Queridos seguidores del blog, hoy toca aparcar momentáneamente el tema de moda de la inteligencia artificial, y tratar otro que seguramente os parece igual de apasionante: Las contraseñas de aplicaciones y servicios online varios… Vaya bajón, ¿verdad?
Pero es que es lo que toca amigos, porque resulta que mañana mismo, jueves 4 de abril, es el Día Mundial de la Contraseña, así que no nos quedaba más remedio, ¿verdad…? Bueno, vale, igual esto otro ha acrecentado aún más el bajón, pero es lo que hay. Al menos, aprovechémoslo para insistir precisamente en que estamos un poco hartos de contraseñas, ¿no?
Aquí ya hicimos campaña anti – contraseñas en un par de entradas sobre ello en los inicios de la andadura de este blog, incluyendo lo de los patrones de desbloqueo del smartphone (que tampoco nos parecen tan terribles, pero sí menos confiables en términos de ciberseguridad). Y seis años después la cosa no parece que haya cambiado mucho. ¡Pero si ya Bill Gates dijo allá por 2004 que las passwords desaparecerían! Pues aquí estamos, casi 20 años más tarde, volviendo a postear sobre el tema, como en años anteriores por esta misma fecha. No deja de cumplirse lo de las efemérides tecnológicas recurrentes, qué le vamos a hacer.
El caso es que son muchas las voces expertas en seguridad informática que consideran que las contraseñas son un sistema cada vez más inseguro y hasta obsoleto, e incluso lo llevan diciendo desde hace mucho tiempo, pero el mensaje no parece calar. Para los usuarios son un engorro, aunque existan los programas de administración de contraseñas, con los que ya sólo te tienes que saber una, pero no parece que su uso esté especialmente extendido. Vamos, que seguimos prefiriendo apuntarlo en papeles, o elegir contraseñas excesivamente fáciles de recordar, o llegado el caso hasta usar una única password para todos los servicios de internet y demás… Todo ello malas ideas, cualquiera puede ver su riesgo desde Tasmania, pero no lo cambiamos. Pereza, embrollos de combinaciones, vulnerabilidades cibernéticas… todo mal.
Por ello, aparte de un artículo en el que os van a recomendar cómo crear una contraseña buena de verdad, más fuerte que el muro de la casa de tus abuelos en el pueblo, cuando se hacían con granito de ese que no se rompe ni con la bola del vídeo aquel de Miley Cyrus, pero que ya sabemos que no os vais a leer (de nuevo, la pereza), os vamos a ofrecer otro a continuación sobre la alternativa que dicen que viene a sustituir a las contraseñas, que es la biometría… Pero vamos, que de esto último también nos vienen dando la turra desde hace mucho…
Protegiendo tu contraseña: cómo crear una inquebrantable
Cada año, en el primer jueves del mes de mayo, se conmemora el Día Mundial de la Contraseña, un escenario perfecto en el que Check Point Software Technologies, un proveedor líder especializado en ciberseguridad a nivel mundial, aprovecha para recordar la importancia de cuidar hasta el último detalle de una contraseña, ya que es una de las principales barreras contra los ciberdelincuentes.
Las contraseñas las utilizan miles de millones de usuarios en todo el mundo, y pese a su enorme importancia, todavía existe un sinfín de malas prácticas a la hora de gestionarlas y crearlas. En 2019, el Centro Nacional de Ciberseguridad del Reino Unido reveló que 23 millones de personas en todo el mundo continúan utilizando contraseñas inseguras como "123456", hecho que evidencia que todavía son muchos los usuarios que no son conscientes de los peligros que esto supone.
Aunque este no es el único problema al que nos enfrentamos. Los incesantes avances tecnológicos no sólo llegan para beneficiar a los usuarios, sino que también ofrecen a los ciberdelincuentes nuevas herramientas para llevar a cabo sus ataques. Lo que hasta hace poco se consideraban contraseñas seguras, comienzan a quedarse anticuadas y generan nuevas vulnerabilidades.
La llegada de nuevas tarjetas gráficas con memoria virtual (VRAM), ha abierto la puerta a que estos dispositivos de hardware procesen datos a alta velocidad, los mismos que utiliza la minería de criptomonedas. Sin embargo, también pueden utilizarse en ciberataques por fuerza bruta para la obtención de contraseñas, donde los modelos nuevos llevan a cabo más de un millón de comprobaciones en apenas un segundo, tremendamente más rápidas que las comprobaciones logradas hasta ahora por los procesadores. Esto significa que, si por ejemplo, contamos con una contraseña con menos de 12 caracteres basada en exclusiva en el uso de letras y números, podría vulnerarse en apenas unos días.
