SEGURIDAD
¿Olvidó su contraseña?
No se desespere. Aunque es todo un drama recordar las múltiples claves que necesita para vivir, según los expertos en tecnología hay soluciones para administrarlas.
Todo el mundo sabe que para tener una contraseña perfecta hay que crear palabras extrañas con caracteres, números, mayúsculas y signos. La clave ideal debe lucir más o menos así: M1c0Ntr4$3ñ4. El padre de esa recomendación es Bill Burr, un experto que como miembro del Instituto de Estándares y Tecnología de Estados Unidos escribió un manual para manejar claves en 2003. Además de estos galimatías, en su texto proponía cambiarlas cada tres meses.
En un momento en el cual la gente está más expuesta a servicios en internet, esa recomendación creó todo un lío. Hoy un individuo tiene que manejar más de 30 claves en su vida, y recordarlas implica un esfuerzo mental impresionante. Esto es más grave si se tiene en cuenta que “cada canal electrónico genera políticas de seguridad específicas como cambiarlas periódicamente”, dice David López, de la firma de seguridad Easy Solutions. Según Cormac Herley experto de Microsoft Research, los seres humanos gastan el equivalente a 1.300 años cada día escribiendo claves en sus dispositivos para tener acceso a sus cuentas.
Puede leer: ¿Por qué ante el atentado de Barcelona todos publican fotos de gatos?
Camilo Godoy es una de las tantas víctimas de este problema. Un día frente al cajero del supermercado no logró recordar la clave de cuatro dígitos para pagar su mercado, y al cabo de tres intentos su cuenta quedó bloqueada por protección. Frustrado y sin la compra, salió con una nueva diligencia: el dispendioso trámite para recuperarla. De hecho, según Carlos Castro, de la firma VeriTran, la recuperación de contraseñas es una de las operaciones más recurrentes en el día a día de los usuarios y paradójicamente para los bancos es una de las más caras. “El costo en promedio es de 2 dólares al año por usuario porque implica procesos manuales y tecnológicos y afecta a diferentes áreas de la entidad”, dice Castro.
Paula se quedó sin su cuenta de Twitter porque olvidó la contraseña. Desde hace mucho tiempo estaba conectada a esta red social permanentemente, pero en un viaje se desconectó y al tratar de ingresar no recordó su clave. La ayuda de ‘¿Olvidó su contraseña?’ no sirvió porque esa cuenta estaba asociada a un viejo e-mail cuya clave tampoco recordaba.
Ese tipo de situaciones ha desmotivado a quienes quieren ingresar a sitios que exigen usuario y contraseña, o lo que es más peligroso, los ha llevado a optar por generar claves simples, “casi idénticas para todos los sitios, con lo que se exponen a robos”, dice Dmitry Bestuzhev, del grupo de investigación y análisis de Kaspersky Lab. Por eso la semana pasada Burr, a sus 72 años y ya retirado, admitió al diario The Wall Street Journal que se había equivocado con su consejo. “Solo logré que la gente se volviera loca con este tema”. En realidad la recomendación no era mala, solo que llevó a que muchos perezosos y desmemoriados prefirieran las claves fáciles como el nombre de la hija, la mascota o la fecha de nacimiento de algún miembro de la familia. Simplemente agregaban un número y una letra en mayúscula para hacerla parecer más fuerte. Cuando se les pedía cambiarla hacían una simple variación de esa antigua contraseña.
