Aunque inseguras, las contraseñas se niegan a morir

Primero se apagó el teléfono. Luego, no pudo ingresar a su Gmail. Para Mat Honan, periodista y escritor de la revista de tecnología Wired, esos dos episodios, que ocurrieron en un par de minutos, terminaron con toda su vida digital. Fotos, aplicaciones, correos electrónicos, su Twitter. Toda su información quedó destruida en sólo una hora.

A principios de agosto de este año, Honan jugaba en el piso con su hija. Echó un vistazo a su celular y notó que se había apagado. Como tenía que hacer una llamada, lo enchufó y apareció la pantalla de la configuración inicial. Había perdido todos los archivos almacenados ahí. “No importa, hago un respaldo todas las noches en iCloud (servicio de almacenamiento en la nube de Apple)”, pensó. Se dirigió a su computador, intentó abrir su correo y no pudo. El usuario no existía. A esas alturas, intuyó que algo andaba mal. Estaba siendo hackeado.

Llamó al soporte técnico de Apple y trató de descifrar con ellos qué había pasado. No era la primera llamada que habían realizado en su nombre ese día. Un hacker llamado Phobia sólo tuvo que ver su perfil de Twitter e ingresar a la página web personal publicada ahí para encontrar el correo Gmail de Mat.

Luego, intentó recuperar la clave. Ahí, apareció una cuenta de correo de Apple que funcionaba como una dirección alternativa para recuperar la contraseña. Le bastó llamar a Amazon y hacerse pasar por Mat para que le entregaran los cuatro últimos dígitos de su tarjeta de crédito, información vital para que Apple le restableciera una clave provisoria y pudiera ingresar a todo.

El soporte telefónico de la manzana entregó los datos en bandeja, a pesar de la incapacidad del interlocutor de responder las preguntas de seguridad y con sólo dos simples datos que el pirata informático entregó, información que cualquier persona con internet y un teléfono puede descubrir fácilmente.

Con esos simples pasos, y en menos de una hora, ya habían restablecido la contraseña de Gmail para poder entrar al Twitter de Mat, el objetivo inicial del hacker . Para terminar de perjudicar a la víctima utilizaron la aplicación “Find My iPhone” para borrar de forma remota los datos de su teléfono, del iPad y de su MacBook. El paso siguiente fue eliminar la cuenta de Google. “Fotos irreemplazables de mi familia, del primer año de mi hijo y parientes que fallecieron no eran el objetivo. Tampoco fueron los ocho años de mensajes de mi cuenta de Gmail. El objetivo fue siempre Twitter”, escribió Mat Honan.

La cuenta de esta red social fue utilizada para publicar mensajes racistas y homofóbicos; la idea era quedarse con el nombre de usuario @mat porque el hacker quería usarla como propia.

“En muchos sentidos, fue mi culpa. Tenía todas mis cuentas ligadas. Pero también hubo fallas en los sistemas. Apple está trabajando duro para que todos sus clientes lleguen a utilizar iCloud. Google está basado en la nube. Y Windows 8, cuyo corazón es la nube, llegará a los escritorios de decenas de millones el próximo año. Mi experiencia me lleva a creer que éstos necesitan medidas de seguridad diferentes. Los mecanismos con contraseña, que puede ser violada, reseteada, y desarrollada socialmente, ya no son suficientes en la era de la nube”, reflexiona Honan, quien ya logró tener de vuelta su cuenta de Twitter y aún intenta recuperar algunos de sus datos.

¿Sistema en extinción?

El caso de Mat Honan no es el único. Sólo en 2012, 30 millones de contraseñas de todo el mundo han sido robadas o filtradas desde diferentes sitios de internet. El caso más reciente ocurrió el lunes pasado, cuando 28 mil contraseñas de usuarios del servicio de pago PayPal, propiedad de eBay, fueron vulneradas.

Estos episodios, que se hacen cada vez más comunes, son ataques de avezados hackers que siguen poniendo en jaque la efectividad y seguridad del sistema de “usuario/contraseña” con la que todos ingresan a páginas web, computadores y celulares.

