El Día Mundial de la Contraseña, fecha que se celebra todos los años el primer jueves de mayo, es una oportunidad para tener presente que nuestras contraseñas son las llaves que protegen nuestra información personal. Sin embargo, el uso de contraseñas pobres, incluyendo el uso de la misma contraseña para acceder a múltiples cuentas, debilita nuestra seguridad y puede representar serios riesgos para nuestra privacidad.
Sería bueno imaginarse si los diversos contendientes por el título del “inventor de la contraseña” hubieran imaginado el alcance que tendría siglos más tarde. Pero dejando de lado esta interrogante sin respuesta, la rutina que todos tenemos para acceder a una cuenta funciona así: te registras con tu usuario y contraseña que solo tú sabes y accedes. Y para acceder nuevamente solo deberás regresar a la página de inicio y colocar tus credenciales de acceso. Por supuesto, como sabías que esto sucedería tomaste ciertas “precauciones”: configuraste la cuenta con una contraseña fácil de recordar.
Y ahí es justamente donde aparecen los problemas. El “fácil de usar” frecuentemente equivale a contraseñas cortas y simples, así como fáciles de adivinar. Esto resulta especialmente cierto para los programas de descifrado de contraseñas que se hacen pasar por un usuario e intentan acceder a tu cuenta a la fuerza.
En el otro extremo, un contraseña larga, compleja y aleatoria es difícil de descifrar, pero también difícil de recordar. Y ahí recae el problema (sí, ¡de nuevo!). Recordar muchas contraseñas complejas y ser capaz de memorizar para que servicio online corresponde cada una es demasiado, a menos que tengas la memoria de un elefante.
De hecho, utilizar “frases como contraseña”, como puede ser “¡Me ENCANTA leer WeLiveSecurity!, puede ser de una buena idea, ya que puede resultar fácil de recordar y es al mismo tiempo lo suficientemente robusta. Sin embargo, ¿es razonable creer que los usuarios recordarán las distintas frases elegidas como contraseña para cada cuenta o servicio online que tengan?
Algo tienes que dar a cambio
Lo que mucha gente hace ─al menos aquellos que no tienen la memoria de un elefante- es arriesgarse en términos de seguridad y utilizar contraseñas atroces, como “123456”, sin preocuparse demasiado por lo que pueda pasar. Esto, claramente, hasta que alguna de sus cuentas sea vulnerada y su información personal se vea comprometida, o incluso peor: que roben su identidad o dinero. Después de todo, forma parte de la naturaleza humana no darle importancia a los riesgos que conlleva una decisión de este tipo hasta que el problema nos toca de cerca.
En efecto, por momentos uno se siente como si no pudiera tenerlo todo: es decir, muchas cuentas online, cada una con contraseñas complejas, fáciles de recordar y únicas. No es de extrañar que en estos casos nuestra paciencia se termine por agotar y que esto nos lleve a utilizar atajos mentales que terminen estropeando lo que comenzó bien. Dicho de otra manera, que terminemos reutilizando una contraseña.
Si bien esta decisión atenta contra la seguridad del usuario, puedes apostar lo que quieras que la reutilización de una contraseña está al mismo nivel que las demás prácticas que se desaconsejan en términos de autenticación. Contraseñas creadas con una estrategia ya utilizada, incluyendo contraseñas levemente modificadas para cada cuenta (parcialmente reutilizadas), tienden a ser predecibles y, por lo tanto, igualmente de fáciles de vulnerar.
¿Por qué es tan riesgoso reutilizar contraseñas?
Credential stuffing es un término utilizado para referirse a las vulnerabilidades expuestas en las credenciales de acceso y que son aprovechadas por los atacantes. Esto puede convertirse en un problema grave no solo cuando un atacante utiliza credenciales de acceso robadas o filtradas, sino cuando el acceso a esa primer cuenta le permite al criminal acceder a otras cuentas –frecuentemente de mayor valor–, incluso gracias a la realización de pruebas de combinaciones usuario/contraseña los ciberdelincuentes logran acceder a otras cuentas y a muy bajo costo.
Si se realiza un ataque y las credenciales no están almacenadas mediante funciones Hash+Salt (piensa, por ejemplo, el ataque contra Adobe en 2013), una contraseña robusta o incluso la utilización de “frases como contraseña” puede que no sean lo suficiente para frustrar un ataque que intenta tomar posesión de una cuenta si utilizas la misma contraseña para acceder a múltiples servicios.
Doble factor de autenticación
Muchos intentos de adquisición de cuentas pueden frustrarse con la implementación del doble factor de autenticación (2FA, por sus siglas en inglés). Un factor de autenticación adicional provee de una capa adicional de defensa aparte de la contraseña. Asimismo, esta estrategia resuelve algunas debilidades que pueden estar presentes en la contraseña elegida.
Sin embargo, muchos proveedores de servicios online implementaron el doble factor en sus esquemas de autenticación. Adicionalmente, como muestra un reciente informe sobre la tasa de adopción del doble factor de autenticación en las cuentas activas de Google (debajo del 10%), incluso estando disponible la opción durante años, la mayoría de los usuarios simplemente no aprovechan esta utilidad.
También existen otras formas de autenticación, aunque no tan extendidas, como reconocimiento visual, el lector de huella digital o algoritmos que analizan características del comportamiento (por ejemplo, patrones de ritmo), entre otros.
¿Existe otra alternativa?
Seguramente no decidas cancelar las cuentas online a las que accedes hasta encontrar la manera de administrar con facilidad contraseñas seguras, y también es poco probable que utilices estrategias mnemotécnicas con el fin de recordarlas. Teniendo en cuenta esto, lo más práctico es colocar todas las contraseñas en una suerte de caja fuerte digital. Y esa opción existe con los programas de administración de contraseñas que, en el mejor de los casos, cifra y almacena todas sus contraseñas de manera local y sin la necesidad de conexión a Internet.
De cualquier manera, asumiendo que confías en la implementación de tu administrador de contraseñas, entonces la seguridad de tus cuentas estará determinada por la calidad de la contraseña que elijas para acceder a este programa donde alojas las demás claves de acceso.
Para que quede claro, las contraseñas tienen defectos. Excepto que, en esta era de Internet, no exista otro método de autenticación para los usuarios. Si bien se predijo su desaparición en 2004, las contraseñas se han mantenido y parece ser que se quedarán por un tiempo más con nosotros.