Pocas veces esas palabras que tomo prestadas del maestro Sabina podrían venir más a cuento. Las contraseñas son un incómodo pero necesario compañero de viaje, sobre todo ahora que una plétora de servicios web nos inundan con atractivas ofertas. Y solo requieren un usuario... y una contraseña.
Lamentablemente las contraseñas son un mal necesario que no tiene visos de desaparecer a corto plazo, y cualquier momento es bueno para analizar la situación de este tipo de solución de seguridad. Os invito a repasar esa situación, a frotar un poco la bola de cristal para tratar de adivinar el futuro, y plantear opciones para aprovechar de la mejor forma posible este mecanismo.
En este repaso por la situación de las contraseñas hemos contado con la inestimable colaboración de dos expertos de seguridad. En primer lugar, Chema Alonso (@chemaalonso), responsable del blog Un informático en el lado del mal y habitual conferenciante en eventos en los que la seguridad tiene particular interés. En segundo, Sergio de los Santos (@ssantosv), consultor de seguridad en Hispasec y entre otras cosas autor del libro "Máxima seguridad en Windows: Secretos Técnicos".
Ambos nos ayudado a comprender mejor el momento actual en cuanto a alternativas existentes en el mundo de las contraseñas, y nos han ofrecido su opinión sobre las posibles alternativas y la forma más adecuada de gestionar esa abultada cartera de contraseñas que todo solemos llevar a cuestas.
Por el momento, pocas alternativas
Ambos expertos en seguridad nos dejaron claro que hoy en día las contraseñas son inevitables. Con tantos servicios que dependen de este mecanismo de seguridad, no hay muchos campos en los que haya opciones a esas contraseñas.
A esa circunstancia se une el hecho de las propias malas costumbres de los usuarios, que acaban utilizando una misma contraseña para todos (o casi todos) los servicios a los que acceden. Y como apuntaba Chema Alonso, descubierta una, descubierta todas, con varios eslabones de la cadena especialmente débiles.
Por ejemplo, la dirección de correo electrónico, que suele ser pública, apuntaba Alonso, porque acaba saliendo de un modo u otro en buscadores. Tampoco ayuda demasiado el hecho de que podamos tratar de recuperar la contraseña a través de una dirección de correo, porque precisamente ese puede ser el mecanismo que ayude a los cibercriminales a conseguir otros accesos a servicios diversos.
El caso más reciente y famoso, nos recordaba este experto, era el de Matt Honan, periodista de Wired que acabó sin acceso a todas sus cuentas, Twitter, incluida, porque los últimos dígitos de su tarjeta de crédito, públicos en Amazon, sirvieron para ir deslavazando, paso a paso, todos los mecanismos de seguridad en los que él confiaba.
Las reglas nemotécnicas que algunos usuarios utilizan tampoco son especialmente útiles, porque al final descubierta la regla --en muchos casos no es tan difícil--, descubiertas todas las contraseñas. De nuevo hay un caso famoso, el de Dan Kaminsky, otro célebre experto de seguridad que se confió demasiado al usar un esquema de creación de contraseñas que unos atacantes descubrieron y con el que lograron acceder a un buen número de servicios que utilizaba.
Los sistemas de identidad federada no son la solución
Los sistemas de identidad o contraseña federada no parecen solucionar el problema a pesar de su aparente popularidad y comodidad. El registro con una cuenta de Twitter o Facebook en diversos servicios es muy llamativo por proponer esa comodidad al usuario, pero adolece de las mismas pegas que los sistemas de contraseña convencional.
Así, Twitter y Facebook se convierten en un problema, porque si un atacante logra acceso a esas cuentas, logrará acceso a todos los servicios que dependen de ellas. "Es el mismo problema", comentaba Alonso, "si se cae tu cuenta en ellos, se cae todo".
El problema es especialmente preocupante en estas dos redes sociales por dos un motivo. Uno, el hecho de que cientos de millones de usuarios las usan todos los días. Y dos, ninguno de esos sistemas ofrece una autenticación en dos pasos, que por ejemplo sí ofrecen Google o Microsoft. Tanto Twitter (desde ayer, y no para todos) como Facebook ofrecen (como Microsoft o Google antes que ellas) también verificación en dos pasos, un sistema que todos los usuarios deberían aprovechar para ganar en tranquilidad.
Esa debilidad no solo se presenta en Twitter o Facebook, desde luego. Otras alternativas federadas también sufren de esos mismos riesgos, y soluciones como OpenID o el proyecto Mozilla Persona, con todo su atractivo y sus aparentes ventajas, tienen claros problemas en ese mismo apartado.
Autenticación en dos pasos, una solución parcial
Precisamente la autenticación en dos pasos que se hizo especialmente famosa con la puesta en marcha por parte de Google y que de hecho ya había sido implantada por otras grandes como Microsoft es una de las opciones más valoradas por ambos expertos.
Y sin embargo, no son perfectas, puesto que los cibercriminales han ideado formas de interferir en esos mecanismos. Nos lo explicaba Sergio de los Santos que sobre todo centró sus casos prácticos en la banca, un sector especialmente amenazado en temas de seguridad.
En dichos escenarios, nos comentaba de los Santos, el banco suele actuar igual que Google: un usuario solicita el acceso o la ejecuciónd e la operación, que se ve confirmada con un PIN que nos mandan a nuestro teléfono vía SMS.
Hasta aquí todo perfecto, salvo por el hecho de que los atacantes consiguen mediante diversas técnicas (sobre todo, ingeniería social a través de una vía especialmente eficiente, el correo electrónico) que los usuarios descarguen e instalen aplicaciones no firmadas en sus smartphones.
