Las contraseñas van camino de la extinción, pero eso no va a ocurrir de inmediato
Se las roba en masa y los usuarios las reutilizan, por lo que resultan uno de los eslabones más débiles en la cadena de la seguridad informática; se están ensayando muchos métodos nuevos, y algunos ya están instalados, como la autenticación de múltiple factor. Pero hay mucho más
- 7 minutos de lectura'
“Hoy los delincuentes pueden descifrar contraseñas en minutos mediante técnicas de ingeniería social en combinación con inteligencia artificial, por lo que es recomendable que los usuarios actualicen sus credenciales cada tres meses, como mínimo”, explica Martín Medina, BDM de ciberseguridad en BGH Tech Partner.
En un contexto en el que, según datos provistos por la firma Kaspersky, el 35% de los usuarios latinoamericanos usa siempre las mismas contraseñas, los expertos consideran que este difundido y a la vez impopular sistema de acceso se está volviendo cada vez menos frecuente a medida que surgen métodos de autenticación que son más más convenientes y también, en principio, más seguros.
Si bien es cierto que la obsolescencia de las claves tradicionales tiene que ver con la sofisticación de los ciberdelincuentes, también es verdad que los usuarios son en parte responsables de este fenómeno. Como explica Martina López, investigadora de seguridad informática de ESET Latinoamérica, “la reutilización de credenciales también ha contribuido a la vulnerabilidad de las contraseñas escritas. Los usuarios tienden a utilizar las mismas contraseñas para múltiples servicios debido a la dificultad de recordar y administrar varias contraseñas únicas. Entonces, cuando un atacante obtiene acceso a una cuenta con credenciales reutilizadas, es probable que también pueda acceder a otras cuentas del mismo usuario, lo que aumenta el daño potencial y la cantidad de datos comprometidos”, comenta.
Una lenta agonía
Si bien hay empresas que le exigen a los usuarios ciertas condiciones mínimas al momento de crear una contraseña, ya sea en cantidad de caracteres o prohibirle elegir números como su fecha de nacimiento, el problema es muchas veces esas mismas empresas no siguen ciertos requerimientos importantes. “Por ejemplo, si yo tengo una tienda en línea, un criminal puede invadir mi sitio web y obtener la base de datos con los mails de los clientes. Es decir que el problema está en cómo las empresas y las entidades cuidan nuestras contraseñas”, explica Fabio Assolini, director del Equipo de Investigación y Análisis Global para América Latina en Kaspersky.
Asimismo, es sabido que existe la compraventa de bases de datos de credenciales robadas, e incluso los delincuentes luego apuntan a múltiples sitios para obtener acceso, sabiendo que algunos usuarios reutilizan las contraseñas. De esta forma, tal y como sostiene el Foro Económico Mundial, “en términos de ciberseguridad, la gestión de contraseñas débiles es fundamental para todo el ecosistema criminal”. En esta línea, López explica que últimamente los métodos de autenticación que no dependen exclusivamente de contraseñas escritas han ganado popularidad y se utilizan cada vez más porque, entre otros motivos, “las brechas de seguridad y filtraciones masivas de contraseñas a lo largo de los años han puesto de manifiesto la fragilidad de depender únicamente de las contraseñas escritas”.
Alternativas
Amazon, Google y Microsoft son algunas de las firmas que apoyan la eliminación de contraseñas. Por ejemplo, Google Workspace tiene un programa experimental para habilitar claves de acceso como reemplazo de las contraseñas. De esta manera, el nuevo método de inicio de sesión brinda a los usuarios empresariales un medio de autenticación a través de huellas dactilares y reconocimiento facial, entre otros.
Definitivamente, las contraseñas no son la única forma de autenticación. Por ejemplo, la autenticación de múltiple factor (MFA, por sus siglas en inglés) es la práctica de usar más de un método para verificar que los usuarios son quienes dicen ser. “Por ejemplo, un sistema banca online puede requerir que los clientes ingresen su nombre de usuario y contraseña, y luego un código que se envía a su teléfono móvil por mensaje de texto”, ilustra Medina.
