Por qué “lápiz empanada ruedines piscina” es una contraseña segura

Yahoo sufrió en 2013 un robo de 3.000 millones de cuentas de correo electrónico durante una brecha de seguridad. En 2014, la firma registró otra sustracción masiva que afectó a 500 millones de cuentas. Un año más tarde la web de citas Friend Finder sufrió un hackeo que implicó el robo de datos de 412 millones de usuarios. Un ataque en 2017 a la financiera estadounidense Equifax afectó a 146 millones de clientes. Y en 2018, un hacker robó la información personal de 500 millones de clientes de la cadena hotelera Marriot. Estos son los cinco peores ciberataques corporativos de la historia por número de afectados. Pero no los únicos. Uber, Adobe, Sony o LinkedIn son solo algunas de las múltiples empresas que han sufrido robos masivos de contraseñas en los últimos años.

“Las credenciales de los usuarios son muy valiosas, ya que permiten tanto su venta masiva en los mercados alternativos como la posibilidad de generar nuevos ataques contra los usuarios o las empresas de donde han obtenido sus datos de acceso”, explica el investigador en seguridad informática Jaime Sánchez, que trabaja en una multinacional de las telecomunicaciones. Cuando un usuario tiene que elegir una contraseña, tiende a construirla de la misma forma, con la misma información personal como base, y usando las mismas ideas para añadir complejidad a la misma. Sánchez ha recopilado junto al también investigador en seguridad informática Pablo Caro miles de millones de contraseñas reales de proveedores como Yahoo, Badoo, Adobe o LinkedIn con el fin de hacer un análisis a gran escala de esos comportamientos comunes.

La principal conclusión de este estudio, presentado en el congreso de seguridad informática RootedCon 2019, es que la inmensa mayoría de usuarios tiene contraseñas muy débiles e inseguras que podrían ser descifradas por un atacante de forma rápida y sencilla. La mayoría de contraseñas suelen estar formadas por entre siete y nueve caracteres. Caro, que es miembro del equipo de hacking de una empresa española, explica que lo normal es que un usuario construya su contraseña utilizando una palabra común. Por ejemplo, un nombre de un familiar o una mascota, su lugar de trabajo o el nombre de su pueblo. Después, según señala, es habitual que aplique “mutaciones” a partir de dichas palabras: “Añadir un número o un símbolo al final, cambiar una letra por un número parecido, poner la primera letra en mayúscula…”.

El 20% de las contraseñas son muy fáciles de romper, el 60% tienen una dificultad media y el 20% son bastante difíciles, según han comprobado ambos expertos al realizar el análisis. Entre las más sencillas, están “1234”, “querty” o “asdfg”. Mientras que la población occidental suele utilizar más letras en sus contraseñas, las personas orientales optan por números porque les resulta más fácil recordarlos. Además, los números tienen significados individuales cuando suenan en la lengua china. Por ejemplo, el número 5 en chino se lee como “wu”, que a la vez se pronuncia de forma parecida a la palabra china que significa“yo”. Una credencial habitual en China es 5201314, ya que hace referencia a la expresión inglesa “I love you forever and ever” (te quiero para siempre, en español).

Todas estas contraseñas normalmente no se almacenan en texto plano, sino que se utiliza un hash —un algoritmo que cifra una entrada y devuelve un código de salida encriptado—para protegerlas y dificultar la tarea a un atacante. Sánchez sostiene que generalmente se utilizan dos métodos para identificar contraseñas a través de un hash: fuerza bruta y diccionarios. “En el caso de fuerza bruta, lo que se realiza es una combinación del espacio de caracteres deseado, con una longitud fija o incremental, hasta que se dé con la combinación correcta. Cuando realizamos un ataque con un diccionario, los diferentes intentos se realizan utilizando información conocida, como una lista de palabras en un idioma concreto o de contraseñas comunes”, afirma.

