P
pilou12
Guest
Todo lo que sabes de contraseñas está mal, pero el remedio es mejor de lo esperado
La era de las contraseñas de 8 caracteres alfanuméricos está concluyendo. En el futuro no habrá que inventar combinaciones raras y previsibles
JORDI PÉREZ COLOMÉ
17 OCT 2018
Los passwords más usados hoy en internet son inmensamente fáciles de descifrar. PIXABAY
Los humanos somos previsibles también creando contraseñas. La mayoría tiene entre 6 y 8 caracteres, porque así nos lo aconsejaron. Un 55% tiene minúsculas y algún número, según esta base de datos de más 500 millones de passwordsfiltradas. Las mayúsculas y los signos especiales aparecen solo en un 0,6% de ellos. Los números más usados al final de las letras son también inmensamente previsibles. Las tres combinaciones de dos números más usadas son, al menos en esta muestra de 3 millones de contraseñas, 00, 23 y 69. Quien hace el esfuerzo de añadir tres cifras, tampoco se esfuerza especialmente: 123, 000, 001, 111, 007, 666.
Al final, lo familiar se impone: números cercanos, repetidos, s*x* deseado, James Bond o el demonio. Un algoritmo entrenado para buscar secuencias lógicas junto a la potencia de las máquinas actuales destrozarían nuestra mediocridad para inventar contraseñas.
El peligro de los códigos malos es por tanto cada día mayor. Aunque además de tenerlos malos, un 52% de los usuarios los recicla, según un estudio de la Universidad de Virginia Tech: "Aún más sorprendente, servicios online sensibles como webs de compra y email tienen la mayoría de passwords repetidos o modificados", dicen los autores. Una contraseña modificada es la que tiene uno dos caracteres cambiados para no repetir.
De momento, incomprensiblemente, no ha habido catástrofes generalizadas en ciberseguridad para usuarios comunes.
El email privado del autor de este artículo ha sido comprometido cinco veces: en los hackeos de bit.ly, Dropbox, LinkedIn, Tumblr y Stratford. Y acaba de enterarse: en esta web se pueden comprobar los emails afectados en 314 hackeos. Algunos de los códigos más usados también están miles de veces repartidos por internet. Aquí se pueden comprobar. Las fechas de nacimiento, por ejemplo, son passwords inmensamente repetidos. La inmensa mayoría de combinaciones de 6 minúsculas está ya en la base de datos.
El autor del consejo de 2003 de que usáramos contraseñas de al menos 8 caracteres con letras y números se arrepintió hace un año. Bill Nurr, antiguo director del National Institute of Standards and Technology de Estados Unidos, ahora jubilado con 73 años, dijo en 2017 en una entrevista al Wall Street Journalque lamentaba su propuesta: había creado un ejército de humanos buscando combinaciones sencillas de números y letras. Aquello que parecía un buen consejo se convirtió en millones de "abcd123" o "password1".
Cómo mejorar este drama
Una mejora posible es alargar esos 8 caracteres a 20 o más. Pero una sola combinación maravillosa tampoco es la solución. Mark Risher, director de seguridad de Google, ha comprobado que un password perfecto no sirve: es peor copiar el mismo, por bueno que sea, en varias webs que tener otros más sencillos, pero distintos. "Nuestra investigación ha probado que si alguien usa el mismo código en muchas webs y uno es comprometido, incrementa la probabilidad de ataque por un factor de 10. Pero si alguien cae en una trampa de phishing [suplantación de identidad] la probabilidad de un ataque con éxito se incrementa por 500", explica Risher.
La solución ideal es aparentemente sencilla: una contraseña distinta y compleja para cada web. Pero aquí viene el problema: ¿quién recordará docenas de "d$%29fht_pp*?2o8"? "Escríbelo en un papel o aún mejor archívalo en un gestor de passwords", dice Risher.
