Una mirada al día mundial de las contraseñas

¿Sabías que el primer jueves de mayo se celebra el Día Mundial de las Contraseñas? Esta conmemoración nació en 2013 para concienciar sobre el uso consciente de las contraseñas y su importancia en nuestra vida moderna. 

Hoy en día, nuestras vidas están llenas de actividades que requieren una identidad digital y una contraseña para proteger nuestros datos personales, como el estudio, el trabajo, el tiempo libre, las compras y la gestión del hogar. Sin embargo, esto también trae problemas y dificultades, ya que según las estadísticas, cada persona debe manejar un promedio de cien contraseñas siempre diferentes, largas, complejas e imposibles de recordar. 

Por lo tanto, cada uno de nosotros ha creado su propia contraseña utilizando palabras, frases, fechas o información personal y la utiliza cada vez que se registra en un nuevo servicio. En 2013, Intel estableció el Día Mundial de las Contraseñas para concienciar a la gente sobre el uso consciente de sus contraseñas, haciendo hincapié en elementos como la complejidad y la frecuencia de actualización. 

Después de 10 años de cambios informáticos, históricos y geopolíticos, es importante preguntarse si todavía es útil seguir sensibilizando sobre la importancia de las contraseñas o si ha llegado el momento de adoptar soluciones alternativas. 

 

INTRODUCCIÓN 

A pesar de conocer los riesgos, todavía son pocas las personas que utilizan contraseñas complejas y las cambian con frecuencia. En 2005, el experto en seguridad informática Mark BURNETT sugirió que cada usuario digital debería tener sus propios «días de contraseña», es decir, días dedicados a actualizar sus contraseñas. La idea, presentada en su libro «Perfect Passwords», inspiró a empresas como Intel a crear una conmemoración mundial llamada «Día Mundial de las Contraseñas», que se celebra el primer jueves de mayo desde 2013. 

El objetivo de esta conmemoración es convencer a las personas de cambiar con frecuencia las contraseñas de su correo electrónico, cuentas de redes sociales y todas las identidades que protegen su información personal. En este artículo, después de repasar brevemente la historia de las contraseñas, se reflexiona sobre la relevancia de la idea detrás del «Día Mundial de las Contraseñas» y se exploran posibles escenarios alternativos. 

Aunque pueda parecer una tarea tediosa, cambiar las contraseñas con regularidad es crucial para mantener la seguridad de nuestras cuentas. Además, utilizar contraseñas complejas y únicas para cada cuenta también es esencial. Por eso, el «Día Mundial de las Contraseñas» es una oportunidad para recordar la importancia de la seguridad digital y tomar medidas para proteger nuestra información personal. 

 

 

 

LA HISTORIA DE LA AUTENTICACIÓN DIGITAL 

En 1961, en el MIT, se estaba diseñando un nuevo sistema al que varios usuarios debían tener acceso y, por primera vez, se planteó la cuestión de cómo identificar y certificar la identidad del usuario. De aquí surgió la idea de emitir una credencial de acceso (usuario y contraseña) diferente para cada usuario, dando lugar a los conceptos de «autenticación». A pesar de todas las recomendaciones proporcionadas a los usuarios del servicio sobre el uso consciente y la confidencialidad de sus credenciales, ese mismo año, un administrador imprudente imprimió las contraseñas de todos los usuarios y las olvidó en la impresora. 

En 1978, Morris y Thompson publicaron un estudio que demostró que era más fácil adivinar las contraseñas a través de información personal que descifrarlas. Dos aspectos, que siguen siendo válidos hoy en día, se destacan en esta investigación: uno técnico, que identifica el uso de una credencial como uno de los principales problemas, y otro psicológico, el comportamiento de la mente humana que tiende a utilizar información personal como más fácil de recordar. 

En las décadas de 1980 y 1990, se empezó a hablar de soluciones alternativas al uso de la contraseña tradicional con la integración de una OTP (contraseña de un solo uso). 

En 1986 se utilizó por primera vez la autenticación de múltiples factores. Se necesitaron otras 2-3 décadas para que el modelo fuera finalmente adoptado para proporcionar servicios al gran público. 

