fbpx -->

¿Game-over para la contraseña?

By 06/05/2020Noticias

Con el propósito de alentar a los usuarios a nivel mundial a asumir el compromiso de fortalecer y cambiar sus contraseñas con regularidad, se ha elegido el primer jueves de cada mes de mayo para celebrar el Día Mundial de la Contraseña.

Visto primariamente y sin tomar en consideración ningún otro aspecto vinculado a la seguridad de la información, parece ser una buena cosa el estimular a usar contraseñas seguras y educar a los usuarios a convivir con ellas y gestionarlas adecuadamente.

Es sabido que cuanto más larga y compleja sea una contraseña, más alto será su work factor, lo que es lo mismo que decir que mayor será el esfuerzo computacional requerido para adivinarla y así acceder al sistema protegido, en forma no autorizada. Se estimula y a menudo se fuerza los usuarios a utilizar contraseñas con un work factor elevado, contraseñas fuertes, que den una mayor seguridad que otras más simples y cortas. Y aquí aparecen requerimientos relativos a la cantidad mínima de caracteres que debe tener una contraseña, los tipos de caracteres que deben considerarse en su composición y una serie de otros factores que buscan complejizarla. Todo esto, si bien puede fortalecer la seguridad, no necesariamente siempre lo logra; es sabido que muchos de los usuarios malogran el buen fin buscado a partir de anotar su contraseña en el sitio donde la usan, o por utilizar la misma contraseña (o mínimas variaciones de ella) para la mayoría de los accesos protegidos que tienen.

Entonces, es así que en muchas organizaciones se suelen hacer campañas de concientización con el fin de sensibilizar a los usuarios sobre la necesidad de tener contraseñas seguras, no anotarlas, usar diferentes contraseñas para los diferentes sistemas a los que acceden, etc.

Pero… lamentablemente existen motivos más que suficientes como para poder afirmar sin temor a equivocarnos que estamos ante una forma de defensa pasada de moda, al menos en la mayoría de los contextos en los que se le utiliza. Se puede ver una cierta analogía con lo que ha sucedido con las defensas militares terrestres a partir del momento que la aviación pasó a ser utilizada para atacar al enemigo. Si bien siguen existiendo entornos y situaciones en los que una contraseña adecuada es la mejor defensa, en general ha perdido efectividad y brinda una falsa sensación de seguridad.

Esto es así a partir de la proliferación de dos grandes formas de ataque, mediante las cuales los actores maliciosos consiguen hacerse de las contraseñas de los usuarios, por más complejas y largas que estas sean. La primera de ellas es lo que se conoce normalmente como phishing, situación en la que un usuario es engañado e inducido a acceder a un sitio web falso, similar en aspecto a un sitio de su conocimiento y uso frecuente, donde lo único que hace el atacante es retener las credenciales del usuario para posteriormente acceder al sitio legítimo en su lugar.

La otra forma, algo más sofisticada y con mayores consecuencias, se basa en lo que se denomina key-logging, una técnica que si bien en la práctica puede adoptar diferentes formas, en esencia consiste en capturar todas las digitaciones que un usuario haga sobre el teclado. Esto incluye por supuesto todas las contraseñas que utilice, y en consecuencia, dará igual si son largas o cortas, simples o complejas. En cualquier caso, el atacante dispondrá de las mismas en su totalidad, junto con todo lo demás que el usuario haya escrito usando el teclado.

Frente a este panorama, parece algo estéril el esfuerzo de machacar a los usuarios con el uso de contraseñas de mayor complejidad, porque en definitiva pueden no cumplir su objetivo, al mismo tiempo que quienes las administran se sienten falsamente protegidos y seguros por imponer una política estricta a este respecto.

Entonces, ¿acaso estamos ante una situación de game-over para la contraseña?

Hay quienes dicen que sí. Por lo pronto, tal vez sea hora de reevaluar los contextos en que se utilizan contraseñas como única forma de autenticar a los usuarios. Recordemos que por definición la autenticación es una forma mediante la cual alguien puede demostrar que es quien dice ser. Hoy en día las contraseñas dejaron de ser efectivas a estos fines. Ya no alcanza con saber algo, es necesario contar con algún otro elemento, otro factor diferente, por ejemplo, tener algo. Y de hecho, lo usamos frecuentemente, cada vez que accedemos a un cajero automático. Tenemos una tarjeta y sabemos un PIN. No nos alcanza con una sola de las dos cosas, se requiere de la concurrencia de ambas.

La misma idea se debe aplicar para autenticar a los usuarios de los sistemas en general; deben saber una contraseña, pero además deben demostrar que tienen algo en su poder. Esto es lo que se conoce como 2FA, o autenticación de dos factores, que será tema de una próxima nota.

Por el momento, sepamos que hace tiempo ya que la contraseña dejó de ser la defensa que era.