Sandra Bullock interpretaba en la película La Red a una experta informática que descifraba contraseñas mediante algoritmos complejos. Pero, ¿y si adivinar claves fuera en realidad mucho más sencillo? El estudio Uso de contraseñas desde la perspectiva del factor humano, realizado por investigadores de la Universidad de Wisconsin-Madison (EEUU) y la de Tecnología de Copenhague (Dinamarca), concluye que el ser humano, por naturaleza, es uno de los componentes más débiles de la seguridad informática.
El problema no es nuevo, pero la situación se agrava con más del 73,7% de los internautas españoles compartiendo sus datos en redes sociales y, probablemente, utilizando la misma contraseña en varios servicios de Internet.
Utilizar combinaciones al-fanuméricas de al menos ocho caracteres, que no sean palabras que aparecen en el diccionario, y cambiar la contraseña cada tres meses son algunas de las recomendaciones que realizan los expertos en seguridad. Parecen reglas sencillas, pero en realidad es casi imposible llevarlas a cabo.
El estudio ha analizado el comportamiento de más de 800 empleados de una compañía, agrupando novatos y expertos en informática. Las conclusiones no pueden ser más desesperanzadoras: casi el 95% de ellos no cumple las recomendaciones en su totalidad.
Partiendo de un estudio de 2008 en el que se describe la limitación de la memoria del ser humano, el informe detalla que los usuarios tienden a optar por contraseñas sencillas que son fáciles de recordar y, en consecuencia, fáciles de descifrar. Como prueba, los investigadores se apoyan en un informe del año 2006 cuando, tras examinar 34.000 contraseñas del servicio MySpace, se descubrió que la clave más utilizada era "password1" ("contraseña1"), "abc123", "myspace1" y "password".
Los usuarios han desarrollado diferentes estrategias para hacer frente a sus limitaciones, según el estudio, utilizando la misma contraseña para varias páginas, almacenándolas en archivos electrónicos y reciclándolas año tras año (la clave "contraseña2008" pasa a ser "contraseña2009" un año más tarde). El extremo contrario, el que se recomienda, sería utilizar reglas mnemotécnicas para establecer claves con caracteres aleatorios en cada uno de los servicios de Internet que se utilizan. Por supuesto, también habrá que cambiar esas reglas mnemotécnicas cada tres meses.
Ante este panorama, el estudio plantea que una posible solución tampoco infalible es la utilización de contraseñas gráficas o el uso de medidas de seguridad biométricas, buscando un equilibrio entre sencillez y seguridad.
Falta de imaginación
El robo de contraseñas ocurrido la semana pasada y que afectó a servicios de correo electrónico como Hotmail, Gmail o Yahoo Mail tampoco aporta esperanzas sobre una evolución en la complejidad de las contraseñas. La lista con los datos de los primeros 10.000 usuarios afectados (un día después la cifra se elevó a 30.000) se retiró de la Web de forma inmediata, pero la compañía de seguridad Acutinex almacenó una copia de la misma para su análisis.
La conclusión fue que sólo el 6% de los usuarios utilizaba contraseñas mezclando letras y dígitos, y que la clave más utilizada era "123456", seguida de "12345678". A su favor, hay que detallar que el robo de claves se produjo utilizando técnicas de phishing, mediante páginas falsas en las que los usuarios introducen sus datos por voluntad propia, sin que hayan mediado técnicas de deducción. Como se desprende del estudio inicial, ni siquiera el mejor antivirus del mundo puede proteger contra todos los peligros de Internet. La solución mágica no está cerca.
Público.es (22/10/2009)
http://www.publico.es/ciencias/261504/eslabon/debil/seguridad
