Infografía. NOOC Creación y Gestión de Contraseñas.

Esta es la infografía presentada como reto final 

del NOOC Creación y Gestión de Contraseñas, de AprendeIntef.

Creación y Gestión de Contraseñas. Febrero 2020

Material Teórico del NOOC. Creación y Gestión de Contraseñas. AprendeIntef Febrero 2020.

Esta obra está bajo una licencia de Reconocimiento-CompartirIgual 4.0 Internacional.

--------------------------------------------------------------------------------------------------------------------------

La importancia de las contraseñas

Desde tiempos inmemoriales la humanidad ha guardado bajo llave sus pertenencias y secretos para protegerlos de accesos no deseados. De hecho, se han encontrado cerraduras egipcias que datan del 2000 a.C. aunque se cree que fue un invento importado de China.

Hoy, una parte no despreciable de nuestras pertenencias y secretos se ha despojado de su fisicidad y está almacenada como ceros y unos en nuestros dispositivos o en la nube. Así, también se han vuelto inmateriales las llaves que dan acceso a esos datos y servicios: las contraseñas.

Una contraseña o clave es una forma de autenticación que da acceso a ciertos recursos y servicios. Al igual que sucedía en la antigüedad cuando los centinelas que vigilaban una determinada posición pedían el "santo y seña" a quien se acercaba, las contraseñas suelen ir asociadas a un usuario (santo).

¿Te has parado a pensar cuántas veces al día introduces una contraseña en tu dispositivo? ¿Cuántos servicios utilizas que requieran autenticación? ¿Qué podría pasar si dejaras la "puerta abierta" a todos tus dispositivos, datos y servicios? ¿Si alguien no deseado se hiciera con tus claves de acceso bien robándolas bien "adivinándolas"?

Las contraseñas dan acceso a datos y servicios de gran valor para nosotros como pueden ser nuestros ahorros a través de la banca online o nuestra identidad digital a través de nuestro correo electrónico y redes sociales y por ello debemos ser especialmente diligentes a la hora de gestionarlas.

Hay cuatro normas básicas que debemos respetar:

- Que sean secretas. Esto implica no compartirlas con nadie ni tenerlas apuntadas donde pueda acceder un tercero. También supone tener especial cuidado con las preguntas de seguridad que nos permiten "recuperarlas": las respuestas deben ser igualmente secretas (el nombre de tu perro, por ejemplo, no es una información que solo tú conozcas)

- Que sean robustas. Veremos cómo crear contraseñas robustas en el siguiente apartado.

- Que sean únicas. Debemos usar una contraseña distinta para cada uno de los servicios que usemos para que, no comprometamos la seguridad de todos en el caso de que se dé un robo de contraseñas en uno de ellos.

- Que tengan fecha de caducidad. Debemos cambiar con frecuencia nuestras contraseñas y siempre que pensemos que pueden haberse visto comprometidas. Es importante que las nuevas -que deben seguir estas mismas cuatro normas básicas- no sean transformaciones predecibles de la anterior.

Contraseñas robustas

Una contraseña robusta es aquella que por su longitud y configuración es difícil de adivinar tanto para alguien que nos conozca bien como para piratas informáticos.

Pero, ¿qué características tiene una contraseña robusta? y ¿cómo podemos crear contraseñas robustas que sean fáciles de recordar?

- Longitud y tipo de caracteres.

Existen programas diseñados por piratas informáticos para probar -y robar- miles de contraseñas por minuto. En función de la longitud de nuestra clave y del tipo de caracteres que usemos, tardará en probar las distintas combinaciones entre centésimas de segundo (0,02 tres minúsculas) y billones de milenios (154.640.721.434 milenios para claves de 14 caracteres de todos los tipos según la tabla que aporta INCIBE)

Una contraseña segura debe tener al menos ocho caracteres y combinar mayúsculas, minúsculas, letras y símbolos

- Contraseñas predecibles

Todos los años la compañía de ciberseguridad SplashData publica una lista con las 100 contraseñas más utilizadas -y por tanto las más inseguras- y año tras año encabezan el ranking "123456", "password" (contraseña en inglés), "12345678", “qwerty” (primeras seis letras del teclado) y "12345".

Este podio y el resto de la lista nos da buenas pistas de los tipos de contraseñas que no debemos utilizar: ni palabras ni nombres propios ni combinaciones de teclas consecutivas en el teclado.

También son predecibles las contraseñas que se basan en datos o gustos propios, por ejemplo, la fecha de nacimiento o de boda, el nombre de tu cantante favorito o tu número de teléfono.

