La eficacia de los métodos de seguridad utilizados en servicios web ha estado en discusión en el último tiempo, mientras la comunidad de expertos, investigadores y compañías se pregunta cómo mejorar el proceso. Ante este escenario, Google decidió analizar qué tan conveniente es seguir usando preguntas de seguridad como método de validación para la restitución del acceso a cuentas, y llegó a la conclusión de que no son seguras.
Los motivos
Las respuestas "secretas" son demasiado fáciles de recordar para los usuarios y, en consecuencia, demasiado fáciles de adivinar para los cibercriminales. Pensemos en las veces que algún servicio web nos preguntó el apellido de soltera de nuestra madre, el nombre de nuestra primera mascota, escuela o maestra, o nuestra comida preferida.
De manera inversa, sin embargo, existen también escenarios en los que las respuestas son muy difíciles de recordar cuando se plantean preguntas que buscan un mayor grado de complejidad -por ejemplo, número de pasajero frecuente. En estos casos, los usuarios tienden a olvidar las respuestas que ingresaron: según el informe de Google, el 40% de los usuarios de Estados Unidos que hablan inglés no recuerda sus respuestas, y para el caso particular de la pregunta de pasajero frecuente, solo el 9% recordaba la respuesta correcta.
La conclusión
Analizando cientos de millones de casos, en los que se pidió restituir el acceso a cuentas de Google a través de respuestas a preguntas secretas, se concluyó que estas preguntas no son lo suficientemente seguras ni confiables como para ser usadas como único mecanismo para recuperar el acceso. De acuerdo con los datos relevados, la pregunta (y correspondiente respuesta) más fácil es "¿En qué ciudad naciste?", seguida de "¿Cuál es el segundo nombre de tu padre?".
Las respuestas, dice el reporte, son o bien un tanto seguras o fáciles de recordar, pero rara vez ambas cosas. A menudo contienen información comúnmente conocida o disponible públicamente, sobre todo si pensamos en la cantidad de información personal que los usuarios dejan al descubierto inconscientemente al utilizar redes sociales. Además, es posible que se encuentren en un pequeño conjunto de posibles respuestas por razones culturales (por ejemplo, un apellido común en determinados países).
Google afirma que:
- Con un solo intento, el atacante tendría chances en el 19,7% de los casos de adivinar las respuestas de los usuarios de habla inglesa a la pregunta "¿Cuál es tu comida favorita?" (era "pizza", por cierto)
- Con diez intentos, el atacante podría casi en el 24% de los casos adivinar la respuesta de los usuarios de habla árabe a la pregunta "¿Cuál es el nombre de su primer maestro?"
- Con diez intentos, podría adivinar en el 21% de los casos las respuestas de los usuarios de habla hispana a la pregunta "¿Cuál es el segundo nombre de tu padre?"
- Con diez intentos, tendría el 39% de chances de adivinar las respuestas de los usuarios de habla coreana a la pregunta "¿Cuál es tu ciudad natal?" y una posibilidad de 43% de adivinar su comida favorita
Entonces, ¿qué hacer y cómo reemplazar este método?
Lo cierto es que añadir más preguntas de seguridad solo haría el proceso más engorroso y lento, y elevar su complejidad probablemente también, ya que cuanto más difícil la respuesta, más chances hay de que los usuarios las olviden.
Por supuesto que es más difícil adivinar la respuesta correcta a dos (o más) preguntas que adivinar solo una, dice Google. Si un atacante tuviera diez intentos, podría adivinar la respuesta correcta para estas preguntas en el 6,9% y 14,6% de los casos, respectivamente.
Pero añadir más preguntas no parece ser la solución. Google propone a los administradores de sitios web la utilización de otros métodos de autenticación, tales como códigos de seguridad enviados a través de SMS o direcciones de correo electrónico secundarias, para autenticar sus usuarios y ayudarles a recuperar el acceso a sus cuentas.
En resumen, las preguntas secretas son un flanco utilizado frecuentemente por los atacantes con el fin de aprovechar información fácil de adivinar. Así como los usuarios deben tener la costumbre de contruir contraseñas largas y seguras, también deben considerar la seguridad de sus preguntas (y respuestas) secretas, ya que mientras sigan siendo utilizadas como método de retitución de cuentas, permiten el acceso sin necesidad de conocer la contraseña.