Es cierto, la contraseña más usada del mundo es también la más inútil. ¿Pero es realmente tan grave como parece?
En
la semana, The Register publicó los resultados de una investigación de
Keeper Security, y parece que nada ha cambiado. La contraseña más usada sigue siendo 123456.
Eso representa el 17% de las claves analizadas. Otro dato interesante:
la lista de las contraseñas más usadas no ha cambiado sustancialmente en
los años recientes, y las primeras siete del top 15 usan seis
caracteres o menos.
Previsiblemente, la conclusión de Keeper
Security es que la educación en seguridad tiene alcances limitados, lo
que, a la luz de otros fenómenos, resulta una obviedad. Las conductas
temerarias al conducir, la postergación de análisis médicos de rutina,
el consumo de sustancias peligrosas, la exposición desmedida al sol y el
uso de auriculares con suficiente volumen para quebrar un riel son
otros ejemplos en los que las campañas y artículos de divulgación no
alcanzan. Pero eso no significa que las cosas estarían igual sin tales
campañas y artículos. Estarían mucho peor.
De
modo semejante, divulgar los riesgos de usar contraseñas débiles no va a
cambiar la actitud de un porcentaje significativo de los usuarios.
Pero, al revés de lo que ocurre en otro ámbitos, como el del tránsito,
no es posible aquí aplicar multas. Es verdad que hay cada vez más sitios
que informan que la contraseña es débil, pero, por razones evidentes,
ninguna organización va a impedir que alguien se registre porque su
clave puede adivinarse o quebrantarse con facilidad. Casi el único
espacio en el que uno se rompe la cabeza intentando que el sitio acepte
una contraseña es en el home banking y en la computadora que usamos en
la oficina. Pero todo esto, a la larga, también se puede burlar. Los
algoritmos son capaces de detectar si una clave es robusta frente a un
ataque de fuerza bruta, pero no determinar si estamos usando una cadena
de caracteres que caerá ante un ataque de inteligencia.
Dicho más
sencillo, los métodos de autenticación que venimos usando casi desde los
albores de la informática están mal diseñados. Pero no es que sus
gestores fueran unos mentecatos. Con sólo un teclado como entrada de
datos, era bien poco lo que podía pergeñarse.
Ahora
es diferente. Varios modelos de celulares de media y alta gama tienen
lectores de huellas digitales, lo que es una bendición. Es posible
también usar el iris para identificar al usuario, y en lo sucesivo,
podrían aparecer otros métodos. Desafortunadamente, hay un punto suelto
en este delicado tejido. Cuando tengo las manos apenas húmedas, el
smartphone no reconoce mi huella. Al tercer intento, ¿qué hace? Me pide
una contraseña. ¡Buh!
Cierto, con sensores cada vez mejores, o con
la lectura del iris, esto no debería ocurrir. Pero esa no es la
cuestión. La cuestión es que un método de autenticación debe tener por
fuerza un salvaguardia. Lo único que no falla -llevamos décadas
probándolo- son las claves escritas.
Así
que, como ocurre con otras tecnologías, aunque venimos anunciando su
inminente desaparición desde hace casi 20 años, las contraseñas se
resisten tenazmente a desaparecer; incluso cuando hay un número importante de alternativas.
Sin mencionar que, en el caso de los métodos biométricos (iris,
huellas), hay un evidente riesgo para la privacidad. Me guste o no, ya
toqué el pianito para el fabricante del teléfono y el del sistema
operativo. Como mínimo.
Sumado a esto que las claves, fuertes o
débiles, se roban en masa en brechas de seguridad que, por desgracia,
son casi cotidianas, el escenario es tan grave que podríamos empezar a
aconsejar no usar contraseñas en absoluto y daría lo mismo. Pero no,
esperen, no hagan eso en sus casas.
Bueno, en realidad, cada vez
más personas están subiéndose a la Red sin contraseña alguna. La
Internet de las Cosas (IoT, por sus siglas en inglés) es un gigantesco flanco entre mal protegido y sin protección alguna. Pero dejemos esto de lado por hoy.