En 2013, a instancias de Intel, se estableció el «Día Mundial de las Contraseñas». Desde entonces, el primer jueves de mayo se ha convertido en el día mundial para concienciar a las personas sobre el uso consciente de sus credenciales de acceso. 

En 2014, la Alianza FIDO (Fast IDentity Online) publicó la primera versión de un procedimiento para estandarizar la autenticación de dos factores. 

En 2015, la Alianza FIDO actualizó el procedimiento (FIDO2) y formalizó por primera vez un procedimiento que ya no incluía la contraseña. El nuevo modelo se convirtió en el estándar para las transacciones bancarias que lo adoptaron a partir de marzo de 2019. 

 

¿CUÁN SEGUROS ESTÁN NUESTROS DATOS CON LAS ACTUALES POLÍTICAS DE CONTRASEÑAS? 

En 2013 se creó el World Password Day con el objetivo de que las personas usen contraseñas complejas y las actualicen con frecuencia. En aquel entonces, esta recomendación era acogida principalmente por las empresas que necesitaban proteger sus datos. Con el tiempo, los usuarios más avanzados también adoptaron este comportamiento debido a la proliferación de servicios en línea. Sin embargo, la capacidad de procesamiento del público y las técnicas de hacking han evolucionado exponencialmente, lo que ha hecho vulnerables soluciones consideradas seguras en poco tiempo. Además, los escenarios geopolíticos y de guerra están contribuyendo a la proliferación de grupos de hackers apoyados directamente por los gobiernos, que tienen recursos económicos y computacionales sin precedentes. 

Las modalidades utilizadas para robar contraseñas son variadas, pero en la mayoría de los casos aprovechan errores humanos. Estas son las más utilizadas: 

• Ingeniería social: se convence al usuario a través de correos electrónicos o mensajes de phishing para que revele su contraseña. En realidad, es el usuario el que se deja engañar por las técnicas de ingeniería social y proporciona las contraseñas a quien las solicita, a través de mensajes, correos electrónicos o sitios web falsos que imitan sitios web conocidos. Además del phishing y el smishing, últimamente se ha popularizado el vishing, que se realiza a través de llamadas telefónicas (apresurando las decisiones con mensajes alarmantes) similares a las de los centros de llamadas, o técnicas como el crypto-scam (con la promesa de ganancias fáciles) o el romance-scam (promesas de amor a través de sitios de citas). 

 

• Información de usuario: a menudo se utilizan información personal como nombres, fechas de nacimiento u otras referencias que se pueden adivinar fácilmente o deducir de las redes sociales. Esto es especialmente cierto si la víctima es una figura conocida. En 2020, se cuenta la leyenda de que Victor GEVERS, un hacker ético holandés, solo necesitó 6 intentos para adivinar la contraseña de la cuenta de Twitter de Donald TRUMP: «maga2020!», es decir, «Make America Great Again 2020», el lema de la campaña electoral de Trump. 

 

 

• Reutilización de contraseñas: se aprovecha la mala costumbre de los usuarios de reutilizar la misma contraseña en diferentes servicios. Este error hace posible la técnica conocida como «Credential Stuffing», que consiste en la inyección automática de nombres de usuario/contraseña previamente comprometidos. En la práctica, esta modalidad de ataque se aprovecha de la enorme cantidad de violaciones de datos que han ocurrido a lo largo de los años y que han generado muchas bases de datos de credenciales robadas, fácilmente disponibles en la dark web. 

 

Y cuando las técnicas anteriores no son aplicables, se recurre al ataque de «fuerza bruta». Utilizando la potencia de procesamiento actualmente disponible al público en general, es posible violar una contraseña de 8 caracteres compuesta por números, letras (tanto mayúsculas como minúsculas) y caracteres especiales en pocos minutos. 

Entonces, ¿qué debemos hacer? 

 

SI DEBEMOS SEGUIR USANDO CONTRASEÑAS … 

Si no tienes alternativas al uso de contraseñas para acceder a tus servicios, lo mejor que puedes hacer es confiar en un gestor de contraseñas o password manager. Existen varios tipos de gestores de contraseñas, desde software que puedes instalar en tu dispositivo local hasta los basados en la web o en tokens y dispositivos similares. 

