Socio Director S2 Grupo

Las contraseñas son una de las maldiciones del mundo cibernético. Serán un mal necesario, pero son un mal. Necesario. Como todos sabemos, se trata de garantizar, en la medida de lo posible, que solo las personas autorizadas pueden acceder a un sistema –ordenador, dispositivo móvil, aplicación informática…–, donde residen datos que queremos proteger, o con los que se pueden ejecutar acciones que no queremos permitir a cualquiera.

Desde los principios de la informática se ha tenido claro que para asegurar el acceso a un sistema, se pueden utilizar tres diferentes medios: algo que uno sabe, algo que uno tiene o algo que uno es; respectivamente, una contraseña, un token o una característica biométrica. Los sistemas más seguros hacen uso de una autenticación de doble factor; o sea, que se deben usar, al menos, dos de estos factores para permitir el acceso.

Por ejemplo, una contraseña y un certificado. O una tarjeta de identificación y una huella dactilar. La doble autenticación es siempre más compleja y requerirá de una estandarización antes de que se pueda popularizar para acceder a todos nuestros sistemas. Mientras tanto, lo más fácil es usar contraseñas.

A poco que uno utilice medios informáticos en su trabajo, estará expuesto a la incomodidad de su uso y, a poco que los administradores de estos sistemas los configuren con un mínimo nivel de seguridad, se verá obligado a cumplir con una lista más o menos larga de condiciones que las contraseñas deberán cumplir para considerarse seguras.

Ya saben, una combinación de letras mayúsculas y minúsculas, números, signos de puntuación, y de una determinada longitud mínima. Además, será necesario recordar esa ristra de caracteres y, a lo peor, cambiarla cada cierto tiempo, cuando caduca, que será, probablemente, cuando más incómodo nos resulte.

Es lógico preguntarse si realmente es necesario tomar estas precauciones y si se incrementa la seguridad de las contraseñas siguiendo esas complicadas instrucciones. La respuesta a la primera pregunta es que sí. A la segunda, es que depende.

Una contraseña siempre se puede romper
Lo primero que hay que tener en cuenta es que una contraseña siempre se puede romper utilizando herramientas y capacidad de proceso adecuado. Es una cuestión de tiempo. Ahora bien, si el tiempo necesario se mide en cientos de años, podemos considerar, a efectos prácticos, que la contraseña es segura. Si es cuestión de segundos, minutos o incluso días, la contraseña es débil.

Un ataque “por fuerza bruta” consiste en probar todas las combinaciones posibles de los caracteres con los que se puede formar la contraseña. Por eso, los candados de combinación no suelen ser muy apropiados para proteger nada que valga la pena. Para abrir uno de cuatro posiciones, basta con probar 10.000 combinaciones.

El equivalente de un ataque “por fuerza bruta” en el caso de una contraseña formada por caracteres de un conjunto de digamos 64, con una longitud de diez caracteres, sería 64 elevado a 10; o sea, aproximadamente 1.153.000…, donde los puntos suspensivos indican que hay 15 ceros. Parece mucho –y lo es–, pero es abordable por fuerza bruta. Si incrementamos el número de caracteres, la cosa empieza a ponerse mucho más difícil. Solo con 12 posiciones, ya se puede considerar seguro.

¿Seguro? Bueno, siempre que hayamos elegido los caracteres de manera aleatoria. Claro que eso nos lleva a contraseñas como esta: “V7MszUe&(!ML” . No es muy fácil de recordar, ¿verdad? En el otro extremo, podemos utilizar palabras que conocemos y con las que tenemos alguna relación que nos permita recordarlas con facilidad. En las películas de los 80 y 90, el protagonista solía adivinar la contraseña del ordenador donde estaba la información crucial averiguando el nombre de la hija del científico.

Ataque “por diccionario”
Un hacker puede seguir una táctica similar, cuya base es el ataque “por diccionario”. De manera simplista, podemos decir que se prueban, una tras otra y a gran velocidad, todas las palabras de un diccionario. Ahora bien, en lugar de utilizar el diccionario de la Real Academia de la Lengua, usamos una suma de varios: los de las lenguas más comunes en nuestro entorno, todas las palabras contenidas en nuestras cuentas de las redes sociales, las encontradas en nuestro ordenador, combinaciones de ellas, con prefijos y sufijos, sustituciones sencillas de letras por números (E por 3, A por 4, etc.), y algunos trucos similares.

Con este tipo de herramientas es factible reducir drásticamente el tiempo necesario para romper una contraseña que combine palabras conocidas, de una u otra forma.
¿Cuál es entonces la estrategia correcta? Idealmente, usar contraseñas aleatorias y guardarlas en un programa que las almacene cifradas. En cualquier caso, puede ser necesario o conveniente disponer de alguna contraseña más fácil de recordar, por ejemplo, para proteger el acceso al programa que guarda las contraseñas.

En ese caso, por ejemplo, se pueden usar las iniciales de cada palabra de una frase que podamos recordar con facilidad. Supongamos que la frase es “De entre todos los medios en red, son los periódicos los más consumidos, seguido por los portales temáticos” (algo que acabo de sacar de un texto de internet). La contraseña podría ser: “Detlmer,slplmc,splpt”.

Esta contraseña, o la frase de la que se deriva, se puede guardar en un sobre cerrado, en un lugar seguro, por si acaso la olvidamos. Por cierto, no hay ninguna razón de peso para tener que cambiar las contraseñas periódicamente. De nada.