Pablo Teijeira

Ya está aquí de nuevo un año más, el Día Internacional de la Contraseña, y bueno... ¡Sí! Efectivamente existe el Día de la Contraseña. Y al tratarse de un día que cuenta con pocos años a sus espaldas, aún no existen muchas tradiciones concretas.

Igualmente, toda tradición nace de una nueva idea con la que da comienzo y si hay algo en la seguridad informática que merece un poco de atención son las contraseñas, además de los administradores de sistemas, obviamente.

El Día de la Contraseña podría ser, por ejemplo, un muy buen día para "coger nuestras contraseñas y mejorarlas", así es que desde Sophos queremos ofrecer cinco consejos que los cibercriminales seguramente no querrán que se sepan y menos aún, que se pongan de moda.

1º - No reutilices contraseñas.- En 2007, Dinei Florencio y Cormac Herley en Microsoft Research observaron las costumbres respecto a las contraseñas de medio millón de usuarios en su gran estudio sobre los hábitos de las contraseñas en páginas web, descubriendo que el usuario medio necesita alrededor de 25 contraseñas distintas, pero que realmente sólo utilizaba unas seis.

El usuario medio tiene 6,5 contraseñas, cada una de ellas compartida para 3,9 sitios diferentes. Y obviamente, que cada usuario tenga unas 25 cuentas que requieren contraseñas supone un problema, al beneficiar a cualquier cibercriminal que robe una de sus contraseñas con la clave de acceso a otros tantos sitios, siendo el daño mucho mayor.

En su artículo “Is it *really* such a bad idea to use a password twice”, Paul Ducklin cuenta la historia de cómo a principios de septiembre de 2014, los ciberdelincuentes subieron casi 5 millones de nombres y contraseñas de cuentas de Gmail a un foro ruso sobre Bitcoin.

El gigante del alojamiento web WordPress, buscó entre su propia base de datos de usuarios las credenciales robadas y encontraron coincidencias con 700.000 direcciones de correo electrónico y 100.000 coincidencias de combinaciones de correos electrónicos y contraseñas.

En otras palabras, por cada cuenta de correo electrónico que los ciberdelincuentes habían comprometido también tenían una probabilidad de 1 entre 14 de comprometer también con éxito una cuenta de WordPress, algo que bien equivaldría al esfuerzo de tan sólo hacer sonar las llaves cerca de la cerradura. Si te roban tu contraseña en una brecha de datos, deberías saber que seguramente los ladrones van a probarla en Facebook, Twitter, WordPress y el resto de sitios web donde creen que también puedes estar utilizándola.

2º - No utilices contraseñas débiles.- En su reciente trabajo de investigación, Eugene Panferov va en busca de una medida sólida de la contraseña canónica y argumenta finalmente que no hay una sola; “No existe tal cosa como ‘las mejores prácticas para la elección de una contraseña’, hay malas prácticas, malas decisiones, y lo único que podemos hacer es evitarlas”. Se trata de una interesante manera de pensar sobre cómo elegimos nuestras contraseñas.

Las guías para la creación de contraseñas fuertes, como "utilizar una larga colección de números aleatorios, letras mayúsculas y minúsculas y caracteres extravagantes", a menudo se convierten en reglas arbitrarias que hacen que las contraseñas terminen por ser fáciles de suponer, como "¡tu contraseña debe tener entre ocho y doce caracteres y contener al menos un carácter en mayúscula y un número!"

Así, en lugar de pensar en qué hace que una contraseña sea segura, pensemos en cómo evitar errores comunes como: no elegir una de las 10.000 contraseñas más comunes; no utilizar información personal, el nombre de nuestra mascota, nuestro equipo favorito, el nombre de nuestra empresa, nuestro apodo, un miembro de nuestra familia, una frase; evitar palabras de diccionario; y no esperar engañar a nadie usando alteraciones ortográficas, $ust1tut0s o añadiendo números53 al final.

3º - No compartas tus contraseñas.- ¿Eres bueno guardando secretos? Bien, porque eso es lo que una contraseña es: un secreto. Y si compartes una contraseña, que sepas que no es ninguna declaración de amor verdadero, y más bien dejará de ser secreta.