Las grandes tecnológicas tienen sus propios gestores. Hay además apps específicas, que no siempre son extremadamente intuitivas de usar. Hay una solución intermedia aceptable: crear frases o grupos de palabras. Contraseñas de 35 caracteres (con alguna ñ, mejor) son más difíciles de reventar.
El problema de fondo, sin embargo, sigue siendo el mismo: los usuarios no tienen incentivos para mejorar su seguridad porque no han visto peligrar sus datos. La creciente perfección del phishing puede cambiar esto. Un ejemplo reciente de un email creíble con phishing (comunicaciones@endesatemponegocios.com) decía: "Hemos detectado que una de tus facturas ha sido doblemente pagada. El origen de la mala estimación en nuestro sistema de débito automático, hemos deducido de su cuenta un importe de 765,00 EUR. En este caso debe confirmar su solicitud de reembolso". Y un enlace para poner tus datos. La cifra y el español malo dan pistas del fraude, pero es bastante más sofisticado que el eterno príncipe nigeriano.
Este tipo de phishing tiene grados de perfección. En el reciente hackeo de 29 millones de usuarios de Facebook, los atacantes se llevaron las cuatro últimas cifras de millones de tarjetas de crédito. No sirven para sacar dinero, pero tienen otros usos, según Risher: "Otra cosa que da bastante miedo. Algunos de los grandes hackeos ofrecen información que dan credibilidad. Por ejemplo, los cuatro últimos dígitos de tu tarjeta. Así que te pueden escribir algo así: 'Jordi, somos el Banco Santander sobre tu tarjeta de crédito que termina en ****3456'. Eso puede ser bastante creíble incluso si no saben tu número completo de tarjeta. Ese poco que saben hacer que parezca mucho más legítimo".
El phishing es para todos. Luego está el spear phishing, donde alguien busca entrar específicamente en tu cuenta, con una motivación que probablemente vaya más allá del dinero: "Los datos pueden ser más importantes que el dinero. Nuestra propia información puede ser usada para comprometer nuestras cuentas personales, organizaciones o, en casos extremos, la seguridad nacional del país", dice Michael Sirivianos, profesor en la Universidad de Tecnología de Chipre. El spear phishing fue el origen del hackeo al Partido Demócrata de Estados Unidos antes de las elecciones de Trump. O de la intrusión en Sony por parte de Corea del Norte.
Mark Risher, director de seguridad de Google. GOOGLE
A Risher no le gusta admitirlo para no dar sensación de derrota, pero el mayor éxito de seguridad de nuestra vida online es que no hemos sido interesantes para nadie. Porque, si alguien quiere, va a encontrar el modo de acceder a tu información más secreta: "Espero que la impresión que los lectores se lleven es que no todo es hackeable. Hay muchas cosas que se pueden hacer que limitan las oportunidades de que pase algo malo", dice Risher, pero sigue: "Aunque el porcentaje no llega a cero porque hay esa asimetría entre atacante y defensor. Como defensores tenemos que asegurarnos de que cada ventana, cada puerta, la chimenea, el sótano, todo esté cerrado. El atacante solo necesita una abierta para entrar. Eso es una gran ventaja, pero no significa que debas dejar la puerta sin cerrar".
El fin de todos los 'passwords'
El futuro de la contraseña es desaparecer. La seguridad online será tan importante que dependerá en algo físico: una llave, el móvil. Un equipo codirigido por Sirivianos ha creado uno de estos sistemas, ReCRED, donde la seguridad depende de poder acceder al móvil con factores biométricos: huella, reconocimiento facial. "Este sistema pasa la carga de la autenticación del usuario al móvil que siempre llevamos encima", explica, y da un plazo de 5 años para que su uso se generalice.