- Trucos nemotécnicos

¿Es posible tener contraseñas robustas y únicas para cada servicio y recordarlas sin pasarse días estudiándolas? Sí, existen multitud de trucos nemotécnicos que nos pueden ayudar a no caer en el chiste que plantea XKCD en su viñeta.

[Viñeta de XKCD con licencia CC BY NC]

Uno sencillo y efectivo es partir de una frase sencilla que puedas memorizar y quedarte con la primera letra de cada palabra. Si introduces en esta PassPhrase mayúsculas y símbolos tanto mejor. Por ejemplo "La casa de Ana Sánchez tiene 5 estrellas" > LcdASt5*

Ya tienes una contraseña base robusta. Ahora solo tienes que individualizarla para cada servicio. En nuestro caso, vamos a optar por usar la tercera letra del servicio que estemos usando en mayúscula como si fuera el segundo apellido de Ana. Por ejemplo, para Facebook nuestra contraseña quedaría así: LcdASCt5*

SEGURIDAD EN DISPOSITIVOS MÓVILES

Al igual que hacemos con nuestros servicios en línea, nuestra wifi o nuestro usuario en el ordenador de sobremesa, es importante que protejamos nuestros dispositivos móviles. Debemos evitar el acceso físico a personas no deseadas tanto a los contenidos del mismo y a los servicios a los que este da acceso como a los servicios de telefonía móvil.

Acceso a la SIM

La tarjeta SIM (Suscriber Identity Module) contiene un chip que almacena, entre otras cosas, la clave de servicio del suscriptor usada para identificarte ante la red de telefonía y poder acceder al servicio. Para evitar que personas no deseadas puedan llamar o navegar a tu costa debes protegerla con un PIN ya que una tarjeta SIM bloqueada solo permite la realización de llamadas de emergencia.

El PIN (Personal Identification Number) es un tipo de contraseña utilizado para dar o revocar el acceso a un determinado sistema. Se utiliza principalmente en las tarjetas bancarias y en servicios de telefonía.

Acceso al dispositivo

Nuestro dispositivo móvil da acceso a muchos datos propios (y de terceros) así como a múltiples servicios -algunos de ellos de pago- que debemos proteger también. A continuación veremos algunos sistemas para bloquear el acceso no autorizado a nuestros terminales.

Es importante recalcar que los dispositivos móviles basados en Android no disponen por defecto de un código de acceso y debemos activarlo a través del menú de ajustes.

Código de acceso PIN o contraseña

Cuando nuestro dispositivo móvil tiene establecido un código de acceso y la pantalla está bloqueada, deberemos introducir el PIN o contraseña para poder operar con el.

Si hemos optado por la opción de desbloqueo vía PIN, este será un código numérico (0-9) de entre 4 y 16 dígitos. A mayor longitud, mayor seguridad.

Si tenemos la opción de "contraseña" activada deberemos introducir una contraseña alfanumérica en la que habremos podido combinar mayúsculas, minúsculas, dígitos y símbolos. Esta opción es más segura que la anterior pues nos permite establecer una contraseña robusta más corta.

Patrones de desbloqueo

Se trata de un dibujo que llevamos a cabo sobre la pantalla del móvil uniendo entre 4 y 9 puntos en una matriz de 3x3 y que, si es correcto, desbloquea el dispositivo.

Si bien se estima que este sistema es el elegido por casi la mitad de los usuarios de Android para proteger sus terminales, distintos estudios han puesto de relevancia la vulnerabilidad del mismo. Para empezar, los patrones son más fáciles de recordar que los dígitos y la mayoría de las personas (60% según esta investigación) puede reproducir un patrón después de ver cómo es introducido una única vez, porcentaje que baja al 10% en el caso de contraseñas numéricas.

Si optas por proteger tu dispositivo por medio de patrones te recomendamos:

- Usar al menos seis puntos en tu dibujo. Será más difícil de adivinar por la persona que tienes en la mesa de al lado de la cafetería aunque, por contra, será más fácil de descifrar para este algoritmo )

- Desactivar la opción de huella (el equivalente a “reveal password”) de modo que no se impresione el patrón en la pantalla mientras lo haces.

- No empezar por una de las cuatro esquinas (el 70% de los usuarios lo hace)

- No formar letras y mucho menos tus iniciales (una de cada diez personas crea estos patrones).

Autenticación biométrica

Hace no demasiado la autenticación biométrica quedaba reservada para las películas de ciencia ficción. Pero en los últimos años esos sofisticados sistemas del futuro se han hecho presentes y hoy casi todos los dispositivos móviles de última generación incorporan alguno de ellos (o varios).

