El primer jueves de mayo se celebra el Día Mundial de la Contraseña, un día que concientiza sobre la importancia de las contraseñas a la hora de proteger las cuentas en línea. Intel Security declaró el primer día mundial de contraseña en 2013. Siete años más tarde, Avast (LSE: AVST), líder mundial en productos digitales de seguridad, espera con ansias alternativas que podrían hacer que las contraseñas queden obsoletas.
«La gente reutiliza las contraseñas, y es sólo la naturaleza humana lo que hacen. Las credenciales de inicio de sesión son necesarias para acceder y hacer cosas como leer un artículo, pedir un par de pantalones, escuchar música, haciendo que tengamos tantas cuentas que es prácticamente imposible para una persona crear una contraseña fuerte y única para cada cuenta.» dice Luis Corrons, Evangelista de Seguridad en Avast. «Recientemente, se informó que 500.000 credenciales de inicio de sesión de Zoom se filtraron en la darknet, pero estas credenciales de inicio de sesión no eran nuevas, ni eran exclusivas de las cuentas de Zoom. Estas fueron las credenciales de inicio de sesión que se recopilaron mediante una técnica llamada relleno de credenciales, donde los ciberdelincuentes prueban las credenciales de inicio de sesión de filtraciones de datos para ver si pueden acceder a otras cuentas, porque son muy conscientes de que las personas reutilizan las contraseñas de varias cuentas. Según una encuesta de Avast, el 42% de los argentinos reutiliza su contraseña para otra cuenta, y de ellos, el 88% declaró que es consciente de que esto es riesgoso».
Otra técnica que utilizan los ciberdelincuentes para obtener acceso a las cuentas es mediante la realización de ataques de fuerza bruta. Los ataques de fuerza bruta son ataques direccionados rápidos donde se realizan suposiciones estudiadas previamente. Un programa para descifrar contraseñas crea combinaciones alfanuméricas hasta que encuentra una que se ajuste, usando el Teorema del mono infinito, que propone que si un mono golpea al azar las teclas de máquina de escribir durante una cantidad infinita de tiempo, eventualmente se escribirán las obras de William Shakespeare. O una contraseña.
Lo que se ha convertido en estándar de la industria es una antigua tradición que llega hasta el comienzo de la civilización. Desde las primeras expresiones del «ábrete sésamo» hace siglos, la gente ha estado usando palabras y códigos secretos para probar la identidad y obtener la admisión. Pero una nueva ola de tecnología está a la altura de reducir el riesgo de seguridad de contraseñas hackeables mediante la eliminación de ellas por completo. Algunas organizaciones ya están utilizando estas medidas, pero ninguna ha sido ampliamente adoptada todavía.
Gartner predice que para 2022, el 60% de las empresas más grandes del mundo y el 90% de las empresas medianas del mundo implementarán métodos de seguridad sin contraseña en más del 50% de los casos de uso. Estos son algunos de los principales contendientes en autenticación sin contraseña.
- Biometría – La mayoría de la gente está familiarizada con este concepto, gracias al sistema de reconocimiento de huellas dactilares en smartphones. La autenticación biométrica utiliza características de identificación exclusivas de los cuerpos, como una cara o una huella digital. En este modelo, una persona se convierte en su propia contraseña. Sin embargo, podría surgir un problema si otra persona replicara los datos biométricos. A diferencia de las contraseñas, no hay manera de volver atrás y «restablecer» una huella digital.
- Inicio de sesión único (SSO): esta práctica sigue utilizando una contraseña, pero solo una. Es un protocolo de autenticación que permite a los usuarios introducir un nombre de usuario y una contraseña que luego abre varias aplicaciones y programas. Aunque técnicamente podría seguir siendo atacado por ataques de fuerza bruta, se reduce el área de superficie de ataque al tener solo un punto de entrada.
- Autenticación basada en riesgos: en este caso, la IA mide el riesgo de la transacción mediante el análisis del solicitante y lo que el solicitante está solicitando. Si se considera de bajo riesgo,la IA permite que la transacción continúe. Si se considera de riesgo medio,el sistema solicitará otro factor de identificación. Y si se considera de alto riesgo, el sistema bloqueará la transacción.
- Huella digital del dispositivo – Aquí el programa de seguridad toma una «huella digital» del dispositivo, registrando su marca, memoria, ubicación, y dirección IP. A partir de entonces, cuando ese dispositivo inicia sesión, el programa de seguridad lo reconoce y, a continuación, utiliza el análisis basado en el riesgo para continuar con la transacción.
«Pero el hecho es que todavía no vivimos en un mundo sin contraseñas, por lo que depende de cada uno de nosotros individualmente proteger nuestros datos y dispositivos con la mejor seguridad posible.» continuó Luis Corrons, Evangelista de Seguridad en Avast. «Por lo tanto, aprovechemos el hecho de que hoy es el Día Mundial de la Contraseña para evaluar las contraseñas que estamos utilizando actualmente y asegurarnos de que nos están protegiendo».
Luis Corrons brinda los siguientes consejos de contraseña.
- Nunca reutilices la misma contraseña para más de una cuenta.
- Habilite la autenticación multifactor cuando esté disponible. Los autenticadores abarcan tres cosas: algo que sabes (como una contraseña), algo que tienes (como un llavero) y algo que eres (como una huella digital). El uso de al menos dos de estos para cada una de tus cuentas reducirá drásticamente tu riesgo.
- Para crear contraseñas seguras, asegurate de que sean largas, contengan una combinación de caracteres y letras mayúsculas y minúsculas. Idealmente, utilizá una frase de contraseña, para crear una oración completa que es fácil de recordar, pero difícil de descifrar para otros.