Al elegir uno, utiliza el sentido común y no te quedes con el primero que te ofrezcan. A menudo, se trata de una elección definitiva, por lo que debes dedicar todo el tiempo que necesites. Verifica qué técnicas de protección ofrece, cómo se accede, si se puede compartir con otros dispositivos que tengas, etc. 

Por último, si optas por un servicio en la nube, verifica si ha sufrido alguna violación de datos en el pasado. Un gestor de contraseñas guarda tus datos, como tus contraseñas, números de teléfono, direcciones y datos de pago de tarjetas, etc., en una caja fuerte (vault) cifrada. 

Para acceder a la caja fuerte, solo necesitas recordar una contraseña, una clave criptográfica o usar una autenticación de múltiples factores o MFA (que se explicará más adelante en el artículo). Algunas de las características principales que debe tener un buen gestor de contraseñas son: 

• Autenticación de múltiples factores. Si partimos del supuesto de que una contraseña es vulnerable, se debe evitar confiar todas nuestras credenciales a un sistema al que se accede con una sola contraseña, especialmente si está en la nube. 

 

• Un generador de contraseñas. Al tener que usar secuencias aleatorias de caracteres para proteger mejor nuestros datos, confiemos en el gestor de contraseñas. Cada buen gestor de contraseñas incluye un sistema configurable para generar automáticamente una nueva credencial de acceso. De esta manera, incluso la actualización periódica se convierte en una formalidad. 

 

• Disponibilidad en dispositivos y plataformas. Estadísticamente, cada persona utiliza en promedio más de 3 dispositivos. Tener una herramienta que se pueda usar en todos los dispositivos que posee se vuelve fundamental para evitar tener que compartir una contraseña en claro a través de canales poco seguros. 

 

 

SI PODEMOS UTILIZAR SOLUCIONES ALTERNATIVAS EN SU LUGAR … 

Si existen servicios que permiten utilizar soluciones alternativas más seguras que la contraseña, no dudes en adoptarlas. Las principales alternativas utilizan un modelo de 2 o más factores. Analicemos las más importantes, disponibles actualmente en el mercado: 

La autenticación de múltiples factores (MFA) es una de las alternativas más utilizadas. Este proceso difiere de la autenticación tradicional de usuario/contraseña, ya que requiere uno o más elementos adicionales de verificación. Para ser calificado como MFA, el proceso debe incluir varios factores de diferentes tipos. 

Los factores, de los cuales al menos dos deben coexistir en un proceso MFA, son el factor de conocimiento (algo que se sabe), el factor de posesión (algo que se tiene) y el factor biométrico (algo que es). La combinación de dos o más factores disminuye la importancia de la contraseña dentro del proceso de autenticación, ya que su conocimiento no es suficiente para completar todo el proceso. 

Por otro lado, la FIDO Alliance ha desarrollado un modelo de autenticación sin contraseña llamado FIDO2 o Passwordless. Este modelo se basa en el intercambio de claves criptográficas asimétricas entre el dispositivo del usuario y el sistema central para establecer una comunicación cifrada. En la fase de autenticación, el usuario solo debe proporcionar su identificador y confirmar las credenciales en el dispositivo registrado previamente. 

Actualmente, este modelo es considerado el más seguro y se utiliza para acceder a muchos sitios de banca en línea o para la confirmación de transacciones financieras. Aunque se han descubierto algunas vulnerabilidades en los sistemas MFA, el uso de múltiples factores sigue siendo preferible al uso de una sola contraseña. 

 

MFA, LO QUE HAY QUE TENER EN CUENTA 

El modelo de autenticación de múltiples factores (MFA) es seguro, especialmente si es compatible con las especificaciones FIDO2, pero hay aspectos críticos a los que debemos prestar atención. Uno de los aspectos más importantes es el dispositivo que utilizamos para la autenticación, ya que si lo perdemos o nos lo roban, alguien podría acceder a nuestros datos. En el caso de un dispositivo MFA no compatible con FIDO2, cualquier persona que tenga el dispositivo y las credenciales puede acceder a nuestros datos. Si bien tener el dispositivo pero no las credenciales impiden que los atacantes accedan a nuestros datos, debemos tener cuidado de mantener segura la información de autenticación. 