HUELLA DACTILAR

Las huellas dactilares son una característica individual que se usa desde la antigua Babilonia como medio de identificación de las personas pues las tenemos durante toda la vida, son inmutables y únicas para cada persona. Por ello se utilizan como prueba forense, en los registros oficiales de identidad o, últimamente, en algunos controles de acceso y relojes de fichar de empleados.

Estas características y usos no hacen suponer que es un sistema infalible para proteger nuestros dispositivos y nos dan seguridad a la hora de bloquear nuestro dispositivo o realizar compras online. Sin embargo, los sensores de huellas de los dispositivos también son vulnerables.

Un estudio de la Universidad de Nueva York en colaboración con la de Michigan demostró que, en el 65% de los casos, los teléfonos podían desbloquearse a través de unas "huellas maestras" que aglutinan las características más comunes de las huellas dactilares y es que estos sensores realizan una lectura básica de nuestras huellas.

Además, en 2014 el Chaos Computer Club demostró que es posible reproducir una huella dactilar a partir de una fotografía usando un determinado software.

Pero también puede ser que, en un descuido, alguien se plante tu dedo en el sensor. Esto fue lo que le sucedió a la madre de una niña de seis años que, aprovechando que esta dormía, compró 250 dólares en juguetes en una tienda online :D

RECONOCIMIENTO FACIAL

En la década de los 60 el matemático y pionero en inteligencia artificial Woody Bledsoe inauguró la investigación en el campo del reconocimiento facial. Desde entonces, y especialmente en los últimos quince años, esta técnica se ha ido desarrollando de manera vertiginosa y hoy, por ejemplo, la policía de la ciudad de Zhengzhou (China) dispone de unas gafas de reconocimiento facial para identificar a "sospechosos."

Además de estás aplicaciones que podemos considerar necesarias para la seguridad u orwellianas, los dispositivos de alta gama han introducido esta tecnología como método de autenticación para desbloquear el aparato o realizar pagos. Sin embargo, también se han detectado fallas en la seguridad de estos sistemas. El primer modelo que incorporaba esta tecnología salió al mercado en 2011 y pronto se descubrió que podía ser engañado usando una foto. El último, que levantó gran expectación, falló en plena presentación pública y, poco después, unos ingenieros lograron burlar el sistema de seguridad con una máscara.

Autenticación de doble factor y autenticación en dos pasos

Como habrás ido comprobando, los distintos sistemas de autenticación no son infalibles. ¿Podemos, de algún modo, tomar medidas de seguridad extras para aumentar nuestro nivel de protección? Sí, la autenticación de doble (2FA) o triple factor (3FA).

Este sistema comprueba dos o tres veces la identidad del usuario mediante una combinación de mecanismos diferentes. Los factores son:

- Conocimiento > Algo que sabes como una contraseña.

- Posesión > Algo que tienes como un token USBo una tarjeta de coordenadas.

- Inherencia > Algo que "eres", una autenticación biométrica como tu huella dactilar.

Combinar una contraseña con un código que te llega por SMS no es estrictamente una identificación de doble factor pues un SMS no es algo que tienes si no algo que te envían y que puede ser interceptado. A este tipo de sistema de verificación lo llamamos autenticación en dos pasos y es más vulnerable que una autenticación de doble factor aunque más seguro que una autenticación de factor único.

Gestionar las contraseñas

¿Cuántas veces al día te autentificas? ¿Cuántas contraseñas manejas a lo largo de un mes? ¿20?¿50?¿100? ¿Más? Probablemente la respuesta sea "No lo sé exactamente pero muchas más de las que puedo recordar" salvo que uses siempre la misma o que las hayas generado usando alguna regla nemotécnica como la que hemos visto anteriormente y, aun en esos supuestos, es difícil recordar el binomio usuario/contraseña y lleva mucho tiempo rellenar ambos campos.

Para solucionar este problema existen unos programas llamados comúnmente "Gestores de contraseñas" que son de gran utilidad. Estos programas nos permiten almacenar todas nuestras contraseñas y recuperarlas al introducir una única contraseña maestra que obviamente debe ser robusta.

Existen en el mercado multitud de gestores de contraseñas pero, ¿cómo elegir uno? Aquí te damos algunos criterios:

1. Que sean seguras.
2. Que sean fáciles de usar e intuitivas.
3. Que tengan una buena organización de la información.
4. Que puedas bloquear la App.
5. Que esté disponible y sincronizada en todos nuestros dispositivos.
6. Que nos permita realizar copias de seguridad (y realizarlas con asiduidad).

Otra característica que es deseable es que nos permita no solo almacenar si no también generar contraseñas seguras.

Es fundamental descargar el gestor de contraseñas seleccionado de tiendas oficiales y asegurarnos de que se trata de la aplicación genuina (revisando número de descargas, valoraciones y comentarios).