Google y otras plataformas ya ofrecen el doble factor de autenticación: si lo activas, solo puedes acceder a tu cuenta en un ordenador si lo permites desde el móvil. Así que si alguien no tiene tu móvil no puede entrar. Ahora mismo "el pináculo de la seguridad" que ofrece Google a sus usuarios es el Sistema de Seguridad Avanzado, que obliga a comprar dos llaves físicas, limita las apps de terceros que se pueden usar dentro del correo y analiza con más profundidad los mensajes para evitar phishings.
Aún otro modo de dejar atrás las contraseñas será el análisis del comportamiento online de cada usuario: "Hoy se investiga en sistemas de autenticación continua, que monitorizan las acciones del usuario. En caso de que el comportamiento difiera suficientemente de lo esperado se dispara un evento para que el sistema tome medidas", dice Andrés Marín, profesor de la Universidad Carlos III de Madrid.
La magnitud del negocio del hackeo es enorme. Risher no explica si hay incluso gobiernos detrás de algunos esfuerzos criminales: "Es posible localizar dónde está esta gente, pero no es una inversión porque vemos los mismos tipos de ataques de muchos adversarios distintos, y no dedicamos por tanto mucha energía a atribución". Sus recursos van más allá de unos cuantos hackers en un sótano de algún país lejano: "Es un negocio provechoso. Hay grupos donde un equipo investiga, otro trabaja con infraestructura (servidores), otros preparan los mensajes e incluso un último equipo lleva recursos humanos y salarios. Algunos tienen oficinas por todo el mundo para tener diferentes coberturas horarias y mucha especialización", explica Risher, que añade: "Desafortunadamente, los 20 años de historia de email y spam ha enseñado a la gente que se puede hacer dinero ahí y es útil investir".
Algo que sin embargo no ha ocurrido es que en Hollywood hayan pillado de qué va esto del hackeo: "En las películas ves a un hacker de élite que trabaja para el Gobierno, con recursos infinitos, pero en realidad esos recursos se usan para tener una habitación llena de gente apretando el botón de "enviar" hasta que un mensaje sale", dice Risher.
https://elpais.com/tecnologia/2018/10/17/actualidad/1539734442_630080.html
La era de las contraseñas de 8 caracteres alfanuméricos está concluyendo. En el futuro no habrá que inventar combinaciones raras y previsibles
JORDI PÉREZ COLOMÉ
17 OCT 2018
Los passwords más usados hoy en internet son inmensamente fáciles de descifrar. PIXABAY
Los humanos somos previsibles también creando contraseñas. La mayoría tiene entre 6 y 8 caracteres, porque así nos lo aconsejaron. Un 55% tiene minúsculas y algún número, según esta base de datos de más 500 millones de passwordsfiltradas. Las mayúsculas y los signos especiales aparecen solo en un 0,6% de ellos. Los números más usados al final de las letras son también inmensamente previsibles. Las tres combinaciones de dos números más usadas son, al menos en esta muestra de 3 millones de contraseñas, 00, 23 y 69. Quien hace el esfuerzo de añadir tres cifras, tampoco se esfuerza especialmente: 123, 000, 001, 111, 007, 666.
Al final, lo familiar se impone: números cercanos, repetidos, s*x* deseado, James Bond o el demonio. Un algoritmo entrenado para buscar secuencias lógicas junto a la potencia de las máquinas actuales destrozarían nuestra mediocridad para inventar contraseñas.
El peligro de los códigos malos es por tanto cada día mayor. Aunque además de tenerlos malos, un 52% de los usuarios los recicla, según un estudio de la Universidad de Virginia Tech: "Aún más sorprendente, servicios online sensibles como webs de compra y email tienen la mayoría de passwords repetidos o modificados", dicen los autores. Una contraseña modificada es la que tiene uno dos caracteres cambiados para no repetir.
De momento, incomprensiblemente, no ha habido catástrofes generalizadas en ciberseguridad para usuarios comunes.