De acuerdo con el último informe de Hive Systems, que comparte los tiempos aproximados en los que los ciberdelincuentes pueden “derribar” nuestras contraseñas, pasando desde un esfuerzo mínimo y unos tiempos prácticamente instantáneos para las contraseñas más inseguras, hasta los 438 trillones de años de las claves más robustas. Y es que en cuestión de tan sólo un año, se ha visto como estos mismos cifrados han recortado los tiempos de posible vulneración en hasta un 90%. Una cifra que, con la entrada de nuevos agentes como los servicios en la nube o la inteligencia artificial, podrían verse reducidos en los próximos años.
El objetivo y los motivos están claros, pero ¿qué debe tener una contraseña para ser segura y robusta? Check Point Software da las claves definitivas para conseguirla:
• Cuanto más larga y variada, mejor: debe contar con una longitud mínima de entre 14 y 16 caracteres, además de estar formada por diferentes letras, combinando mayúsculas y minúsculas; además de símbolos y números. No obstante, tal y como se puede ver en la anterior tabla, con tan sólo aumentar hasta los 18 caracteres combinados, se llega a construir una clave completamente indescifrable. Esto se basa en la cantidad de intentos que requiere la práctica de fuerza bruta: el número total de combinaciones es igual al número de caracteres elevado a la de su longitud.
• Fáciles de recordar, pero complejas de adivinar: debe ser una combinación que solo el usuario conozca, por lo que es recomendable no usar datos personales como fechas de aniversarios o cumpleaños, o los nombres de familiares, ya que estos pueden resultar más fáciles de averiguar. Una manera sencilla de crear claves que cualquiera pueda recordar es utilizar frases completas, ya sea utilizando escenarios cotidianos o absurdos, con ejemplos como ‘meryteniauncorderito’, o su equivalente todavía más seguro con diferentes caracteres ‘@M3ry#Tenia1Corderito’.
• Únicas e irrepetibles: crear una nueva contraseña cada vez que se acceda a un servicio, evitando así usar una misma clave para distintas plataformas y aplicaciones. De esta manera se puede asegurar que, en el caso de que se vulnere una clave, los daños serán mínimos y más fácil y rápidamente reparables. Según una encuesta de Google y Harris Poll publicada en 2019, el 65% de los participantes reutilizan sus contraseñas en múltiples cuentas y servicios web.
• Siempre privadas: una premisa que puede parecer básica, pero es importante recordar. No hay que compartir una contraseña con nadie, siendo especialmente recomendable no apuntarla en ningún sitio cercano al ordenador o incluso en algún archivo dentro del mismo. Para esta labor, se puede contar con herramientas como los gestores de contraseñas, que realizan este mismo trabajo de manera más segura.
• La auténtica seguridad está a tan sólo dos pasos de nosotros: además de tener una contraseña fuerte y segura, el uso de una autenticación de dos factores (2FA) supone un gran aumento en la seguridad. De esta forma, cada vez que un atacante o una persona no autorizada quiera acceder a una cuenta ajena, el propietario de la misma recibirá un aviso en su teléfono móvil para que le conceda o deniegue el acceso.
• Cambiarla periódicamente: algunas veces, aunque se realicen todas estas prácticas, ocurren incidentes fuera de nuestro alcance, como las filtraciones de bases de datos de las compañías. Por ello, es recomendable revisar de manera periódica si un correo ha sido víctima de alguna vulnerabilidad a un tercero, así como tratar de rastrear las cuentas se han podido comprometer. Para ello, hay que contar con herramientas de acceso público como la web Have I Been Pwned, que tratan de recopilar la información básica de estas fugas para tratar de ofrecer un soporte y ayuda para los usuarios. De igual manera, aun si estas no han sido vulneradas, siempre se recomienda actualizar las contraseñas cada pocos meses.
“Cada día, los ciberdelincuentes crean nuevos ataques destinados a robar las contraseñas de usuarios. Técnicas como el phishing han conseguido vulnerar miles de servicios robando credenciales” comparte Eusebio Nieva, director técnico de Check Point para España y Portugal. “Este riesgo puede remediarse fácilmente estableciendo contraseñas seguras, haciendo mucho más difícil que los ciberdelincuentes logren adivinar estas combinaciones, garantizando el máximo nivel de seguridad para nuestros dispositivos”.
