Se aproxima el fin de las contraseñas

El futuro de la contraseña está por desaparecer. La seguridad en la Red será tan importante que dependerá de algo físico: una llave, el móvil.

Y es que los seres humanos somos muy previsibles creando contraseñas. La mayoría tiene entre 6 y 8 caracteres porque así nos lo aconsejaron. Un 55% tiene minúsculas y algún número, según esta base de datos de más 500 millones de claves filtradas. Las mayúsculas y los signos especiales aparecen solo en un 0,6% de ellos.

Además, un 52% de los usuarios recicla sus códigos de acceso, según un estudio de la Universidad de Virginia Tech, “servicios sensibles, como webs de compra y email, tienen la mayoría de passwords repetidos o (levemente) modificados”.

El futuro cercano

Falla de seguridad Whatsapp

Un equipo codirigido por Sirivianos ha creado uno de estos sistemas, ReCRED, donde la seguridad depende del acceso al móvil mediante factores biométricos: huella, reconocimiento facial.Esto pasa la carga de la autenticación del usuario al móvil que siempre llevamos encima“, explica. Sirivianos cree que este sistema se generalizará en un plazo de 5 años.

Google y otras plataformas ya ofrecen el doble factor de autenticación: si se activa esta modalidad, el acceso a la cuenta de un ordenador se controla desde el teléfono móvil. Google ofrece ya su Sistema de Seguridad Avanzado, que obliga a comprar dos llaves físicas, limita las apps de terceros dentro del correo y trata de interceptar mensajes de suplantación de identidad.

Otro modo de dejar atrás las contraseñas será el análisis del comportamiento online: “Hoy se investiga en sistemas de autenticación continua, que monitorizan las acciones del usuario. Si el comportamiento difiere suficientemente de lo esperado, el sistema toma medidas“, dice Andrés Marín, profesor de la Universidad Carlos III de Madrid.

Lee aquí: Cómo saber si tu cuenta de Facebook fue atacada por hackers

 

Sin daños que lamentar, por ahora

Incomprensiblemente, aún no ha habido catástrofes generalizadas que afecten a la ciberseguridad de los usuarios comunes.

Bill Nurr, antiguo director del National Institute of Standards and Technology de Estados Unidos, ahora jubilado con 73 años, fue quien en de 2003 aconsejó el uso de contraseñas de al menos 8 caracteres que combinaran letras y números. Pero en 2017 afirmó en una entrevista a The Wall Street Journal que lamentaba su propuesta: había creado un ejército en busca de combinaciones sencillas de números y letras. Lo que parecía un buen consejo se convirtió en millones de “abcd123” o “password1”.

Cómo rectificar

Una mejora posible es alargar esos 8 caracteres a 20 o más. Pero una sola combinación maravillosa tampoco es la solución. Mark Risher, director de seguridad de Google, ha puesto de manifiesto los riesgos de usar repetidamente una sola contraseña, por compleja que sea. Es mejor alternar passwords distintos, aunque sean más sencillos.

“Nuestra investigación ha probado que, si alguien usa el mismo código en muchas webs”, afirma, “la probabilidad de ataque se multiplica por 10. Pero si alguien cae en una trampa de phishing [suplantación de identidad o captura fraudulenta de datos] la probabilidad de que un [nuevo] ataque tenga éxito se incrementa por 500″, explica.

La solución ideal es aparentemente sencilla: una contraseña distinta y compleja para cada web. Pero aquí viene el problema: ¿quién recordará docenas de “d$%29fht_pp*!2o8”? “Escríbelo en un papel o aún mejor archívalo en un gestor de passwords”, dice Risher.

Las grandes tecnológicas tienen sus propios gestores. Hay además apps específicas, cuyo uso no siempre es sencillo. Hay una solución intermedia aceptable: crear frases o grupos de palabras. Contraseñas de 35 caracteres (mejor con alguna ñ) son más difíciles de reventar.

También puedes leer: Facebook y sus nuevos controles de seguridad: ¿más poder al usuario?

Isabel Cisneros