Le sugerimos: El cachorro que se volvió el rey de las redes
Aunque no existe un método infalible, las nuevas guías consisten en desechar la norma de cambiarla cada 90 días. Según el nuevo manual revisado por Grassi, las claves solo se deben cambiar cuando se sospecha que hayan sido robadas. Así mismo, se descartó exigir caracteres y signos raros porque esas normas no ayudan a mejorar la seguridad, sino todo lo contrario. En 2011 Randall Munroe, creador del Webcomic Xkcd, demostró que decodificar la contraseña Tr=b4dor&3, hecha con las reglas de Burr, tomaba apenas 3 días. Por eso hoy los expertos prefieren frases completas escogidas al azar, sin espacio y fáciles de recordar. Munroe encontró, por ejemplo, que descifrar la frase correct horse battery staple, escrita sin espacios, tarda 550 años, un dato corroborado por expertos. “Después de 20 años de esfuerzos, hemos entrenado a la gente para usar claves difíciles de recordar para ellos mismos y fáciles de descifrar para los computadores”, concluyó Munroe.
Para López resulta increíble que en estos años la cultura de seguridad online haya marchado mucho más lentamente que las estrategias de los hackers para burlarla. Según Johan Torroledo, ingeniero de sistemas de una importante empresa colombiana, “los criminales lograron hacer un gran ‘hackeo’ en Sony gracias a que accedieron a un computador que tenía las claves en un documento del programa Excel llamado ‘password’ (contraseña en inglés)”. Para no ir más lejos, según un reporte conocido la semana pasada, el reciente ciberataque a los hospitales en Gran Bretaña conocido como Wannacry fue posible gracias a que 10 por ciento de las cuentas de sus empleados usaban claves muy débiles.
Y por si quedan dudas, un estudio hecho en 2016 encontró que las claves más comunes siguen siendo 12345, qwerty, 66666, password y google, entre otras, lo que demuestra una gran falta de creatividad e imaginación que favorece solo a los hackers. Aunque muchos suponen ser muy ingeniosos con sus claves, los expertos creen que las personas siempre las escogen basadas en las temáticas sobre las que ellas gravitan. Para mostrar esta debilidad, la experta en informática Lorrie Faith Cranor asistió a una cumbre de ciberseguridad ataviada con un traje cuya tela tenía estampadas muchas de estas claves populares. Al verla muchos reconocieron la suya y le prometieron que llegarían a casa a cambiarla.
Le recomendamos: Las redes sociales: Los reinos del odio
Para Bestusheve la longitud en este tema es importante “porque matemáticamente determina qué tan rápido una clave pueda descifrarse”. Su número ideal es 32 caracteres. “Pero eso no sirve de nada si la gente por comodidad pone 32 veces la letra A”. También aclara que una clave poderosa no funciona si el computador es susceptible a virus que pueden robar ese código. Ante esto la industria de la seguridad está adoptando otras medidas como usar dos factores de autenticación, por ejemplo, una clave fácil de recordar y un código QR. “Funciona como un doble candado”, dice Torroledo. También están las opciones biométricas que ya tienen algunos teléfonos inteligentes. Pero López considera que estas estrategias no serán la solución completa porque también es posible robar las huellas y usarlas para cometer crímenes electrónicos. Por eso lo mejor es la combinación de estas soluciones. Castro señala que muchos bancos tienen aplicaciones para los usuarios que funcionan con biometría y con un número dinámico, que es único por transacción “lo que simplifica el uso de claves en los bancos”. Los expertos también recomiendan aplicaciones como LastPass que ayudan a administrar las contraseñas y funcionan como una bóveda de claves encriptadas. “Solo debe aprender una única clave para tener acceso a esta aplicación”, dice Torroledo.
Tener claves seguras no es solo una necesidad, sino un imperativo moral según dice Tim Herrera, editor de la sección Smarter Living del diario The New York Times, porque “al dejar las cuentas de correo y de sus redes sociales vulnerables a los ‘hackers’ usted está exponiendo potencialmente a todas las personas con las que alguna vez ha interactuado en línea”. Solo basta imaginar sus chats privados en público para entender de lo que Herrera está hablando. Por eso, aunque es engorroso, hay que tomar cartas en el asunto y si todo lo que recomiendan estos expertos falla, opte por las claves de 32 dígitos, con caracteres difíciles y números. Y, sobre todo, busque un curso de mnemotecnia.