¿ El fin de las contraseñas?

contraseñas_seguras_u_obsoletasPor: / El país

Con saqueos masivos de datos como el de Sony, el mayor ciberataque padecido por una empresa, o el que sufrió Apple hace unos meses, cuando decenas de fotos privadas de actrices de Hollywood fueron robadas y difundidas por todos los rincones de la red, hablar de Internet y seguridad se ha convertido casi en un oxímoron, una contradicción en los términos. La mayoría de los expertos considera que el actual sistema de contraseñas que rige la red ha caducado por lo incómodo que resulta para los usuarios y, como queda cada vez más claro, por su falta de fiabilidad. El futuro se encuentra en los sistemas de doble autenticación y en la biometría, campo en el que varias empresas españolas están en la vanguardia. Mientras tanto todos los expertos en seguridad dan el mismo consejo: generar contraseñas más complejas para, en la medida de lo posible, entorpecer el trabajo de los ladrones de datos.

Como ha escrito el experto en informática de The New York Times, Farhad Manjoo, “no mandes un mail, no subas una foto a la nube, no mandes un mensaje de texto, al menos si tienes cualquier esperanza de que siga siendo privado”. El problema está en que cada vez tenemos más datos y más importantes en Internet, ya sean bancarios, profesionales o personales, y cada vez están más expuestos. La página web www.databreaches.net calcula que se han producido 30.000 robos de datos en todo tipo de empresas en los últimos diez años, con una inquietante aceleración en 2013 y 2014. Javier García Villalba, profesor del Departamento de Ingeniería de Software e Inteligencia Artificial de la Universidad Complutense de Madrid, asegura: “Una contraseña por sí sola ya no ofrece suficiente seguridad. Los ataques informáticos comprometen por igual cualquier contraseña, sea buena, mala o regular”.

“Las contraseñas se consideran inseguras prácticamente desde su nacimiento”, explica por su parte Alejandro Ramos, profesor del Master en Seguridad de las tecnologías de la Universidad Europea de Madrid. “El problema es que se han utilizado en todos los sistemas de información y nos hemos acostumbrado a su uso. Cambiar y aprender nuevos métodos de autenticación no es sencillo y ese es el motivo principal por el que hoy en día siguen utilizando”. Un estudio de la empresa estadounidense Fortinet, especializada en sistemas de seguridad reforzada, asegura que cada usuario maneja como mínimo 25 sitios con contraseñas, aunque sólo se utilizan 6,5 claves diferentes de media, lo que debilita todavía más la protección. “El objetivo es buscar soluciones tecnológicas que eliminen las contraseñas que hacen cada vez más complicado moverse en la web”, explica el director para España de PayPal (la principal empresa de pago por Internet), Estanis Martín de Nicolás. Javier Barrachina, responsable de producto de la empresa FacePhi, una startup alicantina que ha desarrollado un sistema de reconocimiento facial a través del móvil que acaba de ser comprado por la Asociación de Bancos del Perú (ASBANC) que agrupa a 16 entidades, se muestra rotundo: “El final de las contraseñas es algo inevitable. Antes teníamos que aprender decenas de números teléfono de memoria, ahora nos parece inconcebible. Es que además trabaja a favor de las personas”.

Entonces, si las contraseñas han muerto, ¿cuál es el futuro? “Los expertos determinan que existen tres factores de autenticación, que se definen por algo que sabemos, algo que tenemos y algo que somos”, explica Daniel Firvida, coordinador de operaciones del Instituto Nacional de Ciberseguridad (Incibe), una sociedad estatal adscrita al Ministerio de Industria, Energía y Turismo cuya misión es reforzar la seguridad de la información en Internet. Algo que sabemos sería la contraseña tradicional, algo que tenemos serían las tarjetas de coordenadas o las aplicaciones para generarlas que actualmente utilizan casi todos los bancos, que exigen una doble autenticación antes de realizar cualquier operación importante, y algo que somos sería la biometría, la autenticación a través de la voz, la huella dactilar o el iris.

La biometría plantea todavía muchos problemas para
su generalización

Desde un octavo piso de la Gran Vía que ofrece una vista impresionante sobre Madrid, Emilio Martínez, CEO de la empresa madrileña Agnitio, ofrece una visión de un futuro que ya forma parte del presente. Su empresa, conocida por un programa de reconocimiento de voz que utilizan las policías de casi 40 países, ha creado un sofisticado programa para reemplazar las contraseñas por el reconocimiento de voz dentro de la alianza internacional FIDO, el proyecto más ambicioso para dar un salto adelante en la seguridad en Internet. Impulsada por PayPal y con gigantes como Google, Microsoft, Samsung, Visa, MasterCard, Alibaba, BlackBerry o Bank of America entre sus miembros, el objetivo de esta alianza es ofrecer nuevos métodos de seguridad que se conviertan en standards para pagar o manejar datos. Apple, a través de ApplePay que está incorporado en EEUU a sus nuevos aparatos como el iPhone 6, también permite nuevas formas de pago, con una seguridad mucho más sofisticada. Este teléfono, como el último modelo de Samsung, ya se desbloquean con un sistema biométrico y permiten realizar pagos sólo con la huella dactilar como identificación.

