La inocencia robada en el mundo de las contraseñas

Los hackers conocen muy bien nuestros patrones de seguridad en línea y pueden en menos de 100 intentos entrar a nuestras cuentas. Aquí cómo protegerse más.
“Nuestra mala construcción de contraseñas es predecible. Con grandes brechas en sitios web populares, los hackers llegan a conocernos mejor que nunca”.
“Nuestra mala construcción de contraseñas es predecible. Con grandes brechas en sitios web populares, los hackers llegan a conocernos mejor que nunca”. (Ilustración: Shutterstock)

La inocencia se puede perder de muchas maneras. Un fin de semana el año pasado, justo cuando mi ingenuidad sobre el mundo en línea de las cortinas no suecas llegó a un final abrupto, entré en un área en la que perdí mi inocencia hace mucho tiempo: las prácticas de almacenamiento de contraseñas de las compañías. 

Cuando se trata de cualquier ilusión sobre los consistentes estándares de seguridad digital, vale la pena desglosarlos. Las brechas de datos que ocurrieron el año pasado y afectaron a millones de usuarios de LinkedIn, Last.fm y Yahoo, por nombrar algunas, aumentaron la urgencia. 

Pero de vuelta a las cortinas que trataba de pedir: el sitio web no me permitía ingresar mi nueva dirección. Llamé a la línea de ayuda y me dieron un número de cliente, la vieja dirección, el nombre completo y la fecha de nacimiento. Me pidieron confirmar la segunda y quinta letra de mi contraseña para “seguridad adicional”. Eso fue más sorprendente que el costo adicional por el plisado. Es una señal de una mala seguridad. 

Si la contraseña es MonkeyBatman1. Una compañía no debe almacenar esto en su base de datos en forma plaintext (texto sin formato). Al elegir MonkeyBatman1 por primera vez debe pasar por un tipo especial de algoritmo matemático llamado función hash criptográfica. Es como una trituradora superinteligente. Una variación de la trituradora presenta el siguiente resultado: dadc166c3c88e9b4cbe19efc5acbc6e6. Esto -la contraseña hashed- es lo que se debe almacenar en la base de datos de la compañía. 

La importancia del hashing es clara cuando se roba una base de datos. 

Además de cualquier valor que pueda obtener un atacante de un sitio comprometido, si todas las contraseñas están en plaintext en la base de datos robada, fácilmente pueden ir tras tus cuentas en otros sitios. Probarán MonkeyBatman1 como contraseña y sus variables predecibles como MonkeyBatman2. Pueden obtener acceso a una cuenta más valiosa o construir una imagen de tu identidad en línea y cometer fraudes o vender la base de datos en la red. 

Qué califica como un buen algoritmo de trituración es en sí mismo una función del poder informático moderno. Lo que alguna vez se consideró seguro ahora es vulnerable. Por ejemplo, 178 millones de contraseñas en hash tuvieron una brecha de seguridad de 2012 en LinkedIn. Un equipo recuperó el plaintext de 85% de las cuentas en un día. Otro ejemplo fue el del sitio de adulterio Ashley Madison.

TE RECOMENDAMOS: Tras hackeo de Yahoo, Verizon busca nuevos acuerdos de compra

Pero las cortinas. La única manera por la que la empresa me pidió saber la segunda y quinta letra de mi contraseña es porque la almacena en texto sin formato. Es verdad, la empresa puede tener medias adicionales de seguridad, pero aún así es una mala práctica. 

Si no comienza a usar un algoritmo de hashing decente, no solamente perderán mis cortinas.

Tus contraseñas son más vulnerables de lo que crees 

“El nombre del perrito puede ser el que quieras”, le dice el padre a su hijo en el cómic de Bizarro, “pero asegúrate que sea algo memorable. Lo vas a usar como pregunta de seguridad por el resto de tu vida”.

“Poppy95”, el nombre del perro y unos números no es una contraseña segura, pero es lo suficientemente habitual y es un ejemplo de un hecho incómodo: nuestra mala construcción de contraseñas es predecible. Con grandes brechas en sitios web populares, los hackers llegan a conocernos mejor que nunca. 

La gente a menudo utiliza animales (“chango”), patrones del teclado (“zxcvbn”), bromas de papá (“dejameentrar”), equipos deportivos (“liverpool”) y angustia (“loquesea”). Todas estas resultaron populares entre los usuarios de Ashley Madison, que hackearon el año pasado. Y no solamente los adúlteros utilizan contraseñas débiles, muchas surgieron en la filtración del servicio de música Last.fm. 

Si piensas: “Tal vez use la misma contraseña como base pero hago cambios para diferentes sitios”, bueno, pues esta es una práctica común detectada por un grupo de la Universidad de Illinois en Urbana-Champaign. Al usar las contraseñas de los mismos usuarios en diferentes filtraciones, probablemente puedan adivinar casi un tercio de las contraseñas cambiadas en los primeros 100 intentos o menos. Los cambios populares implican dos o tres caracteres agregados. Cambios de secuencia de teclado, cambio de mayúsculas y leet speak, cambiar una s por una $, también fue común. 

Por cierto, los medidores de la fortaleza de la contraseña no ayudan ya que subestiman a los hackers

TE RECOMENDAMOS: Estados, vidas y bienes, a un clic de ciberterroristas rusos

Hay un poco de aliento. Los investigadores de la Universidad de Pennsylvania hicieron pruebas sobre si la gente podía identificar las contraseñas más seguras. A los participantes les fue bien, identificaron el beneficio de las mayúsculas, los dígitos y los símbolos en medio de la contraseña, y evitar los nombres. Sin embargo, también sobreestimaron la utilidad de agregar dígitos, y eligieron equivocadamente “astley123” como más seguro que “Astleyabc”. La primera es más fácil de adivinar debido a la omnipresencia del patrón de agregar dígitos. 

Los participantes también “subestimaron las malas propiedades de seguridad de construir una contraseña en torno a patrones comunes de teclado y frases comunes”. Equivocadamente creyeron que “ilovyou88” es más seguro que “ieatkale88”. 

Los investigadores concluyeron que ese tipo de malentendidos y malas decisiones de contraseñas, proviene de que se subestima el riesgo de posibles ataques y la falta de conocimiento sobre lo peligrosas de las técnicas de construcción más comunes. Esto no sorprende, señalan, ya que no vemos las contraseñas de los demás. Desafortunadamente, los hackers sí.