Gestión de contraseñas

En la sociedad actual nos vemos obligados a recordar multitud de códigos o contraseñas para proteger aquellas cosas que consideramos valiosas. Tenemos un código para bloquear nuestro móvil, otro para la alarma de nuestra casa, varios para las diferentes tarjetas de crédito que usamos y, cómo no, múltiples contraseñas para todos los servicios o aplicaciones informáticas que usamos día a día. No obstante, nuestra memoria es finita y muchas veces nos cuesta recordar tanta información, por lo que tendemos a caer en el conformismo y empezar a reutilizar contraseñas en distintos servicios, lo cual termina siendo una mala decisión.

Casos como el reciente robo de datos de los usuarios de PlayStation Network demuestran que, una vez enviamos información a servicios que salen de nuestro control, esta es susceptible de ser robada y comprometer nuestros valiosos datos. Para evitar que personas no autorizadas accedan a nuestros datos se han creado multitud de sistemas, algunos más eficaces (y caros) que otros, pero la mayoría de usuarios y prestadores de servicios sigue confiando en contraseñas por tener un coste muy pequeño y ser fáciles de implementar.

No obstante, una de las malas prácticas que más suele repetirse entre los usuarios es la reutilización de contraseñas en multitud de servicios, lo que supone un importante agujero que permitiría acceder a nuestra información si uno de los servicios en los que usamos la misma contraseña sufre un robo de datos. Hemos visto casos recientes como el de PlayStation Network, donde se obtuvieron los datos de registro de 77 millones de usuarios. Una vez obtenidos, no es muy difícil automatizar un proceso para tratar de acceder, en caso de coincidencia de esos mismos datos, a cuentas de Facebook, Twitter o Gmail entre muchos otros.

Se hace necesario, pues, configurar contraseñas diferentes para cada servicio, pero es en este punto donde nos topamos con la limitación que tenemos para recordar y asociar un número finito. Hasta hace poco era bastante frecuente que los que trabajamos en seguridad aconsejáramos a los usuarios generar contraseñas robustas con frases fáciles de recordar y cambiando después las letras por números o símbolos. Si bien esa técnica es mejor que simplemente usar una palabra o un número, las técnicas de diccionario y fuerza bruta empleadas actualmente hacen que sea cada vez más fácil averiguar contraseñas, gracias, por ejemplo, a la enorme potencia de cómputo que ofrecen las GPU (unidades de procesamiento gráficas o tarjetas gráficas). Esta potencia, unida a su relativo bajo coste, hace que lo que hasta hace poco se consideraba seguro, ahora no lo sea tanto.
¿Siguen siendo entonces las contraseñas una medida de seguridad eficaz? No hay duda de que existen soluciones mejores, como los tokens o los dispositivos biométricos, pero resultan bastante más caros de implementar. Si se busca una solución con buena relación calidad/coste, las contraseñas siguen siendo una buena alternativa, pero siempre aplicando una serie de recomendaciones y buenas prácticas para que sean realmente efectivas. Si hay una característica que no ha cambiado a lo largo del tiempo, es que una contraseña ha de ser larga. No obstante, esta longitud se ha ido incrementando y ahora no nos atreveríamos a considerar mínimamente robusta una contraseña cuya longitud sea inferior a 12 caracteres. Tampoco vale sustituir únicamente letras por números y se han de usar todo tipo de caracteres, letras mayúsculas y minúsculas, evitando que estos sigan patrones fáciles de adivinar (como nuestro nombre), ya que pueden averiguarse y usarse para descifrar contraseñas, por muy complejas que aparenten ser.

Así las cosas, los usuarios nos enfrentamos al desafío múltiple de crear contraseñas robustas, diferentes para cada sitio y que sean fáciles de recordar. Demasiado complicado a simple vista para la mayoría de nosotros. No obstante, existen programas que nos pueden facilitar esta tarea y que permiten almacenar todas nuestras contraseñas usando una única clave maestra para acceder a ellas. Esto nos facilita muchísimo toda su gestión, pero también hace que tengamos un único punto débil, y es que si alguien consigue acceder al gestor de contraseñas, obtendrá acceso a todas las que ahí están almacenadas. Sin embargo, la seguridad y el cifrado que ofrecen la mayoría de estas aplicaciones son lo suficientemente efectivos como para considerarlos una opción muy fiable.

Al respecto de otros sistemas más complejos y caros de implementar, uno de los más extendidos son los tokens de autenticación. Se trata de dispositivos que generan una clave aleatoria cada vez que se necesita acceder a un servicio. Este tipo de dispositivos suelen usarse para proteger datos sensibles en empresas y solo los empleados con permiso de acceso disponen del dispositivo para generar la clave. A pesar de su robustez también han sufrido ataques que han desvelado una parte de la clave privada, por lo que su implementación no debe significar una seguridad absoluta.

Como vemos, la gestión de contraseñas es un campo amplio y que requiere de mucha atención por parte del usuario. Desde el laboratorio de ESET en Ontinet.com, lo que recomendamos es asegurarnos de que se cumple una política de seguridad adecuada para evitar que nuestros datos más valiosos sean accesibles a personas no autorizadas.

Josep Albors

Malware “en la nube”