“Las contraseñas están heridas de muerte, pero no muertas”, explica Emilio Martínez. “Ya existen las bases tecnológicas y de estándares de pago que nos permitan ir sustituyéndolas pero su incorporación es lenta”, agrega. Martínez recuerda cómo ha ido evolucionando la industria del pago, desde los viejos tiempos en que con una firma bastaba para utilizar una tarjeta de crédito –recordar ahora las viejas bacaladeras que dejaban una reluciente copia en papel carbón de la tarjeta pone los pelos de punta– hasta la paulatina incorporación de los chips a las tarjetas de crédito –se crearon en 1998 pero tardaron más de diez años en generalizarse–. La clave no está sólo en incorporar sistemas de seguridad muy sofisticados utilizando los sensores de los que disponen los teléfonos para captar la voz, la imagen o las huellas dactilares –los cálculos de la industria indican que en 2017 habrá 990 millones de móviles que incorporen estos sistemas–, sino en la forma de almacenar la información. Para los expertos, un avance fundamental es poner en marcha sistemas que hagan que las compañías no almacenen las contraseñas, que sólo las tenga el cliente –es lo que se denomina contraseñas cerradas y abiertas–. De esta forma, aunque sufra un ataque, los daños serían mucho más reducidos que ahora.

“Las claves hacen que sea cada día más difícil navegar”, dice un experto

El problema es que la biometría todavía plantea muchos desafíos: es más fácil utilizarla en un teléfono que una página web y debe ser incorporada de manera generalizada por la industria, desde los comercios hasta los bancos o las empresas que manejan información en la web (básicamente, todas). Como explica Javier García Villalba, “está bien para entrar en un edificio, pero no para conectar con Melbourne”. “De momento lo más seguro parece el uso de lo que se llama autenticación de dos factores, donde además de una contraseña se utiliza alguna medida biométrica o algo que el cliente posee como una calculadora, el teléfono móvil. Esto hace que el compromiso de una contraseña cause menos daño y, aunque no es tampoco un sistema totalmente fiable, ofrece mucha mejor seguridad”, agrega este profesor de la Complutense.

Cómo crear una contraseña segura

 

Después de que la nube de Apple –los datos almacenados en la web por los usuarios como las fotos o su agenda– sufriese un ataque masivo que provocó la difusión pública de decenas de imágenes íntimas de famosos, la actriz Kirsten Dunst, una de las afectadas, escribió en un su cuenta de Twitter: “Gracias iCloud” y a continuación los emoticonos de un trozo de pizza y una mierda. Desde aquel mayúsculo desastre, Apple aumentó la seguridad y, además, avisa cada vez que alguien entra en iCloud a través de un navegador por si en vez del usuario se trata de un pirata. Este ejemplo ilustra que no basta con que los usuarios tengan contraseñas eficaces –y diferentes, lo que puede convertir su gestión es una pesadilla–, sino que, además, está precaución se convierte inútil en el caso de que los hackers logren entrar en el lugar donde están almacenadas.

Pero, aunque al final pueda resultar insuficiente, por algún lado hay que empezar a protegerse. Alejandro Ramos, del Máster en Seguridad Informática de la Universidad Europea de Madrid, ofrece una serie de consejos para reforzar las contraseñas: “Las más inseguras son aquellas que están basadas en palabras de diccionario o sus derivados, por ejemplo la contraseña: ‘Diciembre2014’ o cualquier derivado y transformación como por ejemplo ‘%D1ciembr3-2014%’ se consideraría igualmente insegura. La recomendación es usar una contraseña de más de 9 ó 10 caracteres que no pueda ser interpretada, es decir ‘leída’, ni una derivación que sustituya caracteres. Para que se considere robusta debe incluir mayúsculas, minúsculas, números y caracteres especiales, como por ejemplo ‘Am#OD7IJ0soqO%’. Otra opción mucho más práctica y que también se utiliza mucho, es el uso de frases largas inventadas, como por ejemplo: ‘mi camión azul tiene doce ruedas’. Para este segundo ejemplo, es importante que no sean citas de libros, ni títulos de película”.

Daniel Firvida, coordinador de operaciones del Instituto Nacional de Ciberseguridad (Incibe), asegura por su parte: “El mayor defecto que podemos cometer es la reutilización, en la mayoría de los casos ya está superado el problema de contraseñas demasiado fáciles o muy cortas, pero seguimos poniendo la misma contraseña en todas partes, para solucionar esto lo ideal es utilizar alguna regla que nos permita combinar una parte común en todas nuestras contraseñas que nos facilite recordarla, y una parte que cambie en cada sitio donde la utilizamos. De esta manera nuestras contraseñas serían de la forma ‘contraseñasecreta+banco’ o ‘contraseñasecreta+facebook’. Si utizamos esto, combinando letras mayúsculas, números y cambiamos cada cierto tiempo esa parte común que utilizamos en nuestras contraseñas, habremos conseguido una importante mejora en su utilización”.

Existen aplicaciones para los teléfonos inteligentes, como Dashlane o 1password, que con sistemas de protección y encriptación muy sofisticados permiten al usuario, con una sola contraseña maestra, manejar un número infinito de contraseñas seguras. ¿Problema? Son servicios que casi siempre acaban por ser de pago –la utilización más elemental es gratuita pero luego hay que pagar una cantidad anual como ocurre en el caso de Dashlane, que cuesta 26 dólares si se quieren aprovechar todos sus recursos– y la sensación para los neófitos de que se están poniendo todos los huevos en la misma cesta, todos los datos privados en un mismo lugar. El Instituto Nacional de Ciberseguridad ofrece unas cuentas, totalmente gratuitas, en su web además de todo tipo de consejos.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s