Entre las alternativas que se imponen en el mercado está el acceso por biometría, que se basa en los atributos físicos que identifican de forma única a las personas. Como siempre los tenemos con nosotros, son fáciles de usar. Estamos hablando de huellas dactilares, reconocimiento facial y de iris. Con estos dos primeros sistemas ya esta posible desbloquear smartphones. Sin embargo, Assolini señala que, como los datos biométricos no pueden ser modificados por nadie, es un problema cuando alguien los roba, por eso aconseja usar el sistema de doble autenticación. De todos modos, el experto explica que esta situación podría servir para pedir un rescate a una empresa, pero que no es posible reutilizar las huellas dactilares o cualquier otro similar para ingresar a la cuenta de otra persona.
Sobre este tema, desde la firma Veritran aclaran que la biometría se perfila como una tecnología prácticamente infalible en lo que a seguridad de operaciones se refiere, especialmente en el terreno de la banca digital. “Esto se debe a que utiliza las características físicas de las personas y sus patrones de comportamiento para confirmar su autenticidad. Para verificar un rostro, la biometría 3D toma la distancia entre las distintas partes de la cara; por ejemplo, entre los ojos y la nariz, o la nariz y la boca. Luego, toma una serie de fotografías en movimiento para demostrar que la persona está viva. Este proceso crea un patrón biométrico o face-map, que solo puede generar una persona viva. Por varios factores, la biometría 3D permite detectar que del otro lado hay un teléfono transmitiendo una imagen y no una persona, algo que la biometría 2D no podría lograr”, detallan, y aclaran que, si bien no existe un mecanismo que garantice la eliminación total del crimen cibernético, la multiplicidad de mecanismos de seguridad informática aumenta las probabilidades de combatir estas situaciones”.
Otra opción es la verificación por correo electrónico o mensaje de texto (SMS) se llama OTP (por One-Time Password) y son códigos que se usan como una medida más para verificar la identidad de la persona que está queriendo acceder, por ejemplo, a una cuenta en una red social. Javier Wullich, gerente de desarrollo de negocios de Plusmo, un integrador de telefonía celular que ofrece envíos masivos de SMS y servicios de mensajería omnichannel, comenta que “el proceso de verificación vía SMS implica que el usuario registre previamente su número de teléfono móvil en una página web o aplicación, para luego poder recibir un mensaje de texto con un código de verificación que debe ingresar en la página o aplicación a utilizar”. Como todos los celulares aceptan SMS sin necesidad de tener que instalar una app, se trata de una herramienta lista para usar. Además, Wullich menciona que se trata de un medio “efectiva, rápido y fácil de usar”.
Por otra parte, está la opción llamada Notificaciones Push, que ocurre cuando un usuario solicita ingresar a un sitio, y para eso recibe un enlace por mensaje de texto o correo electrónico y debe activarlo para obtener acceso. Por lo general, este link caduca después de ser usado o transcurrido cierto período de tiempo.
Las claves de seguridad de hardware son otra alternativa. En este caso se conectan a dispositivos de hardware mediante tecnología USB, USB-A, USB-C, NFC y Bluetooth. Como son pequeñas, se pueden cargar en el llavero.
Recomendaciones
Dado que los todos los usuarios deben gestionar varias decenas de contraseñas personales y laborales, los especialistas recuerdan que éstas nunca deben anotarse en papeles físicos ni en archivos digitales. Como buena práctica, recomiendan el uso de administradores de contraseñas. Se trata de un software diseñado para crear, administrar y proteger sus contraseñas de manera segura. No obstante, los administradores de contraseñas más populares han exhibido vulnerabilidades que le permitieron a los delincuentes obtener credenciales.
“Es poco probable que las contraseñas escritas desaparezcan por completo en un futuro cercano, ya que han sido ampliamente utilizadas y arraigadas en la seguridad informática durante mucho tiempo. Sin embargo, es posible que sigamos viendo una tendencia hacia la adopción de otras opciones de autenticación más seguras y convenientes que complementen o mejoren la seguridad de las primeras”, concluye la experta de ESET.
Otras noticias de Seguridad informática
Más leídas de Tecnología
Una edición especial. Así es el celular plegable con diseño nuevo de Samsung
Catastrófico. Una adolescente gastó los ahorros familiares completos en juegos para el celular
Comprobado. Las seis palabras que repiten las personas menos inteligentes, según la Inteligencia Artificial
El corazón de la sociedad moderna. Por qué está desapareciendo para siempre una parte importante de internet