Eso, que en iOS es imposible a no ser que el usuario haya hecho jailbreak del dispositivo, es una realidad en Android, cuyos usuarios pueden activar la instalación de paquetes de fuentes desconocidas con la simple activación de un parámetro en sus smartphones. E instalado el APK (que promete el oro y el moro, sea lo que sea), el atacante tiene acceso a los SMS, puesto que esa aplicación en realidad reenvía todos los SMS a un teléfono controlado por el atacante, que de este modo puede infiltrarse en esas operaciones con autenticación en dos pasos.
Para de los Santos el token que se usa en algunos bancos es una medida útil (y cara para esos bancos), pero desde luego no la solución definitiva. "Imagina", explicaba este experto "que tuvieras un token físico por cada acceso a servicios que utilizas". El llavero con todos esos token, dejaba claro de los Santos, no nos cabría en el bolsillo.
Y aún así, comentaba este experto que trabaja especialmente asesorando a bancos, ese tipo de ataques van sobre todo dirigidos a la banca, y no a sistemas de autenticación de doble paso como los presentes en Google o Microsoft.
La biometría lo tiene complicado
Una de las opciones que más suenan en este tipo de escenarios es el de la seguridad biométrica, que se ha implantado con éxito en algunos entornos empresariales y a través de diversos sistemas. Otros, por contra, han fracasado, explicaba Alonso, como el DNI electrónico --"¿Quién se sabe el PIN de su DNIe?", apuntaba--, pero hay alternativas interesantes.
Por ejemplo, los sistemas de reconocimiento de voz y de huella dactilar de última generación que no se pueden superar fácilmente --lo de la fotocopia con la huella ya no funciona-- y otros menos conocidos como las firmas biométricas, que escanean nuestra forma de escribir nuestra firma y que también toman buena nota de la presión en cada trazo.
Sin embargo, apuntaba Alonso, el miedo a dar datos biométricos y que estos puedan ser robados y utilizados también para entrar en otros servicios que los usen es un gran inconveniente. Uno que hace difícil que estos sistemas triunfen en Internet, concluía.
De los Santos coincidía con esa opinión. "La biometría no va a sustituir a las contraseñas", aseguraba, destacando que hoy en día debe existir un compromiso de responsabilidad entre el usuario y el proveedor del servicio.
"Debe haber un equilibrio", explicaba de los Santos. El servicio del proveedor debe cumplir su parte: debe aplicar el hash a las contraseñas, almacenarlas de forma segura, utilizar sistemas de autenticación, etc.
Pero el usuario también debe asumir sus obligaciones. Debe tratar de mantener su sistema limpio ("higiénico", llegó a decir), cuidar sus accesos a sistemas sensibles como los de banca online --el uso de máquinas virtuales para esas sesiones, apuntaba, no es mala idea-- y no utilizar las mismas contraseñas para todo.
Y ambos coindieron en su recomendación para los usuarios. Que por supuesto, se encarga de corregir y encauzar esa dejadez que nos caracteriza y que hace que reutilicemos contraseñas una y otra vez. ¿Cuál es esa recomendación?
Gestores de contraseñas al poder
Así es. Los gestores de contraseñas (cinco ejemplos: KeePass, 1Password, LastPass, Keeper, y Roboform) son el mejor remedio contra esa tradicional pereza que nos lleva a repetir contraseñas una y otra vez. Puedes crear todas las que quieras, el programa se encarga de recordártelas e incluso, señalaba Alonso, te recuerdan volver a regenerarlas cada mes.
De los Santos se mostraba también de acuerdo con este tipo de herrramientas destacando esa comodidad. Solo tienes que recordar una contraseña, aclaraba, aunque hay utilidades que añaden otros mecanismos, como asociar esa contraseña maestra a nuestro usuario de Windows. A partir de ahí puedes ir usando el mecanismo de "copiar y pegar" para rellenar los formularios en los que se nos solicita contraseña. Eso evita incluso el registro y captación de los datos por medio de keyloggers, otro de los métodos clásicos de los atacantes para desvelar nuestras contraseñas.
FIDO, una apuesta de futuro
Aunque aún queda mucho camino por recorrer, otra de las opciones que se barajan en el futuro es el que está tratando de impulsar la FIDO Alliance, y que tratará de aportar novedades interesantes en el que recientemente se han implicado empresas como PayPal.
Así, FIDO (Fast IDentity Online) hace necesaria la autenticación del usuario en sus smartphones o sus dispositivos personales, que a su vez los autentican a ellos en sitios web usando los protocolos de FIDO.
FIDO, explican en la web oficial del proyecto, proporciona autenticación en dos pasos, y hacen uso de un cliente que puede funcionar en cualquier plataforma y que da soporte a un gran número de soluciones de seguridad, tales como sensores biométricos, los tradicionales PIN y dispositivos físicos USB conectados a nuestros ordenadores, por ejemplo.
La diferencia de FIDO con otros sistemas, explicaba Alonso, es la posibilidad de utilizarlo en un gran número de dispositivos, no solo ordenadores. FIDO podrá ser integrado en escáneres o impresoras, y, ya puestos, en un televisor o un frigorífico si así lo deseamos.
De los Santos lo veía como una posibilidad aún lejana, pero no imposible, y confiaba más en el uso del móvil como sistema de seguridad, pero a través quizás de aplicaciones de móvil de tipo token que eludan el uso de SMS para esa autenticación en dos pasos que tiene ciertos riesgos.
Imagen | DeviantArt En Xataka | 1Password, todas las contraseñas de tu ordenador en la palma de tu mano En Genbeta | Especial Contraseñas Seguras
Ver 13 comentarios