Peligro: contraseñas frágiles

Las contraseñas fáciles de adivinar son una de las principales debilidades en el planeta de la seguridad informática. Facebook acaba de lanzar un servicio que ofrece claves que duran 20 minutos. Esta solución está pensada para aquellos que quieran acceder a la Red desde un ordenador público. El empleo de la contraseña habitual en estas máquinas puede dejar expuesta la misma a cualquiera. Para evitarlo, el internauta debe remitir un SMS a Facebook solicitando una de estas contraseñas temporales, de usar y tirar. Si tiene el número de móvil registrado en su perfil, de tal manera que Facebook puede comprobar la autenticidad de la llamada, se le enviará una de estas claves. El servicio está ya activado en Estados Unidos y pronto lo estará en el resto de países.

Entre las 'llaves' más utilizadas destacan '123456' y 'Iloveyou'

Lo ideal es que sean complicadas y largas; el problema es recordarlas

Hay programas en la Red que averiguan claves a base de probar y probar

Es recomendable guardar los datos en archivos cifrados

La iniciativa de Facebook solo es una muestra de la preocupación por la seguridad. Periódicamente se publican noticias sobre robos de claves por infinidad de métodos. A la republicana Sarah Palin, por ejemplo, le robaron la suya de Yahoo! mirando qué tipo de preguntas había puesto ella misma para que Yahoo! verificara su identidad y remitirle una nueva contraseña, en caso de olvido de la vigente. El intruso adivinó las repuestas y se paseó por su cuenta.

En Internet hay programas para generar claves más o menos seguras. Uno de ellos es el creado por Alberto Ortega, uno de los editores del blog SecurityByDefault. "Básicamente el programa se asegura de que la contraseña generada no sea predecible, tenga una longitud aceptable, mezcle diferentes tipos de caracteres y dentro de lo posible sea única", comenta. Aunque todas estas precauciones no la hacen inmune.

También hay aplicaciones para buscarlas. Estas, usadas por los atacantes, se basan en la fuerza bruta. Su técnica es la del diccionario. Prueban todo tipo de variantes hasta encontrar la fórmula exacta. La ventaja es que el ordenador no se cansa de hacer pruebas. Una solución para anular su efectividad es que el servicio que pide la llave limite los intentos de introducir la correcta a tres o cinco. A la sexta, el acceso queda bloqueado.

David Pérez, analista de seguridad de Taddong, comenta que las claves más frágiles son las cortas y previsibles, las que se basan en la fecha de nacimiento, el propio nombre de la cuenta... En las estadísticas de contraseñas más usadas figuran en los primeros puestos combinaciones tan primarias como 123456 o Iloveyou. "El remedio es construir una clave larga. El problema que tiene entonces el usuario es que no las recuerda". Pérez da un consejo sencillo para construir largas y memorizables: una frase de paso. "Si escribes una frase comprensible para ti, como 'Mi perro es el más bonito' tienes una contraseña larga que aporta más seguridad que una corta, aunque haya signos raros".

Otra cautela que hay que observar es no repetir la misma clave en todas las cuentas que lo soliciten. El peligro está en que si la adivinan... podrán acceder a todas. Pero el modificar la clave de acceso en cada una de las cuentas vuelve a plantear el inconveniente de siempre, la dificultad de recordarlas. Muchos cometen una nueva torpeza para salvar este obstáculo: guardarlas en el ordenador en un fichero de texto. Si alguien accede al mismo tendrá todas las llaves. "La solución está en programas accesibles en Internet, como Passwordsafe o Keypass, que generan un fichero cifrado con todas las claves. Aunque alguien acceda al mismo no podrá consultarlo. En este caso, lo que nunca debe hacerse es guardar la clave de acceso al fichero en un documento del ordenador. Al tratarse de una única clave, recordarla es más fácil". Como siempre, la fórmula no es segura al cien por cien. Si el ordenador está infectado por un virus que lee las pulsaciones del teclado para captar lo que escribe su propietario, cuando este introduzca la contraseña para leer el fichero... el virus la remitirá al asaltante.

La obligación de cambiar la contraseña con mucha frecuencia es una práctica que impera en muchas empresas. David Pérez admite que este hábito aumenta la seguridad, pero crea mucha incomodidad al empleado, que "al final, hace cambios muy previsibles como 'pepe1', 'pepe2', etcétera". Nuevamente, la solución que recomienda es la contraseña kilométrica.

El catálogo de métodos para robar la contraseña es larguísimo. Incluso cuando todas las argucias técnicas fallan queda otro flanco: el fallo humano. La ingeniería social, el engaño, es una de las herramientas más usadas para obtener este tipo de información. Se llama a un empleado informándole de que, por una rutina de seguridad, se están cambiando las claves empresariales y que debe suministrar la actual para anularla. El empleado, confiado, la suministra, y el ladrón ya tiene su botín.