El email privado del autor de este artículo ha sido comprometido cinco veces: en los hackeos de bit.ly, Dropbox, LinkedIn, Tumblr y Stratford. Y acaba de enterarse: en esta web se pueden comprobar los emails afectados en 314 hackeos. Algunos de los códigos más usados también están miles de veces repartidos por internet. Aquí se pueden comprobar. Las fechas de nacimiento, por ejemplo, son passwords inmensamente repetidos. La inmensa mayoría de combinaciones de 6 minúsculas está ya en la base de datos.
El autor del consejo de 2003 de que usáramos contraseñas de al menos 8 caracteres con letras y números se arrepintió hace un año. Bill Nurr, antiguo director del National Institute of Standards and Technology de Estados Unidos, ahora jubilado con 73 años, dijo en 2017 en una entrevista al Wall Street Journalque lamentaba su propuesta: había creado un ejército de humanos buscando combinaciones sencillas de números y letras. Aquello que parecía un buen consejo se convirtió en millones de "abcd123" o "password1".
Cómo mejorar este drama
Una mejora posible es alargar esos 8 caracteres a 20 o más. Pero una sola combinación maravillosa tampoco es la solución. Mark Risher, director de seguridad de Google, ha comprobado que un password perfecto no sirve: es peor copiar el mismo, por bueno que sea, en varias webs que tener otros más sencillos, pero distintos. "Nuestra investigación ha probado que si alguien usa el mismo código en muchas webs y uno es comprometido, incrementa la probabilidad de ataque por un factor de 10. Pero si alguien cae en una trampa de phishing [suplantación de identidad] la probabilidad de un ataque con éxito se incrementa por 500", explica Risher.
La solución ideal es aparentemente sencilla: una contraseña distinta y compleja para cada web. Pero aquí viene el problema: ¿quién recordará docenas de "d$%29fht_pp*?2o8"? "Escríbelo en un papel o aún mejor archívalo en un gestor de passwords", dice Risher.
Las grandes tecnológicas tienen sus propios gestores. Hay además apps específicas, que no siempre son extremadamente intuitivas de usar. Hay una solución intermedia aceptable: crear frases o grupos de palabras. Contraseñas de 35 caracteres (con alguna ñ, mejor) son más difíciles de reventar.
El problema de fondo, sin embargo, sigue siendo el mismo: los usuarios no tienen incentivos para mejorar su seguridad porque no han visto peligrar sus datos. La creciente perfección del phishing puede cambiar esto. Un ejemplo reciente de un email creíble con phishing (comunicaciones@endesatemponegocios.com) decía: "Hemos detectado que una de tus facturas ha sido doblemente pagada. El origen de la mala estimación en nuestro sistema de débito automático, hemos deducido de su cuenta un importe de 765,00 EUR. En este caso debe confirmar su solicitud de reembolso". Y un enlace para poner tus datos. La cifra y el español malo dan pistas del fraude, pero es bastante más sofisticado que el eterno príncipe nigeriano.
Este tipo de phishing tiene grados de perfección. En el reciente hackeo de 29 millones de usuarios de Facebook, los atacantes se llevaron las cuatro últimas cifras de millones de tarjetas de crédito. No sirven para sacar dinero, pero tienen otros usos, según Risher: "Otra cosa que da bastante miedo. Algunos de los grandes hackeos ofrecen información que dan credibilidad. Por ejemplo, los cuatro últimos dígitos de tu tarjeta. Así que te pueden escribir algo así: 'Jordi, somos el Banco Santander sobre tu tarjeta de crédito que termina en ****3456'. Eso puede ser bastante creíble incluso si no saben tu número completo de tarjeta. Ese poco que saben hacer que parezca mucho más legítimo".
