Contraseñas vulnerables
El caso de Paris Hilton demuestra lo fácil que puede ser conseguir la clave informática de otra persona
La mayoría de las veces que alguien entra fraudulentamente en un ordenador ajeno no es porque sea un sabiondo de la informática. Lo logra porque conoce la contraseña. Esta llave informática es tan imprescindible como vulnerable si no se toman precauciones básicas. El último episodio de intromisión por este motivo lo ha protagonizado una famosa heredera, Paris Hilton.
La joven de EE UU albergaba en una página de Internet la agenda telefónica y datos personales. Para consultarla debe introducirse una clave. Como muchas páginas de la Red, para ayudar al cliente desmemoriado, al protocolo de la contraseña se añade una pregunta mnemotécnica. La de Hilton era "el nombre de mi mascota". Y Hilton cometió una penosa imprudencia. Había perdido su chihuahua. Ofreció una recompensa de 50.000 dólares de rescate... y dio el nombre. Alguien advirtió de que la pregunta para recordar la contraseña era el apellido del perrito y entró en su página. A las pocas horas, la lujosa agenda de Hilton -con teléfonos de Christina Aguilera, Eminem, o Kournikova- circulaba por Internet, además de fotos osadas de la propietaria. "Pido perdón a mis amigos y familiares. No sé por qué estas cosas siempre me pasan a mí", dijo a US Weekly. Hace meses, circularon por Internet escenas de alto voltaje de ella con su novio, aunque ahí la causa no fue la contraseña sino una infidelidad en la custodia de los documentos audiovisuales.
Poco a poco se usarán técnicas de acceso biométricas, como el reconocimiento facial
Un estudio de 1979, de Morris y Thompson, estableció que las máquinas del momento necesitarían 66 años para descifrar una contraseña de ocho caracteres con números y letras. El equipo de seguridad informática de la Politécnica de Cataluña, EsCert, acaba de probar el supercomputador Mare Nostrum. En un mes generó todas las contraseñas de ocho caracteres.
Pero la mayoría de contraseñas ni tan siquiera llegan a este umbral de complicación y no hace falta la "fuerza bruta" de un gran ordenador para localizarla. Diseñar una clave difícil no tiene misterio. El problema es que la memoria humana se resiste al esfuerzo de recordar una fórmula aleatoria y el usuario tiende a escoger claves sencillas. Es más habitual escribir el nombre de un ser querido que hd7?mg8! CentralNic lideró en el 2001 un estudio con 1.200 oficinistas británicos. Un 32% recurría a nombres de famosos. Más del 40%, nombres de familiares. Un 11%, palabras de resonancias eróticas y sólo un 9% acudía a fórmulas aleatorias.
Para obtener una contraseña ajena lo más frecuente es el engaño, comenta Manel Medina, director de EsCert. Se conoce como "ingeniería social". "Un 70% de las entradas fraudulentas es por inge
niería social. El primer consejo es desconfiar, no suministrar la clave. Una astucia habitual es llamar a la víctima haciéndose pasar por administrador de sistema y solicitar la contraseña para un cambio o comprobación técnica", asegura. Poco a poco, la contraseña alfanúmérica podrá sustituirse por técnicas biométricas como el reconocimiento facial y digital.
Consejos para tener una 'llave' robusta
Hay fórmulas para crear una contraseña complicada y, al tiempo, memorizable. Manel Medina recomienda "hacer servir más de una palabra, cambiar alguna letra por números o signos de puntuación, evitar, en definitiva, lo que se conoce como ataque del diccionario", cuando la máquina del intruso rastrea las palabras del vocabulario.
"Si alguien malicioso dispone de tu contraseña un solo minuto puede vaciar tu disco duro o tu cuenta corriente". En Internet hay sitios para chequear la seguridad de una contraseña. En Securitystats, por ejemplo, se puede introducir la clave en una ventana y analiza en línea su robustez. En una prueba con una clave ficticia el resultado fue desolador. Era "débil".
Al crearla hay que procurar que sea larga y se pueda escribir rápido, sin leer el teclado para evitar el llamado "espionaje por encima del hombro". Si se trata de una clave para acceso personal y no se ha comprometido con terceros, para que ellos también accedan a la máquina, es recomendable cambiarla periódicamente. En muchas empresas, los sistemas corporativos avisan a los empleados de que su clave caduca en un plazo y que deben cambiarla. Un vicio muy extendido es repetir la misma clave al hacer el cambio. Tampoco debe repetirse el login (identificador) como contraseña. Es recomendable no escribir una contraseña que refleje un dato personal fácilmente obtenible, como la matrícula del coche o la fecha de nacimiento. Y no guardarla escrita en lugares accesibles.