El problema es que muchos de nosotros simplemente no pensamos en las contraseñas como tal. Una encuesta reciente realizada por los proveedores de software de gestión de contraseñas, LastPass, desveló que el 95% de los usuarios compartimos hasta seis contraseñas entre nosotros.

Y no es sólo un mal hábito de los usuarios, es una mala costumbre practicada también por los profesionales de TI, quienes deberían saber mejor que nadie que, como reveló la encuesta de la conferencia de RSA de 2016: “uno de cada tres profesionales de seguridad de TI encuestados en la Conferencia RSA 2016 admitieron que compartían sus contraseñas con el resto del personal de su departamento”.

Siendo una práctica común en la administración de TI. Si compartes una contraseña, se pierde el control sobre la misma, ya que no se sabe con quién más se ha podido compartir, si se ha enviado por correo electrónico o donde ha sido escrita.

4º - No confíes en los indicadores de fortaleza de contraseñas.- Los indicadores de fortaleza de contraseñas se han convertido en un adorno común para sitios web y aplicaciones que te piden elegir una contraseña. Por desgracia, muchos de ellos favorecen el engaño con una redacción vaga, gráficos lujosos y reglas arbitrarias que parecen importantes, pero que en realidad pueden hacer que tu contraseña sea más débil.

Hace aproximadamente un año hicimos una selección de contraseñas muy muy malas hechas con cinco de los indicadores de fortaleza más populares. Todos fracasaron y no sólo eso, ellos mismos estaban de acuerdo. Otros han demostrado que envían contraseñas sin cifrar a través de Internet, las almacenan en hojas de cálculo de Google desconocidas y accidentalmente las ceden a terceras partes como a empresas de marketing; caso de la herramienta de prueba de contraseña de la CNBC, por si te lo estabas preguntando.

Hay algunos excelentes indicadores de fortaleza de contraseñas por ahí, como el testado rigurosamente zxcvbn, que es utilizado por Dropbox y WordPress, por lo que hay que reconocer que existen algunos indicadores de fortaleza de contraseñas dignos de confianza. Por desgracia, no puede decirse que todos lo son.

5º - No cambies tus contraseñas por un patrón o agenda.- Nos referimos a la conocida advertencia utilizada para que actualices tus contraseñas cada treinta días o cada pocos meses para limitar daños que una contraseña comprometida pueda ocasionar. Es un consejo que ha sido adoptado por los departamentos de TI y usuarios por igual, pero es un consejo que ha envejecido mal a medida que ha crecido el número de contraseñas que tenemos.

En el mundo actual se traduce en "debes crear y recordar unas 25 contraseñas al mes que sean aleatorias completamente nuevas y sin relación entre sí". Los consejos que son buenos en la teoría nos empujan a tomar atajos al final que hacen que sea más fácil obtener nuestras contraseñas; si nos vemos obligados a cambiar nuestras contraseñas todo el tiempo terminaremos eligiendo las contraseñas más cortas, simples, fáciles de recordar, y las cambiaremos acorde a patrones y algoritmos fáciles de adivinar, y las reutilizaremos sucesivamente.

Investigadores de la Universidad de Carolina del Norte que observaron esta práctica al detalle, confirmaron las “conjeturas previas de que la eficacia de caducidad en el cumplimiento de su objetivo previsto es débil. Las organizaciones desde la FTC hasta la GCHQ están desaconsejando la expiración de la contraseña arbitraria porque, como el gurú de las contraseñas, Per Thorsheim, expuso en su reciente llamada a las armas sobre este tema: “hay un montón de opiniones más, la investigación (académica), los resultados de pruebas de penetración, etc.., demuestran exactamente lo mismo: los cambios de contraseña obligatorios deben morir lo antes posible”.

Si pudieras crear y recordar un gran conjunto de nuevas contraseñas seguras todos los meses, sería fantástico, pero no se puede obligar a nadie más a que lo haga, porque lo más probable es que no puedan.

(*) Pablo Teijeira es director general de Sophos Iberia