La reciente noticia del ataque informático sufrido por la compañía de comercio electrónico eBay ha vuelto a abrir el debate sobre la vulnerabilidad de los sistemas de seguridad en la red.
El anuncio del ataque a la base de datos de eBay se produce tan solo un mes después del fallo en el sistema de administración de cifrado OpenSSL, bautizado como Heartbleed, y calificado como uno de los fallos de vulnerabilidad de mayor alcance de la historia de la Web.
Según el comunicado de eBay, la base de datos afectada contenía nombres, contraseñas encriptadas, correos electrónicos, años de nacimiento, dirección postal y números de teléfono. La compañía ya ha pedido a sus usuarios que cambien sus contraseñas de acceso.
Las contraseñas son un sistema de identificación muy conveniente y fácil de aplicar a cualquier sistema informático, ya que los sistemas operativos tienen una gran facilidad para almacenar y manipular cadenas de texto como las usadas por las contraseñas. Sin embargo, la contraseña de texto es también una medida débil, ya que suelen crearse combinaciones fáciles de recordar y breves, con lo que adivinarlas u obtenerlas a través de programas especiales es un asunto sencillo.
Años de concienciación sobre la calidad de las contraseñas no han servido de mucho. Cuando una página web o una aplicación establece unos estándares mínimos de longitud y variedad (mayúsculas, números, caracteres especiales), el usuario suele repetir la misma contraseña “segura” que ya ha utilizado en otros sitios, con lo que un hacker tendría acceso a muchas cuentas de golpe.
Los expertos en seguridad recomiendan usar reglas mnemotécnicas –técnicas para facilitar el recuerdo- consistentes en usar variantes de una misma clave segura, en asociar cada carácter a una palabra o usar frases de canciones o poemas a modo de contraseña larga. Otra forma de evitar dificultades es emplear un gestor de contraseñas como DashLane, que además de recordar las claves a cambio de introducir una clave maestra, permite generar contraseñas muy fuertes al instante y asociarlas a las cuentas.
Las alternativas a las contraseñas
Los problemas asociados a las contraseñas de texto motivan la aparición de sistemas de identificación alternativos. Actualmente existe una gran variedad de sistemas que se emplean como sustitutos o complementos de las contraseñas y que podrían dividirse en cuatro grupos:
1. Claves conocidas
Las contraseñas son un tipo básico de clave cognitiva: son algo que el usuario sabe de memoria. Pero la memoria no solo se limita a las palabras, también es posible recordar caras, patrones geométricos, dibujos y hechos vitales con igual o mayor facilidad, puesto que resultan más significativos. Al asociarse con recuerdos y emociones, estas claves se recuerdan casi sin esfuerzo.
Los patrones de seguridad de Android y los dibujos trazados sobre fotos de Windows 8 son dos ejemplos de claves cognitivas más fáciles de recordar que las clásicas contraseñas, y más robustas frente a intentos de robo.
2. Claves físicas
La llave de casa es un tipo de contraseña física que se lleva a todas partes, igual que la tarjeta de crédito. La ventaja de un sistema de identificación así es que no es necesario recordar una clave compleja, ya que la que el usuario lleva consigo físicamente es lo bastante compleja como para proteger datos u objetos.
En informática, las claves físicas se han usado tradicionalmente como sistema de protección anti copia. Actualmente, gracias a los teléfonos móviles, se usan como complemento de seguridad en lo que viene a llamarse "verificación en dos pasos", esto es, el uso conjunto de una contraseña tradicional junto con un código enviado al teléfono.
3. Claves biométricas
Las huellas dactilares, ojos, voz y cara se utilizan en ordenadores equipados con sensores biométricos como sistema de autentificación. Android, con su reconocimiento facial, y iOS 7, con su lectura de huellas, son dos ejemplos de ello.
Sobre el papel, los sistemas de identificación biométricos parecen tenerlo todo para sustituir las contraseñas: no implican recordar nada, no se pueden robar y generan claves complejas. En la práctica, sin embargo, estos sistemas tienen pegas importantes: a mayor precisión, menor posibilidad de simulación, pero también menor fiabilidad a la hora de "escanear" al usuario.
4. Claves de conducta
El lugar en el que se encuentra el usuario, lo que hace o su reputación son fragmentos de información que pueden servir para complementar los sistemas de identificación clásicos. Muchos de estos mecanismos son automáticos: por ejemplo, una página puede impedir el acceso con contraseña si detecta que se está efectuando desde un lugar poco habitual o desde una dirección de baja reputación.
La popularidad de este tipo de identificación, sin embargo, sigue siendo baja, quizá por el escaso control que el usuario puede ejercer sobre la misma.
5. Combinar diferentes tipos de identificación, la clave para la máxima seguridad
Ninguno de estos sistemas ofrece una seguridad total por sí solo. La mejor manera de aumentarla es usar más de un factor de identificación.
La autenticación multi-factor presenta sin embargo problemas de implementación difíciles de superar a corto plazo. Solo las grandes compañías de software y los grandes sitios web pueden permitirse la aplicación de sistemas similares, sobre todo si implican el uso de sensores biométricos o llaves físicas.
Y es que la popularización de los sistemas de verificación en dos pasos por parte de Google, Facebook y Twitter, así como el reciente impulso dado a la biometría por parte de Apple, son señales muy prometedoras para la superación de la contraseña como sistema de identificación informática. Quizá en el futuro sea posible asistir a una verdadera explosión de la identificación de múltiples factores.