El phishing es para todos. Luego está el spear phishing, donde alguien busca entrar específicamente en tu cuenta, con una motivación que probablemente vaya más allá del dinero: "Los datos pueden ser más importantes que el dinero. Nuestra propia información puede ser usada para comprometer nuestras cuentas personales, organizaciones o, en casos extremos, la seguridad nacional del país", dice Michael Sirivianos, profesor en la Universidad de Tecnología de Chipre. El spear phishing fue el origen del hackeo al Partido Demócrata de Estados Unidos antes de las elecciones de Trump. O de la intrusión en Sony por parte de Corea del Norte.
Mark Risher, director de seguridad de Google. GOOGLE
A Risher no le gusta admitirlo para no dar sensación de derrota, pero el mayor éxito de seguridad de nuestra vida online es que no hemos sido interesantes para nadie. Porque, si alguien quiere, va a encontrar el modo de acceder a tu información más secreta: "Espero que la impresión que los lectores se lleven es que no todo es hackeable. Hay muchas cosas que se pueden hacer que limitan las oportunidades de que pase algo malo", dice Risher, pero sigue: "Aunque el porcentaje no llega a cero porque hay esa asimetría entre atacante y defensor. Como defensores tenemos que asegurarnos de que cada ventana, cada puerta, la chimenea, el sótano, todo esté cerrado. El atacante solo necesita una abierta para entrar. Eso es una gran ventaja, pero no significa que debas dejar la puerta sin cerrar".
El fin de todos los 'passwords'
El futuro de la contraseña es desaparecer. La seguridad online será tan importante que dependerá en algo físico: una llave, el móvil. Un equipo codirigido por Sirivianos ha creado uno de estos sistemas, ReCRED, donde la seguridad depende de poder acceder al móvil con factores biométricos: huella, reconocimiento facial. "Este sistema pasa la carga de la autenticación del usuario al móvil que siempre llevamos encima", explica, y da un plazo de 5 años para que su uso se generalice.
Google y otras plataformas ya ofrecen el doble factor de autenticación: si lo activas, solo puedes acceder a tu cuenta en un ordenador si lo permites desde el móvil. Así que si alguien no tiene tu móvil no puede entrar. Ahora mismo "el pináculo de la seguridad" que ofrece Google a sus usuarios es el Sistema de Seguridad Avanzado, que obliga a comprar dos llaves físicas, limita las apps de terceros que se pueden usar dentro del correo y analiza con más profundidad los mensajes para evitar phishings.
Aún otro modo de dejar atrás las contraseñas será el análisis del comportamiento online de cada usuario: "Hoy se investiga en sistemas de autenticación continua, que monitorizan las acciones del usuario. En caso de que el comportamiento difiera suficientemente de lo esperado se dispara un evento para que el sistema tome medidas", dice Andrés Marín, profesor de la Universidad Carlos III de Madrid.
La magnitud del negocio del hackeo es enorme. Risher no explica si hay incluso gobiernos detrás de algunos esfuerzos criminales: "Es posible localizar dónde está esta gente, pero no es una inversión porque vemos los mismos tipos de ataques de muchos adversarios distintos, y no dedicamos por tanto mucha energía a atribución". Sus recursos van más allá de unos cuantos hackers en un sótano de algún país lejano: "Es un negocio provechoso. Hay grupos donde un equipo investiga, otro trabaja con infraestructura (servidores), otros preparan los mensajes e incluso un último equipo lleva recursos humanos y salarios. Algunos tienen oficinas por todo el mundo para tener diferentes coberturas horarias y mucha especialización", explica Risher, que añade: "Desafortunadamente, los 20 años de historia de email y spam ha enseñado a la gente que se puede hacer dinero ahí y es útil investir".
Algo que sin embargo no ha ocurrido es que en Hollywood hayan pillado de qué va esto del hackeo: "En las películas ves a un hacker de élite que trabaja para el Gobierno, con recursos infinitos, pero en realidad esos recursos se usan para tener una habitación llena de gente apretando el botón de "enviar" hasta que un mensaje sale", dice Risher.
https://elpais.com/tecnologia/2018/10/17/actualidad/1539734442_630080.html