Contraseñas: El talón de Aquiles de nuestra seguridad

2014 ha sido el año en el que hemos visto verdaderas rupturas épicas en materia de ciberseguridad y hacking. Y, si no, que se lo digan a Sony.

Los ataques (tanto los denominados “de fuerza bruta” como los más sofisticados basados en software y no en enjambres de máquinas atacando una determinada IP) han venido por varios flancos y no sólo por parte de cibercriminales.

Los servicios de inteligencia británicos, La NSA, el FBI y no se sabe cuántas otras agencias gubernamentales tanto dentro como fuera de los Estados Unidos, han llevado a cabo, y reconocido, operaciones encubiertas en el marco de la Seguridad Nacional, desarrolladas en el ámbito de Internet.

Hackers coreanos han sido apuntados con el dedo del ataque al gigante japonés y conglomerado norteamericano, Sony, dejándolo en ridículo y haciendo que el mismísimo presidente Obama haya tenido que salir al paso prometiendo a la opinión pública que USA sabrá dar la respuesta adecuada y en el mismo terreno contra Corea del Norte.

Y 2015 (ya lo dice el propio Eugene Kspersky, que es uno de los expertos en seguridad más importantes) parece que será movidito en este sentido. De modo que vamos a dar algunas recomendaciones que deberíamos implementar, a diario y en cualquier movimiento que hagamos en la Red, para que uno de los talones de Aquiles de la ciberseguridad, quede un poco más protegido: hablamos de las contraseñas.

Las constraseñas : la clave está en la claves

Algunos juran que los accesos basados en contraseñas son dinosaurios a punto de extinguirse, pero ese día no parece llegar nunca. Apple parecía haber certificado esta muerte, con su sensor de huellas dactilares para los iPhones, pero parece ser que el resto de fabricantes no han querido entrar en ese área y que la patente no se ha estandarizado.

Otros proveedores de software, servicios y contenidos online (entre ellos Microsoft) han apuntado al acceso por contraseña y el doble paso, para aumentar la seguridad en sus cuentas de Hotmail y de Skype, entre otros productos.

Desde Google advirtieron a los de Redmond que ellos llevaban mucho tiempo tratando de convencer a sus usuarios de Gmail de que emplearan este doble ckecking para asegurar sus cuentas de email, pero que el personal no parece estar por la labor. A los clientes les parece una pérdida de tiempo.

De modo que las contraseñas siguen vivas y coleando para acceder a todo en la Red (desde Twitter, Facebook y demás redes sociales, a los servicios más comunes como emails, videoconferencias y altas en portales de juegos, compras y demás…)

¿Cómo aseguramos que la contraseña es segura?

Bueno, este post no será uno de esos decálogos geniales en los que un redactor da unos consejos maravillosos para crear una contraseña segura. Sencillamente porque debes entender algo: NO EXISTE LA CONTRASEÑA SEGURA.

El especialista que vaya a vulnerar tu equipo, tus comunicaciones, tu información personal, tu correo electrónico o tu banca online no se basará en la complejidad de tu contraseña. Muy posiblemente te colocará un keylogger en el PC o móvil (una aplicación en segundo plano que recoge las pulsaciones de tu teclado) y tendrá acceso a todo lo que hayas tecleado en el dispositivo, así como en las páginas en las que lo tecleaste.

Si se lo quiere currar un poco más, estudiará tus hábitos durante unos días, (para ello dispone de tu historial de navegación junto a los datos introducidos por tecleado) de modo que cuando vaya a acceder a tu propia cuenta bancaria online o a tu correo electrónico o redes sociales (además de que introducirá tus propias claves, porque tú se las has dado al teclearlas) lo hará a las mismas horas y con la misma frecuencia que tú, imitando o camuflando su IP, de modo que a todos los efectos serás tú mismo quien está entrando en sus servicios y productos.

Un trabajo limpio, indemostrable, indetectable y fino… pero, sobre todo, muy simple de ejecutar.

La cuestión no está en la seguridad de tus contraseñas, sino en lo siguiente:

Cómo introduces tus contraseñas en tus servicios y aplicaciones online.

Recomendaciones a seguir:

Dejando a un lado que da lo mismo cuánto compliques tus contraseñas, hay algunas recomendaciones que sí te daría en materia de protección de tus accesos:

• También tienes plataformas especializadas en proporcionarte contraseñas de alta seguridad, pero aunque lo menciono como opción, sigo insistiendo: No confíes la seguridad de tu información y vida online a la fortaleza de una contraseña, porque ya no se atacan directamente, de modo que puedes olvidarte de que ésta sea compleja: Si la quieren romper… lo harán.

• Asegúrate de que las webs, plataformas y servicios online que sean de interés e importantes (banca online, email, transacciones de Bitcoins o Paypal, Ebay y demás compras online, etc…) cuenten en la barra de dominio con el referente “https://” (verás que he remarcado la “s” en esa expresión, porque es lo que garantiza que estás entrando a un servidor seguro y encriptado en base). Si la dirección de la web a la que vas a acceder con contraseña no posee esa “S”, no introduzcas tus datos a la ligera. La s no asegura seguridad al 100% pero es un distintivo de que hay una mayor seguridad que en el resto de páginas y les será más difícil atacar.

• Descarga y usa un teclado virtual. No uses el teclado del dispositivo para acceder a servicios sensibles como tu banca online. De este modo, ni teniendo un keylogger instalado en tu móvil o PC, se sabría qué información introduces cuando tecleas. No te recomendaré ningún teclado virtual concreto porque hay muchos para elegir y todos te camuflan igualmente en este sentido.

• Usa VPN (Red Privada Virtual) para camuflar tus tendencias de navegación. Tienes docenas y docenas de servicios que te camuflan a través de Proxys gratuitos, anónimos y cifrados, para que no sea tan fácil conocerte a través de lo que haces, ves o compras en la Red.

• Sí es importante que te familiarices con Tor, aunque últimamente está un poco de capa caída porque ha sido objeto de ataques altamente especializados que la quieren tumbar (algunos dicen que detrás están los mismos especialistas que se han tumbado a Sony…). Sin embargo, para ti, tu casa, tu wifi o tu negocio, que por el momento no necesitáis la seguridad de un ciberdelincuente que se protege de la CIA, sino simplemente anonimato online y seguridad en las comunicaciones, Tor es una tecnología a base de capas encriptadas que te vendrán muy bien en tu día a día, y a efectos de navegación es como usar Firefox, de manera que no es nada que te vaya a incomodar.

• También estaría bien que usaras una cuenta de email desechable y que te ayudará a que no tengas que comprometer ni tu cuenta de email ni tu contraseña, cada vez que te quieras dar de alta en cualquier servicio online, así como para no tener vinculada una cuenta de email con información personal o laboral importante a servicios como Twitter o Facebook que no son, precisamente, lo más aconsejable en materia de seguridad.

Conclusión

Pretendo con este post dos cosas: La primera que seas consciente de que la seguridad en internet (y desde ahí, la de todos tus sistemas) está más que en jaque últimamente. Hay más talento, intereses y recursos en crear herramientas que desprotejan que en construir soluciones que protejan. Tenlo en cuenta.

La segunda es que no necesitas ser un analista o responsable de sistemas para tomarte en serio todo lo relacionado con la seguridad de tu información personal o tus comunicaciones. Seas quien seas y le des a tu PC o móvil el uso online y offline que le des, debes tener un poco más en cuenta aquello que puedes hacer para mejorar en varios puntos tus niveles de seguridad privada.

Tu sentido común y aquello que aprendas será siempre tu mejor contraseña.