En el caso de un dispositivo FIDO2, el nivel de seguridad aumenta ya que la activación del dispositivo requiere un factor biométrico adicional. Sin embargo, si perdemos el dispositivo FIDO2, no podremos acceder a nuestros datos. Además, si queremos cambiar el dispositivo FIDO2, es importante tener en cuenta que los certificados que se utilizan para la comunicación son generados e instalados en el dispositivo anterior y no son transferibles. Por lo tanto, en caso de pérdida o cambio del dispositivo, debemos desvincular el dispositivo anterior y registrar el nuevo dispositivo. Este proceso puede no ser sencillo ni manejable por el usuario promedio. 

Por último, si decidimos utilizar un dispositivo FIDO2 (como una llave USB) para almacenar nuestras contraseñas, es importante tener al menos una copia de seguridad de los datos almacenados en el dispositivo. 

 

¿QUÉ NOS DEPARA EL FUTURO? 

Se están estudiando nuevas soluciones que prometen simplificar aún más la experiencia del usuario, como el modelo de inicio de sesión sin contraseña en el que está trabajando Okta Inc., uno de los proveedores más importantes del sector. 

Los fundamentos son muy interesantes desde un punto de vista técnico. El modelo prevé identificar al sujeto en función de su comportamiento y un factor biométrico (reconocimiento visual, huella dactilar, etc.). Cuando el comportamiento del sujeto no coincide con el modelo, se solicita un elemento adicional típicamente relacionado con un factor de conocimiento. 

Personalmente, considero que el enfoque está en línea con los tiempos, pero inquietante por dos motivos. En primer lugar, significa que el proveedor, que ya proporciona el sistema de autenticación, agregaría a una serie de atributos calificativos del usuario, un modelo de comportamiento identificable por un algoritmo basado en una serie de información destinada a definir al individuo y su manera de actuar. 

En segundo lugar, me preocupa la motivación que ha llevado a alguien a identificar una dirección como esta para perseguir. Si alguien puede identificarnos a través de nuestro comportamiento diario, significa que toda nuestra vida se ha convertido en un patrón predecible y clasificable. Tenga cuidado de no confundir el comportamiento diario con la operatividad dentro de una red o sistema, algo que ya hacen muchos sistemas de análisis de comportamiento para garantizar la seguridad de los datos. Aquí se está yendo mucho más allá. 

 

EN CONCLUSIÓN… 

Cada vez más, pasamos gran parte de nuestra vida en línea y la velocidad de nuestra conexión a Internet es una de las primeras cosas que nos preocupan al llegar a un nuevo lugar. Muchas veces, nos comportamos como niños que juegan sin leer las instrucciones y sin preocuparnos por los riesgos. Podríamos decir que estamos volviendo a la época en que el analfabetismo era común y era necesario saber lo mínimo para sobrevivir. 

Hoy en día, la contraseña se considera un mal necesario, pero no nos damos cuenta de que es la única herramienta que protege nuestros datos y nuestra privacidad. Queremos simplificarlo todo, pero nadie parece darse cuenta de que las contraseñas ya no son suficientes para protegernos en el mundo digital en el que vivimos. 

El primer paso es tener una cultura digital. No es necesario ser un experto en procesos de autenticación, pero debemos tener un conocimiento general de estos temas para ser conscientes de los peligros a los que nos enfrentamos. Recordemos que el eslabón más débil del proceso de seguridad es el usuario, que muchas veces actúa de forma imprudente o sin conocimiento. 

Si valoramos la seguridad de nuestros datos, es hora de adoptar modelos de autenticación más efectivos. Y si los servicios que utilizamos no cumplen con los nuevos estándares de seguridad, debemos considerar si realmente es necesario compartir nuestros datos con ellos. 

¿Es justo celebrar el «Día Mundial de la Contraseña»? Creemos que es hora de actualizar el objetivo y cambiar el nombre a «Día Mundial de la Cultura Digital», para fomentar y difundir el conocimiento digital y hacer que las personas sean conscientes de los riesgos a los que se enfrentan debido a la falta de sensibilización y concienciación.