¿Cuánto es 17 por ciento?
Me pregunté, al ver las nuevas estadísticas sobre las contraseñas que usamos: ¿es realmente tan grave un 17% de 123456?
Tengo
la impresión de que la situación es mucho menos catastrófica de lo que
parece. En primer lugar, el hecho de que la lista de claves más usadas
no haya cambiado sustancialmente en (al menos) una década debería
indicarnos algo. Existe -y casi con toda certeza seguirá existiendo- una
proporción de personas que por ignorancia, por inconsciencia o por
indolencia no usan buenas claves. Ocurre en todos los órdenes y, en
lugar de tomarlo como una razón para bajar los brazos, habría que
interpretarlo como un dato inmutable de la realidad. Y como un incentivo
para seguir divulgando. Sin esos esfuerzos no se habría mantenido en 17
por ciento. Sería mucho mayor.
Por otro lado, hoy es más
relevante usar la autenticación de múltiples factores, porque buena
parte de las contraseñas (robustas o débiles) se roban en masa en
brechas de seguridad. La autenticación de múltiples factores es un
método que, típicamente, te envía un PIN por mensaje de texto para
completar el ingreso al sitio. Se la puede desactivar para equipos
autorizados (tu notebook, por ejemplo) y es un método muy sólido, porque
el pirata puede haber obtenido tu contraseña, pero es más difícil que
además tenga tu teléfono.
En tercer lugar, cada día, cientos de
cuentas se crean y de inmediato se abandonan, por un número de motivos.
Es poco probable que esas cuentas sean bendecidas por una contraseña
robusta. Lo mismo ocurre con aquellos servicios que o no tienen mucha
importancia para nosotros o no nos parecen importantes para los
delincuentes (sea esto cierto o no).
En cuarto lugar, también hay
una cantidad significativa de cuentas creadas de forma automática, un
dato que se advierte en el listado de Keeper Security allí donde aparece
un porcentaje grande de claves aleatorias, pero siempre las mismas. Por
ejemplo, 3rjs1la7qe (puesto 20). Ahora, así como hay piratas más
cuidadosos con sus contraseñas, otros programarán sus autómatas para
que pongan claves menos robustas.
De modo que ese 17% no
necesariamente está representando la proporción real de usuarios que
usan su correo o su Facebook con una clave tan inútil.
Concedido, 123456
pasará a la historia como ícono de la torpeza informática. Es verdad,
un número de contraseñas robustas bien jerarquizadas y la autenticación
de múltiples factores son siempre medidas inteligentes. Pero tengo la
impresión de que, pese a las preocupantes estadísticas de Keeper
Security, el público ha madurado más rápido que la industria de
Internet.
Tengo en mi pantalla, todo el tiempo, las alertas del Instituo SANS y del US-CERT,
entre otras, y las brechas de seguridad y las vulnerabilidades, que los
piratas explotan para robar contraseñas y otros datos sensibles, se
cuentan de a cientos. Prácticamente no pasa una semana sin una brecha
más o menos importante. Y las menores, muchas de las cuales no llegan a
los titulares, se cuentan por decenas cada día. Peor todavía, cuando uno
mira las siete causas principales
por las que tales brechas ocurren, se hace todavía más claro que el
cibernauta promedio es más prudente que muchas organizaciones. Hasta las
elecciones en el país más poderoso de la Tierra han sido hackeadas.
Dato: en 2016 el número de brechas de seguridad dadas a conocer creció un 40 por ciento. No quiero imaginar el calvario de los administradores de sistemas, que por un lado deben lidiar con el que pretende usar 123456 y, por el otro, con directorios y funcionarios que le atribuyen a la seguridad informática una importancia secundaria.
Es cierto, 123456
no es la única clave a la vez popular e inútil. Pero aún así, en mi
opinión, tenemos problemas mucho más serios que la tristemente célebre
contraseña que no sabe ni contar hasta diez.