La crisis de seguridad que viven compañías como Sony u organismos como el FMI, puso de relieve la importancia de los mecanismos que deben proveer a sus clientes las empresas del rubro tecnológico, destinados a poner sobre aviso a los usuarios sobre la fortaleza o la debilidad de sus claves
En la punta de los dedos tiene la llave de acceso a sus datos e información personal y privada en Internet: la contraseña con la cual ingresa a su cuenta de correo electrónico en Gmail, Windows Live Hotmail o Yahoo Mail, sus perfiles en redes sociales como Facebook, Twitter y LinkedIn o su sesión de banca electrónica por la red (“home banking”).
Incluso, puede ser uno de los miles de usuarios argentinos de las plataformas de entretenimiento virtual del gigante electrónico japonés Sony, cuyas cuentas que fueron “hackeadas” en abril.
La crisis de seguridad que vivió esa compañía puso de relieve la importancia de los mecanismos que deben proveer a sus clientes las firmas, que se basan en las tecnologías de la información y la comunicación (TIC), para poner sobre aviso a los usuarios sobre la fortaleza o la debilidad de su “password”.
En el caso de Sony, se comprobó que no verificó que las contraseñas fueran robustas, las guardaba en texto plano (fácil y sencillo de copiar) y con datos sensibles asociados.
En este escenario, se espera la consolidación de iniciativas como OpenID, un sistema de autentificación que permite acceder a diferentes webs con una única dirección URL.
En tanto, ya existen sitios que permiten identificarse con el usuario y clave de Facebook, Twitter o Google. Y medios físicos como dispositivos de identificación biométrica.
No obstante, la responsabilidad también le cabe a los usuarios, que ignoran los beneficios de utilizar una clave complicada de detectar.
Troy Hunt, un especialista en seguridad web, analizó la lista de contraseñas vulneradas en Sony y en el servicio Gawker. Y encontró muchas vulnerabilidades.
El consultor apuntó su foco a 37.608 cuentas. Midió la longitud de las claves, la arietad de tipos de caracteres, la aleatoriedad y la singularidad. Cuánto más larga es la “password”, más fuerte es. Alrededor de ocho caracteres es un criterio generalmente aceptado.
El 93% de las cuentas analizadas estuvo entre 6 y 10 caracteres de longitud. Pero el 50% de estas cuentas tenían menos de ocho caracteres.
Sin embargo, el largo no es lo único importante de una clave sino también su diversidad: números, mayúsculas, minúsculas y símbolos como la arroba (@).
Las buenas prácticas indican que se deben emplear tres o más tipos de caracteres. En el caso de los usuarios de Sony, sólo el 4% de las contraseñas contaban con tres o más tipos de caracteres. Y la mitad sólo tenía un tipo de carácter. Además, nueve de cada diez casos usaban todo en minúscula. En el caso de Gawker, menos del 1% de las contraseñas contenía un carácter no alfanumérico.
La aleatoriedad se puede medir con la observación de contraseñas que son idénticas. Las 25 principales, en el caso de Sony, fueron (en inglés): seinfeld, password, winner, 123456, purple, sweeps, contest, princess, maggie, 9452, peanut, shadow, ginger, michael, buster, sunshine, tigger, cookie, george, summer, taylor, bosco, abc123, ashley, bailey Seinfeld.
Si se repasa la lista del párrafo anterior se encuentran culpables como “password”, “123456” y “abc123”. Pero también hay muchas claves relacionadas con el hecho que las generó: «ganador».
Hurt afirmó que, más de un tercio de las contraseñas, se ajustan a un patrón relativamente predecible. Y más de un tercio del total de claves analizadas se encuentran fácilmente en un diccionario común. “Las contraseñas son demasiado cortas, simples y previsibles”, concluyó.
iPhone
Muchos usuarios antiguos de equipos y servicios de Apple aseguran y repiten que están exentos y ajenos a los problemas que sufren sus pares de las PC, Windows y teléfonos inteligentes que no son iPhone, con virus y otros códigos maliciosos.
Sin embargo, una reciente investigación comprobó que la debilidad de las “passwords” es un pecado común también en el ambiente de las Macintosh, los iPhone y las iPad.
Daniel Amitay, un desarrollador de aplicaciones para el sistema operativo móvil iOS, creó una aplicación Big Brother Camera Security, que toma capturas de un ladrón en caso de que el iPhone sea robado.
