Sucesos recientes han puesto nuevamente en duda la efectividad de las contraseñas como medida de protección. En ESET hemos abordado esta cuestión con anterioridad preguntándonos "¿se trata del fin de las contraseñas?". Incidentes de seguridad relacionados con la extracción de grandes volúmenes de datos muestran la vulnerabilidad de los sistemas informáticos, y por ende de los datos que almacenan y procesan.
Por estas razones, diversas opiniones han manifestado que los mecanismos de autenticación basados en contraseñas han llegado a su obsolescencia. Sin embargo, el problema es complejo ya que la gran mayoría de las aplicaciones que utilizamos actualmente emplea este método de verificación para validar la identidad de los usuarios.
Actualmente se plantean alternativas para llevar a cabo la autenticación, como los sistemas que emplean la biometría para tal fin, sin embargo el cambio hacia estos mecanismos no será inmediato y luego de que se hayan establecido los estándares, se deberá tener un proceso de transición hacia los nuevos métodos de validación de identidad en los sistemas que actualmente empleamos. Mientras tanto, las contraseñas se han mantenido una opción viable debido a su costo y extenso uso.
En este sentido, es importante analizar la problemática actual e identificar las medidas de seguridad adicionales que tenemos a nuestro alcance y que podrían ser aplicadas.
Amenazas que atentan contra las contraseñas
En los siguientes puntos vamos a revisar las amenazas que se enfocan en vulnerar el método de autenticación basado en contraseñas:
- Malware
Una cantidad importante del malware que se desarrolla actualmente tiene como objetivo principal obtener información de los usuarios, principalmente contraseñas de cuentas de correo electrónico, de redes sociales y datos relacionados con transacciones bancarias en línea.
- Phishing
Estas campañas de engaño tienen como propósito primordial obtener credenciales de usuarios, a través de mensajes que dirigen a sitios falsificados (generalmente de instituciones bancarias), donde la información que el usuario ingresa es robada.
- Ataques de diccionario
Se trata de intentos secuenciales de autenticación de usuarios que utilizan palabras ordenadas alfabéticamente contenidas en grandes archivos denominados diccionarios. El éxito del ataque tiene como base dos factores: que el usuario utilice una palabra de uso común como contraseña y que esa palabra se encuentre dentro de la lista del diccionario.
- Ataques de fuerza bruta
Al igual que el ataque de diccionario, consiste en intentos secuenciales de autenticación con la diferencia de que se utilizan combinaciones de caracteres de una longitud determinada. A mayor cantidad de caracteres en una contraseña, mayor es la cantidad de combinaciones posibles, lo que se traduce en más tiempo de procesamiento requerido para descifrar la contraseña.
- Ataques a proveedores
Últimamente se han observado ataques enfocados en sitios legítimos que almacenan información sensible, que funcionan a través de la vulneración y exposición de las bases de datos donde se almacenan los datos de los usuarios. Generalmente estas bases de datos almacenan hashes (cadena de caracteres que identifica los archivos unívocamente) y no las contraseñas, pero es posible descifrar estas cadenas de caracteres para acceder a las claves.
Las amenazas que atentan contra las contraseñas son diversas, por este motivo las medidas de seguridad a considerar también deberían ser variadas.
Diferentes enfoques deben ser tomados en cuenta por los distintos actores involucrados con el manejo de la información. En este sentido, es necesario trabajar de manera conjunta con la idea de proteger la información.
Desde la perspectiva de los usuarios no basta con seguir las buenas prácticas relacionadas con las contraseñas, como emplear una contraseña extensa y compleja, emplear contraseñas distintas para servicios diferentes o cambiarlas con regularidad. Es necesario utilizar medidas adicionales, como instalar y actualizar soluciones antimalware, que eviten el robo de datos por parte de los códigos maliciosos (como keyloggers) o el uso de herramientas que bloqueen los ataques antes mencionados.
Por su parte, las empresas que ofrecen servicios que requieren autenticación, pueden llevar a cabo prácticas como cifrar la información de los usuarios contenida en sus bases de datos. Llevar a cabo auditorías de seguridad de manera periódica en sus sistema de información, con la intención de identificar fallas y corregirlas de manera proactiva.
También, utilizar software actualizado en sus servicios u ofrecer alternativas a los usuarios, como los mecanismos de doble factor de autenticación, en donde además de la contraseña tradicional, se agrega una capa de seguridad a través del uso de una contraseña dinámica de un solo uso u OTP (One-Time Password). Por ejemplo, un código de verificación que puede ser enviado al teléfono celular del usuario.
El método de contraseñas es el que utilizamos en este momento y mientras en la industria no se estandarice alguna otra forma de autenticar, debemos enfocarnos en aplicar medidas de protección adicionales que eviten la materialización de las amenazas que hemos revisado. Cuando hablamos de seguridad de la información, un control no es suficiente.