En 2011, IBM aseguró que en el futuro, como método de autentificación, las contraseñas deberían dejar de usarse. El sistema falla y mucho, pero ¿podrá desaparecer y ser reemplazado por otro, como lo afirmó IBM?

Es poco probable, pero la respuesta no es definitiva.

“Es muy práctico, y eso le hizo permanecer en el tiempo. Para buscar una alternativa hay que balancear la usabilidad con la seguridad, y hasta ahora no existe nada más fácil que ingresar el usuario y la contraseña”, dice Francisca Moreno, analista de amenazas de McAfee Labs.

Las alternativas que refuercen el sistema se harán más comunes en el futuro. La primera de ellas es la biometría, que se encarga de reconocer la voz (como Siri, de Apple), la huella digital, el rostro e incluso el iris del ojo. Ya lleva un tiempo implementándose en notebooks personales y otros dispositivos, y está presente en grandes empresas.

“No creo que la biometría llegue a reemplazar las contraseñas porque ya no demostró ser capaz de hacerlo, aunque es una alternativa viable para poder resguardar las claves”, opina Raphael Labaca, coordinador de Awareness & Research de ESET Latinoamérica.

Pero no es la única alternativa. “Single Sing On” (SSO) es un mecanismo diseñado para simplificar la decena de contraseñas -una para cada cosa y muy difíciles de memorizar- reemplazándolas por una sola clave maestra.

Las compañías lo usan para resguardar sus datos, pero también existe una de sus versiones al alcance del usuario llamada “OpenID” (http://openid.es ).

En sitios que soporten OpenID, los cibernautas no tienen que ingresar sus datos para obtener acceso, el sistema lo hace por ellos y permite acceder a cientos de sitios web sin recordar las diferentes claves de acceso. También está OneID ( http://www.oneid.com ), una aplicación parecida que tratará de hacerse masiva en el mundo móvil, pero que aún está en período de prueba.

“Estos métodos tienen un ‘punto único de fallo’: si llegara a ocurrir un problema con la base de datos, se perderían todas las contraseñas del usuario. La solución es tener un respaldo”, explica Labaca.

Otra de las alternativas se llama “autentificación de doble factor”. “Si hubiera utilizado autentificación de dos factores para mi cuenta de Google, es posible que nada de esto hubiera pasado”, se lamentó Mat Honan. Claro, en el preciso momento en que el hacker apretó “restablecer contraseña” en Gmail, esa misma información hubiera llegado al iPhone de Honan, mucho antes de que lo borraran, advirtiéndole la acción y evitando este burdo ataque que acabó con toda su vida digital.

La autentificación de doble factor se basa en un segundo código que se envía al celular, previamente inscrito, cuando alguien intenta ingresar desde un dispositivo no fiable. Gmail lo tiene incorporado en su sistema, pero en Chile no logró conseguir masividad. Se puede activar enhttps://accounts.google.com/b/0/SmsAuthLanding ). Es el mismo que utilizan algunos bancos del país como una tercera clave que envían al hacer una transferencia electrónica.

“Muchos servicios ya tienen esta modalidad. No lo imponen por temor a que el concepto no se entienda y la gente deje de usar el servicio, pero de a poco se irán interesando”, explica Dmitry Bestuzhev, director de investigación y análisis de Kaspersky Lab.

El caso de Mat Honan es emblemático para ejemplificar la importancia de este método.

Los especialistas en seguridad informática coinciden en que no hay mejor sistema que el usuario/contraseña. “Todos los mecanismos son inseguros. Las claves son vulnerables porque las personas las hacen fáciles. A futuro, es su comportamiento el que debe cambiar para que disminuya este problema”, apunta Labaca.


Robar dinero   es el principal 
objetivo que tienen los delincuentes cibernéticos cuando sustraen una clave en internet. El segundo es obtener datos personales para venderlos a la publicidad.

1234 es la contraseña más usada en el mundo entero.

 

http://www.mer.cl/Pages/SearchResults.aspx?ST=aunque%20inseguras&SF=&SD=11-10-2012&ED=10-11-2012&NewsID=90094&IsExternalSite=False

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s