BLOG

¿Está seguro que eligió bien su contraseña?

by | Aug 13, 2016 | Tendencias

[wtr-time]

A la hora de elegir contraseñas para proteger tu información hemos escuchado las recomendaciones que se repiten constantemente:

  • Al menos ocho caracteres
  • Alterna al menos tres de los siguientes grupos: mayúsculas, minúsculas, dígitos y caracteres especiales.
  • No reutilices contraseñas para diferentes servicios.

Para cumplir con estas recomendaciones, lo que mucha gente hace es tomar una palabra de seis letras o más, por ejemplo “telefono”, poner la primera letra en mayúscula, y añadirle un número y un carácter especial al final (o dos números). Cuando ingresas esa contraseña en LinkedIn te indica que es segura, y entonces ¿quién podría adivinar que mi contraseña es “Telefono10”?. Para intentar convencerte que la contraseña es segura, verificas Telefono10 en Password meter, según la siguiente figura:

¿Está seguro que eligió bien su contraseña?

Luego, decides usarla también en otros servicios como PayPal (incumpliendo la tercera recomendación, … pensando “a mi no me va a pasar”). Un buen día lees la noticia (reconocida por la propia LinkedIn en su sitio) que roban 167 millones de contraseñas de Linkedin, y revisando te das cuenta que alguien usó tu contraseña de Paypal 🙁  …No toda la culpa es tuya, ya que la filtración de LinkedIn se debió a la mala implementación de seguridad para proteger tu contraseña por parte de esta compañía. Pero tú debes hacer tu parte!

El  CERTSI, organismo de referencia en España para la resolución técnica de incidentes de ciberseguridad que puedan afectar a la prestación de los servicios esenciales en dicho país, nos trae un interesante artículo sobre lo que sí podrías haber hecho para mejorar tu contraseña, como aquí transcribimos.

A las tres recomendaciones anteriores agregamos:

  • No usar un patrón de los más sencillos para crear tu contraseña.

¿A que nos referimos? En tu caso el patrón fue [M]-[mmmmmmm]-[nn] (Mayúscula, minúscula… número número). Al usar un patrón se reduce el espectro de posibilidades de tu contraseña, y se aumenta el riesgo considerablemente. Las matemáticas son sencillas, el alfabeto español tiene 27 letras, 10 dígitos y digamos unos 50 caracteres especiales (que son más, pero tampoco vamos a entrar a contarlos). En total, para cada posición de tu contraseña de 10 dígitos, el alfabeto es más de 100 posibilidades (27 mayúsculas, 27 minúsculas, 10 dígitos y 50 especiales), hay más de 3.7 x 10^20 de posibles contraseñas. Con el uso de un patrón como el que hemos hablado, has reducido el campo de actuación a apenas 2.8 x 10^13 mucho más manejable. Con tanto robo de credenciales (no tenéis más que pasar por la bitácora para ver noticias al respecto) se está aprendiendo mucho de los patrones que las personas utilizamos para crear nuestras contraseñas de acceso a dispositivos.

KoreLogic security, una empresa que se dedica a hacer pruebas de penetración en empresas publicó en su blog una lista con las 100 topologías más comunes que se habían encontrado a lo largo de sus pruebas. Las 5 más comunes serían:

[M]-[mmmmm]-[dd] (una palabra de 6 letras con la primera mayúscula y 2 dígitos: Zapato10)

[M]-[mmmmmm]-[dd] (una palabra de 7 letras con la primera mayúscula y 2 dígitos: Perrito10)

[M]-[mmm]-[dddd] (una palabra de 4 letras con la primera mayúscula y 4 dígitos: Juan2014)

Cualquiera  contraseña que se ciña a estos patrones (o a alguno de los 100 primeros) debería ser considerada insegura, aunque las letras no formaran una palabra del diccionario. Sería recomendable que si eres el administrador de una página web, lo tuvieras en cuenta a la hora de implantar una política de seguridad para tu servicio tuvieras en cuentas estas topologías y las vetaras de alguna forma. Y como usuario, si las utilizas, deberías plantearte cambiar todas las contraseñas que utilices que se ciñan a alguna de estas topologías.

De hecho, los comprobadores online de fortaleza de contraseñas empiezan a tener en cuenta este tipo de patrones, según vemos el aviso siguiente de Kaspersky para nuestro ejemplo de contraseña Telefono10:

¿Está seguro que eligió bien su contraseña?

Aviso de howsecureismypassword.net ante la contraseña Telefono10

¿Está seguro que eligió bien su contraseña?

Hay formas sencillas de hacer las contraseñas más seguras, sin tener que recurrir a los siempre recomendables pero poco utilizados fuera del mundillo de la ciberseguridad gestores de contraseñas. Algunas de las recomendaciones que podrías tener en cuenta son:

  • Intenta no camuflar palabras conocidas: H4ck3r! no es una contraseña segura.
  • Usa varios caracteres especiales en la misma contraseña (procura que el signo de exclamación ! no sea uno de ellos, es el más utilizado).
  • No coloques adyacentes los caracteres (Telefon1o0 es más segura que Telefono10).
  • Procura que la contraseña no empiece con una letra.

Claro que cualquier patrón que se popularice pasa a ser inmediatamente uno a descartar. La sencillez para romper contraseñas está haciendo que se tienda a la utilización otros métodos para acceder a las cuentas de nuestros servicios online.

El segundo factor de autenticación (2FA) es un ejemplo claro. A través de una aplicación externa (como un SMS al número de móvil como en servicios similares Paypal, u otras aplicaciones como Google Authenticator) se recibe un código de verificación único y temporal para el acceso al servicio.

Es 2FA añade una buena capa de seguridad, pero está haciendo que los ciberdelincuentes se esfuercen en buscar medios para dejarlo sin efecto. Se están detectando ataques al 2FA a través de SMS haciéndose pasar por Google, de forma que intenta engañar al usuario para reenviar al criminal el 2FA.

Otras empresas implementan “candados digitales” como ocurre con Latch de forma que cuando alguien intenta acceder a tu usuario, se comprueba el estado del candado y se bloquea el acceso. 2FA y estos candados no protegen tu cuenta del robo de las BBDD de contraseñas de los servicios, por lo que si reutilizas la contraseña podrás tener problemas con aquellos servicios que no implementen el 2FA o permitan el candado.

Como estos métodos no solucionan el problema absolutamente, las empresas se mueven hacia adelante para añadir otra capa más de seguridad, dirigiendo sus esfuerzos hacia técnicas de reconocimiento biométrico. Recientemente Amazon ha patentado una tecnología que te obligará a hacerte una autofoto antes de poder realizar un pago. Con esa autofoto podrán hacer reconocimiento facial y autorizar la transacción o no en función del resultado del reconocimiento. Además para evitar que los usuarios falseen las fotografías, Amazon solicitará un gesto concreto (guiñar un ojo por ejemplo) para cada transacción.

Actualmente, la tecnología de Touch ID de Apple que viene integrada en sus teléfonos de última generación ya permite integrar la firma electrónica en algunas aplicaciones de bancos, lo que hace que para firmar sea necesaria la huella digital. Ahora bien, quizá confiarle los datos de tu firma electrónica a esta tecnología quizá no sea lo más recomendable según Kaspersky, pero, desde luego es una innovación y marca una línea hacia dónde se moverá el futuro de la autenticación de los usuarios.

Adaptación del artículo original: Uso de patrones en las contraseñas, o como arruinar tu propia seguridad | 13/07/2016 | Miguel Herrero (INCIBE) | https://www.certsi.es/blog/uso-patrones-las-contrasenas-o-arruinar-tu-propia-seguridad