El fin de las contraseñas: la biometría como mejor alternativa
“Las contraseñas van a morir”. Así lo vaticinó en 2004 Bill Gates. De acuerdo con el magnate estadounidense, estos son los principales problemas y riesgos derivados del uso de las claves de acceso: son demasiadas -plataformas de streaming; redes sociales; correo electrónico personal y de trabajo- y, además, débiles. De hecho, según un estudio de Help Net Security, el 37% de los usuarios tiene más de 20 contraseñas, el 78% olvida al menos una de ellas cada tres meses, y el 57% ha restablecido alguna de sus claves en cuestión de 90 días.
Ante esta situación, anotarlas en un Post-it, usar combinaciones muy sencillas o emplear la misma contraseña siempre se ha convertido en un hábito, por lo que quedan muy expuestas a posibles hackeos. Por lo tanto, el futuro ideal implicaría olvidarlas y optar por la biometría. Con esta tecnología, gracias a la innovación en el desarrollo del software, es posible identificar usuarios por medio de su imagen facial o su voz en sólo tres segundos, independientemente del idioma que utilice o las palabras que enuncie.
Las contraseñas tradicionales han girado alrededor de los conceptos de “lo que sabemos” o “lo que tenemos”. Sin embargo, el futuro pasa por acreditar nuestra identidad (“lo que somos”). Es decir, lo que nos hace únicos. Ahí, nuestra biometría, voz y cara están demostrando ser la mejor contraseña posible. Utilizar nuestras características biométricas como credenciales de acceso no sólo es más cómodo y fácil de usar, sino que incrementa la seguridad a todos los niveles.
Recientemente, Veridas se ha posicionado en el cuarto lugar de las mejores compañías en biometría e identidad digital, tras la valoración del National Institute of Standards and Technology (NIST), considerado el organismo más prestigioso del mundo en la evaluación de motores biométricos.
Con motivo del Día Mundial de la Contraseña, Veridas, empresa tecnológica española especializada en identidad digital y biometría, destaca las mejores alternativas ante la obsolescencia de las contraseñas con mayor seguridad y con una usabilidad más sencilla:
1. Identificación biométrica por voz: un motor de biometría de voz es capaz de captar las características físicas únicas del aparato vocal y rasgos como la frecuencia, la velocidad y los acentos, y recopilarlas en un vector biométrico de voz único para cada persona. Este vector es irreversible, por lo que volver al audio original es imposible. El motor compara los vectores obtenidos de las grabaciones y ofrece un score de similitud. El reconocimiento es pasivo, ya que la tecnología es independiente del texto e idioma. Es decir, la comparación biométrica se relaciona con las características de la voz y no con el contenido de la frase.
2. Identificación biométrica facial: esta tecnología permite comparar dos imágenes faciales y determinar si corresponden o no a la misma persona. De esta manera, es posible verificar la identidad de un individuo mediante una comparación de la fotografía de su DNI y de un selfi. El motor biométrico de Veridas se basa en inteligencia artificial (IA) y está diseñado para velar en todo momento por la privacidad del usuario. Además, es robusto ante los cambios físicos -paso del tiempo y condiciones ambientales-; a diferentes ángulos o vistas parciales del rostro; ante una variedad de etnias y orígenes -el sesgo racial sólo se puede superar con motores entrenados correctamente-; y en la detección de diferentes identidades de similar apariencia -para proteger a los usuarios en los casos de suplantación de identidad, gracias a la capacidad de detección de vida-.
“Las contraseñas representaban antes la única manera de proteger la privacidad de los usuarios, pero esta situación ha cambiado. Cada vez tenemos más cuentas online y las claves de acceso son prácticamente infinitas. Estas alternativas biométricas frente a las contraseñas pueden resultar muy efectivas y seguras si se cuenta con el proveedor adecuado. Por eso, desde Veridas llevamos años investigando para implementarlas adecuadamente, porque tienen un potencial de desarrollo más que considerable y porque son el sistema más seguro de proteger nuestras cuentas actualmente. Para nosotros, no hay contraseña más segura que nosotros mismos: nuestra voz y cara”, afirma Eduardo Azanza, CEO de Veridas.