u00a0<\/span>algo que tienes<\/em>\u00a0<\/span>(un mensaje con un c\u00f3digo \u00fanico al m\u00f3vil, por ejemplo) o con\u00a0<\/span>algo que eres<\/em>(biometr\u00eda) para acceder a un servicio.<\/p>\n
El uso del m\u00e9todo de autentificaci\u00f3n m\u00faltiple no implica erradicar la contrase\u00f1a, el eslab\u00f3n m\u00e1s d\u00e9bil de la cadena de la ciberseguridad. Tras a\u00f1os de contrase\u00f1as “111111”, las multinacionales digitales ya se han cansado. A ellas tampoco les gustan las contrase\u00f1as d\u00e9biles que provocan estafas y delitos en sus servicios, as\u00ed que investigan c\u00f3mo saltarse por completo la capacidad de memorizar de los usuarios en el proceso de autentificaci\u00f3n.<\/p>\n
La iniciativa se denomina\u00a0<\/span>passwordless<\/em>\u00a0<\/span>(sin contrase\u00f1a) y no lleva a enga\u00f1o. Pretende eliminar la contrase\u00f1a de la ecuaci\u00f3n, “aunque el proceso por debajo s\u00ed que tiene una capa de seguridad robusta. Los usuarios siguen teniendo que verificar sus identidades con una o m\u00e1s formas de autentificaci\u00f3n”, explica en conversaci\u00f3n con eldiario.es\u00a0<\/span>Rub\u00e9n Ramiro, del equipo de ciberseguridad de Telef\u00f3nica.<\/p>\n
Hay varios m\u00e9todos\u00a0<\/span>passwordless<\/em>\u00a0<\/span>en pruebas. Uno de ellos se sirve de tokens, c\u00f3digos cifrados que el servicio al que se intenta acceder y el ordenador del usuario se intercambian para identificarse mutuamente. Otro modo es mediante correo electr\u00f3nico, “el sistema m\u00e1s prometedor”,\u00a0<\/span>explica\u00a0<\/span>Ramiro. Se basa tambi\u00e9n en un c\u00f3digo cifrado, pero en este caso el usuario lo recibe en su bandeja de mail. Por \u00faltimo, la gran apuesta de los fabricantes: el\u00a0<\/span>passwordless<\/em>\u00a0<\/span>basado en biometr\u00eda.<\/p>\n
“Un sistema de inicio de sesi\u00f3n sin contrase\u00f1a que utiliza la autenticaci\u00f3n de correo electr\u00f3nico cifrada y una biom\u00e9trica verdaderamente segura podr\u00eda cambiar por completo la forma en que usamos Internet”, defiende. \u00bfDe cu\u00e1nto tiempo estamos hablando? “Uno o dos a\u00f1os”.<\/p>\n
\u00bfEs posible un Internet sin contrase\u00f1as?<\/h5>\n
La autentificaci\u00f3n biom\u00e9trica usa la huella dactilar, la cara o la retina de un usuario como llave de entrada a cuentas y aplicaciones. Es un m\u00e9todo ya extendido en los tel\u00e9fonos m\u00f3viles porque, pese a ser una tecnolog\u00eda en desarrollo (se ha demostrado poder enga\u00f1arla mostrando\u00a0<\/span>una foto), no es habitual que alguien que quiera forzar la entrada al tel\u00e9fono tenga acceso a \u00e9l y a la cara o la huella de su propietario a la vez. Y si lo tiene, quiz\u00e1 la amenaza de que desbloqueen su m\u00f3vil sin permiso sea la menor de las que enfrente ese usuario.<\/p>\n
\n\n
<\/div>El ejecutivo de Apple, Phil Schiller, mientras presentaba el sistema FaceID<\/p>\n<\/figcaption><\/figure>\n<\/div>\n
\n
El riesgo llega a la hora de implantar la biometr\u00eda como autentificaci\u00f3n en \u00e1mbitos que no se reducen a un dispositivo personal como el tel\u00e9fono. Apple dio una patada al tablero la pasada semana al anunciar un sistema de autentificaci\u00f3n basado en el Face ID (su m\u00e9todo de identificaci\u00f3n mediante la cara del usuario) como llave para entrar en servicios de terceros. Lo mismo que hacen Google o Facebook con el denominado\u00a0<\/span>login social<\/em>\u00a0<\/span>al ofrecer a los usuarios usar su cuenta para identificarse en otras p\u00e1ginas.<\/p>\n
“La caracter\u00edstica importante que tiene y lo que le diferencia de los sistemas de Google o Facebook es que\u00a0no vas a tener que poner una contrase\u00f1a en ning\u00fan sitio, sino usar solo el Face ID. Es como cuando desbloqueas el iPhone sin el c\u00f3digo, pero usado para acceder a sistemas de terceros”, expone Ramiro.<\/p>\n
Me han hackeado la cara<\/h5>\n
“Creo honestamente que esta tecnolog\u00eda mejorar\u00e1 Internet y\u00a0har\u00e1 que la gente est\u00e9 mucho, mucho m\u00e1s segura”, ha expuesto sin reparos el jefe de procesos de autentificaci\u00f3n de Google tras el anuncio de Apple en una entrevista con\u00a0<\/span>The Verge<\/em>.<\/p>\n
El movimiento de\u00a0la marca de la manzana\u00a0no elimina la contrase\u00f1a del todo, puesto que para identificarse en las plataformas de Apple seguir\u00e1 siendo necesaria una contrase\u00f1a en determinados momentos. M\u00e1s bien la coloca como intermediaria y pone su reputaci\u00f3n como seguro de privacidad: ya no hay que confiar en cientos de servicios a los que entregar datos personales y cerrarlos con una contrase\u00f1a. Ahora solo hay que confiar en que a Apple no le roben tu cara.<\/p>\n
![\"El](\"https:\/\/www.eldiario.es\/fotos\/Apple-Phil-Schiller-presentaba-FaceID_EDIIMA20170914_0379_5.jpg\")
<\/div>![\"Llave](\"https:\/\/www.eldiario.es\/fotos\/Llave-seguridad-Yubikey_EDIIMA20190615_0878_20.jpg\")
<\/div>