Amitay llevó un registro anónimo de las claves que usaban sus usuarios en la aplicación que, además, presenta una interfaz muy similar a la de petición de contraseña de la pantalla de desbloqueo del iPhone.
De las 204.508 claves recopiladas, la contraseña “1234″ fue la más usada (por 8.884 usuarios), seguida de “0000″, “2580″ y “1111″. Otras combinaciones fáciles fueron los años, especialmente los que transcurren de 1990 a 2000 y de 1980 a 1989.
Luego del anuncio, Apple retiró Big Brother Camera Security de la App Store. En Cupertino, ciudad donde está la sede de la compañía, se apresuraron a retirar esta “app” que demuestra la vulnerabilidad de su sistema de revisión de contenidos, especialmente cuando se trata de una actualización de un programa ya aprobado.
«Desde luego, no estoy contento», explicó Amitay en su blog, «pero, considerando las inquietudes que me han expresado algunas personas respecto a la transmisión de datos de la ‘app’ a mi servidor, es comprensible».
En cualquier caso, Amitay también aprovechó para explicar exactamente qué datos obtenía y cómo lo hacía. Las contraseñas obtenidas, por ejemplo, eran las de la aplicación, no las del bloqueo del iPhone, que tiene una función similar. Por otro lado, el único dato que se enviaba era la propia contraseña. Es decir, lo único que se mandaba eran los cuatro dígitos, por lo que Amitay no podía identificar al usuario o el dispositivo del que provenían.
Además, el desarrollador se defendió alegando que la obtención de datos está contemplada en el acuerdo de licencia de los usuarios, donde se especifica que el proveedor «podría recoger y utilizar datos técnicos e información relacionada».
Esta información incluye «información técnica sobre el dispositivo, sistema y software de la aplicación (…) El proveedor de la misma podrá utilizar esta información, siempre y cuando sea de forma que no identifique al usuario, para mejorar sus productos o para proporcionar servicios y tecnologías».
Por el momento, Amitay aseguró que trabaja para hacer que la aplicación vuelva.
Asimismo, explicó que no tiene ningún problema en eliminar el código que recoge las passwords si es lo que causó el problema, aunque asegura que pensaba utilizar la información para advertir a los usuarios que no escogieran contraseñas obvias.
A pesar del proceso de revisión al que se someten las aplicaciones, Amitay pudo introducir este código en Big Brother Camera Security. De hecho, si no hubiera publicado una entrada en su blog en la que analizaba las claves más utilizadas, es probable que Apple nunca se hubiera enterado.
Recomendaciones
Si es usuario de estos servicios y dispositivos tecnológicos, es fundamental extremar la precaución para prevenir estos ciberrobos. ¿Cuáles son los consejos a tener en cuenta, en el caso de la “password”?
Si su cuenta fue afectada, el cambio de sus contraseñas es la primera cosa que debe hacer. Si ha utilizado la misma clave para otro sitio debe cambiarla en esos sitios también. Y puede ser un buen momento para modificar su enfoque sobre las «passwords».
Otro consejo a tener en cuenta: no facilitarlas a terceros. Además, la clave no debe ser predecible, ni tampoco ser la misma para todos los servicios.
Como norma general, conviene que sea larga y no contenga palabras recogidas en el diccionario. Una frase sin espacios es un buen ejemplo.
Para crear un clave de alta seguridad, puede seguir una sencilla fórmula que difundió este mes la empresa de seguridad informática Kaspersky. Por ejemplo, si se utiliza la palabra «mimail» es necesario seguir una serie de pasos: en primer lugar, poner en mayúsculas la cuarta letra, mover el segundo carácter al principio, añadir un número al azar después del segundo carácter y, por último, añadir un carácter no alfanumérico al final.
Esto daría como resultado: «im2mAil$;». Siguiendo estos pasos, este método proporciona una contraseña segura, y, aunque no lo parezca, fácil de recordar, aseguran desde la compañía.
Otra alternativa consiste en instalar una herramienta de gestión de contraseñas, que permite almacenar claves y datos con total seguridad. Algunos productos de seguridad avanzados, como Kaspersky PURE, ya incluyen herramientas como ésta.
Las claves ideales deben estar compuestas por una combinación de números, letras y símbolos, alternando también mayúsculas y minúsculas, es recomendable que el largo no sea inferior a 8 caracteres.
No deberían estar siendo generadas por un patrón predecible o bien, no estar compuestas por ninguna información directamente relacionada con la persona, como nombres, fechas, y demás.
Nota por Por Cesar Dergarabedian
iProfesional.com