“Mi contraseña… ¿cómo era? 6, 5, 4, 2, 1. ¿La fecha de nacimiento de mi hijo? No, esa era para entrar en la web del banco. ¿La del correo electrónico era con una ñ final? ¿mi aniversario de boda? ¿o era qwerty? (las teclas de la primera línea del teclado). Me dice que es errónea… Lo mismo era para Twitter… Revisaré la libreta donde están apuntadas y que dejo en el primer cajón de la mesa”. Algunos pensarán que es una barbaridad: “Es como dejar al lado de una caja fuerte un papel con la combinación apuntada. ¡Además de poner esas contraseñas tan fáciles!”

Sin embargo, la mayoría se verá reflejada en mi torpe supervivencia entre códigos secretos. De hecho, la estadística me da la razón. Así, un estudio de la empresa WP Engine entre 10 millones de contraseñas usadas por personas como usted y yo señalaba que la más común es 123456, la segunda: password (contraseña en inglés. El estudio fue entre perfiles anglosajones), la tercera: 12345678 y la cuarta, qwerty. Todo porque nos resulta imposible acordarnos de cada una de las contraseñas de las 90 cuentas online que de media poseemos, aunque muchas las tengamos abandonadas, como la de esa tienda virtual en la que se registró para comprar una oferta, pero en la que nunca más volvió a entrar.

LAS CONTRASEÑAS SON EL 80% DE LAS BRECHAS DE SEGURIDAD POR DONDE NOS ATACAN LOS PIRATAS INFORMÁTICOS

Maldita contraseña

No se sienta simplón o poco sofisticado a la hora de crear esa clave indestructible. Aunque está mal eso de “mal de muchos, consuelo de tontos” hace 10 años Mat Honan, un especialista de la revista tecnológica norteamericana Wired, salía en portada con este reportaje: “Mata la contraseña”. Ahí explicaba cómo unos hackers consiguieron sus claves y destruyeron su vida digital. Y eso que él era un experto en tecnología. Sus contraseñas eran robustas, nada que ver con las nuestras, pero cuando los hackers consiguieron una, se hicieron con todas las demás de sus dispositivos. Además, con la que consiguieron de Apple, borraron el contenido de su iPhone, iPad y MacBook. Se quedó sin sus fotos. Las contraseñas son el 80% de las brechas de seguridad por donde nos atacan los piratas informáticos. Así que, si los ladrones las conocen, abrirán la cerradura de nuestra vida digital.

EN 2013 GRANDES MULTINACIONALES DE LA TECNOLOGÍA COMO GOOGLE, APPLE O MICROSOFT FORMARON UNA ALIANZA DENOMINADA FIDO CON EL FIN DE DESTERRAR LAS CONTRASEÑAS

Poco después, en 2013 grandes multinacionales de la tecnología como Google, Apple o Microsoft formaron una alianza denominada FIDO con el fin de desterrar las contraseñas. A partir de entonces algunos medios que se hacen eco de ese propósito siguen titulando: “¡Adiós a las contraseñas!”. Al nuestro le hemos añadido las interrogaciones porque no lo vemos tan claro… “Esto lo llevan diciendo desde hace varios años. La tecnología existe, pero no se ha implantado de forma mayoritaria”, nos confirma Enrique Serrano, fundador y CEO (director general) de Hackrocks, plataforma de formación de ciberseguridad.

¿Cómo saber quién es realmente?

La autenticación (no se le ocurra decir autentificación) es confirmar si la persona que quiere entrar en la web del banco, o de una empresa, es realmente quien dice ser. Hay tres formas: “por algo conocido”, (la contraseña) “algo que posee” (su teléfono, una tarjeta, etc.) o “algo que forma parte de usted” (su huella dactilar, el iris, incluso la voz). El doble factor de autenticación es cuando se combinan dos de las tres condiciones para permitirte la entrada a ese sistema. Conforme se van sumando estas comprobaciones se llama autenticación de doble o incluso de triple factor. Abreviadamente 2FA o 3FA. Por ejemplo, cuando sacamos dinero del cajero es doble factor: algo que tengo (tarjeta) y algo que sé (número PIN). Otros añaden un cuarto factor de autenticación: la geolocalización (dónde está). Por ejemplo, a mi banco no le cuadraría que yo entre con mis claves desde Rusia si a la vez me tiene ubicado a través del móvil en España.

En FIDO, señala Serrano “defienden una autenticación sin contraseña (“lo que tú sabes”) sino con lo que tienes (teléfono, por ejemplo) o lo que forma parte de ti, como el sistema biométrico. Consideran que esto ya es suficientemente seguro”. Ahora bien, una huella dactilar se puede robar. Los dispositivos deben guardar esa imagen de la huella para su comprobación pero en algunos casos no lo hacen de manera cifrada. Si un ciberdelincuente accede a esa imagen, ya tiene nuestra huella. Un robo conocido de imágenes dactilares (pocas instituciones admiten haber sido ciberatacadas) ocurrió a finales de 2014 en Estados Unidos donde a 5,6 millones de funcionarios les robaron la imagen de sus huellas. Aquí es donde Serrano lanza otro problema: “Si te roban una contraseña la cambias y se acabó el problema. Pero si te roban una huella dactilar no puedes modificarla.” Además, en Europa se añade otro inconveniente: ¿Cómo se almacenan esos datos biométricos? La normativa europea de protección de este tipo de información es muy estricta”.

LA AUTENTICACIÓN (NO SE LE OCURRA DECIR AUTENTIFICACIÓN) ES CONFIRMAR SI LA PERSONA QUE QUIERE ENTRAR EN LA WEB DEL BANCO, O DE UNA EMPRESA, ES REALMENTE QUIEN DICE SER

Uso generalizado

Los estándares que propugna la alianza FIDO es que el desbloqueo del móvil a través del PIN sea también una forma de entrada. Puesto que si tienes el teléfono y conoces su clave para hacerlo operativo ya es suficiente para autenticarte. ¿Pero qué pasa si roban el móvil? Los datos para iniciar sesión se sincronizan en la nube, en la cuenta de Google, por ejemplo. Pero como destaca Serrano se trata “de una cuenta que está protegida por un usuario y una contraseña. Es decir, las contraseñas siguen siendo necesarias”.

“El problema es -continúa Serrano- que siempre estamos en la balanza de seguridad versus comodidad. Normalmente cuanto más cómodo es algo, más inseguro es y viceversa”. La tecnología que fomenta FIDO (factores biométricos, número PIN…) está de sobra desarrollada; sin embargo, aún no se ha convertido en un estándar único de entrada, su principal pretensión. Estamos de acuerdo en lo engorrosas que son las contraseñas, pero son otro factor más de seguridad. ¿Asumiría el coste de decirles adiós definitivamente?