CertiSur: la evolución de las contraseñas
CertiSur entrega un mensaje a la comunidad para la adopción de contraseñas más seguras, tanto en el uso empresarial como hogareño. Hay una realidad latente, y es que la mayoría de los usuarios utiliza un mismo password para todas sus cuentas.
“Me encuentro nuevamente frente a la pantalla que me pide cambiar la contraseña por cuarta vez este año. Ya no me quedan más nombres de hijos, ni mascotas, ni fechas importantes que utilizar, pero por suerte uso la misma contraseña para mi Homebanking, Facebook, Gmail, Dropbox, Twitter o cualquier otro servicio que me lo requiera”, ejemplifican desde Certisur.
En este punto, el nombre de una mascota es la contraseña más utilizada por los usuarios, y lo hacen para todos los servicios, sin importar la criticidad o nivel de seguridad del servicio. La suscripción a una revista no protege la contraseña con la misma rigurosidad que una institución financiera, y por lo tanto puede ser expuesta más fácilmente. El problema es que es la misma contraseña que se utiliza para acceder a una cuenta bancaria.
“Sé que el cambio de contraseña es una medida de seguridad adicional, pero cada vez lo hacen más difícil. Tengo que usar letras mayúsculas, algún número, y no menos de 8 caracteres y cada vez se hace más complicado recordarlas. Por suerte el celular me permite anotarlas en su block de notas, junto a la foto de mi tarjeta de coordenadas. Me han explicado que lo que hago no es seguro, pero es lo más facil. Me he registrado en tantos servicios que no encuentro otra manera de hacerlo”
En el ejemplo, los usuarios reconocen esa práctica como una medida de seguridad (76%), pero no todos la practican (56%). También, las plataformas móviles son las que han experimentado el mayor aumento en virus y malwares en los últimos años, y son un objetivo predilecto al día de hoy. Por otro lado, la foto de la tarjeta de coordenadas sacada con el celular terminará rápidamente en la web si se encuentra activada la función de copia de Google+, por ejemplo. Un mecanismo que el usuario no debía copiar termina siendo vulnerado por su propia acción.
Un usuario promedio está registrado en al menos 15 servicios distintos, muchos de los cuales lo hace por única vez, pero utilizando la misma contraseña.
“También le informo que me reconforta saber que ustedes también están atentos a mi seguridad. Periódicamente recibo correos electrónicos enviados desde su institución que me alertan del cambio de contraseña ante algún intento indebido de entrar a mi cuenta, aunque me comentan que algunos de esos correos pueden ser falsos. ¿Puede recomendarme cómo puedo distinguir fácilmente los que son legítimos? Agradezco su atención y espero que esta carta sirva para que eliminen tantas medidas de seguridad, o en su defecto, que faciliten su uso .Atentamente, un usuario más.”
En el cierre del ejemplo, el Phishing sigue siendo la práctica más efectiva y habitual para robar contraseñas. Otras técnicas, que incluyen inclusive llamadas telefónicas, están en aumento. Utilizando el miedo o la curiosidad se logra que el usuario entregue su contraseña a un atacante. Esta contraseña es posteriormente utilizada para comenter un fraude o robo.
La educación al usuario de signos de seguridad fáciles de entender sigue siendo una tarea compleja. Por esta razón, eliminar medidas de seguridad NO es posible. Sería igual que pedir sacar los airbags o permitir hablar por celular mientras se conduce. Pero si es cierto que no es posible seguir forzando la complejidad de las contraseñas. Eso ya no alcanza para proteger servicios críticos, y su complejidad ha llevado a que los propios usuarios lo vulneren sin darse cuenta. Este mecanismo está al límite y es necesario darle un descanso.
Por suerte ya existen otros mecanismos disponibles que poco a poco se van difundiendo entre la comunidad: Códigos de un solo uso (OTP) generados en celular o por SMS, dispositivos criptográficos, certificados digitales o incluso el análisis de comportamiento de los usuarios nos permiten elevar el nivel de seguridad como medidas que acompañan a las contraseñas en esta carrera que se está corriendo contra el fraude.