Este tipo de ataques se realizan de forma combinada y, según se obtenga información adicional del objetivo, se reorienta y optimiza el proceso con otras técnicas: “Una vez obtenida la contraseña hasheada, siempre será posible obtener la original”. El problema radica en el factor tiempo y en el coste. Dependiendo del algoritmo para proteger la contraseña, y el hardware que se utilice para realizar el proceso, se podría tardar desde tan solo unos milisegundos hasta millones de años. “Por ejemplo, una contraseña de 10 caracteres como ‘m@4#J%CN5P’ implica, en el peor de los casos, realizar un ataque sobre 60.510.648.114.517.017.120 combinaciones posibles. Teniendo acceso a una instancia en la nube que realiza 450.000.000.000 comprobaciones por segundo, el tiempo máximo para obtener la contraseña sería de unos cuatro años 266 días 23 horas y 47 minutos, con un coste aproximado de 347.740,33 dólares”, explica.

Un gran número de usuarios utilizan la misma contraseña en todas sus cuentas, tanto personales como empresariales. “Si logramos atacar una infraestructura más débil, como un foro de deportes en Internet donde el usuario esté registrado, es posible que también obtengamos unas credenciales adecuadas para acceder de forma remota al espacio de trabajo del usuario dentro de la empresa”, afirma Sánchez. Eso genera al atacante nuevos objetivos y permite evitar ciertas medidas de seguridad a las que debería enfrentarse si no tuviera unas credenciales válidas.

De esta forma, tal y como subraya Caro, “alguien podría hacerse con gran parte de la identidad digital de una persona” y usar las cuentas de email para registrarse en servicios de pago, usar tarjetas de crédito almacenadas en tiendas online para realizar compras e incluso usar la información personal conseguida para intentar estafar al usuario de formas increíblemente sofisticadas. “Hasta el acceso a nuestra agenda de contactos tiene valor, porque puede utilizarse para engrosar listas de envío de spam o continuar el ataque”, añade.

Cualquier persona malintencionada con suficiente conocimiento técnico puede robar credenciales, “bien para utilizarlas o para venderlas en el mercado negro de la deep web”. Aunque en ocasiones en casos de hacktivismo o espionaje estos ataques pueden atribuirse a algún actor, Sánchez asegura que la mayoría de veces no tienen autoría.

Cómo crear contraseñas seguras

Ambos expertos recomiendan utilizar un gestor de contraseñas como LastPass o KeePass a los usuarios que quieran confiar en un tercero. Son programas que se encargan de generar contraseñas aleatorias y las recuerdan por el usuario. También aconsejan crear contraseñas largas construidas con palabras aleatorias que sean fáciles de recordar para el usuario y dificulten la tarea de un posible atacante. Caro pone como ejemplo la siguiente contraseña: "Lápiz empanada ruedines piscina". Y Sánchez añade algunas indicaciones: “Nunca debería ser una frase hecha o presente en literatura o letras musicales, no debe contener información del usuario, su empresa o datos personales y debe incluir cuatro o cinco palabras diferentes”.

Aún así, en muchas ocasiones el usuario no puede evitar que alguien se haga con su contraseña. Por ejemplo, al hackear un servidor que almacene su contraseña hasheada de forma insegura o sin hashear. “Por norma general, es posible encontrar ciertas vulnerabilidades en los sistemas de la gran mayoría de empresas. Esto es una debilidad o un fallo en el sistema que puede poner en riesgo la información, permitiendo a un atacante comprometer la integridad, disponibilidad, o como en el caso de los robos masivos, la confidencialidad de los datos”, explica Sánchez. Las causas de estas vulnerabilidades, según señala, pueden ser muy diferentes: desde fallos de diseño, errores de configuración o falta de actualización hasta carencias en algún procedimiento.

En estos casos, ambos coinciden en que la forma de proteger el acceso a sus cuentas es utilizar un segundo factor de autenticación. Por ejemplo, un código generado por una app del móvil o enviado por SMS, que se solicita además de la contraseña. “De esta forma, incluso aunque alguien se hiciese con nuestras credenciales, no podría acceder a nuestras cuentas, ya que tendría que tener acceso físico a nuestro móvil”, afirma Caro. También es posible añadir cierto nivel de dificultad de tal forma que, además de introducir una contraseña, el usuario confirme su identidad con algo que tiene —como un token USB o una tarjeta de coordenadas— o algo que es —información biométrica como la huella, la voz o el rostro—. “La autenticación de dos o más factores, al realizar comprobaciones mediante mecanismos diferentes, agrega una capa de seguridad a nuestros servicios y aplicaciones personales como nuestros portátiles o teléfonos móviles, y a nuestros servicios online de terceros como Google, Outlook o Facebook”, concluye Sánchez.