Llego tranquilamente una mañana al trabajo y mientras me preparo un café abro Twitter para ver las novedades matutinas. Me fijo en un tweet: “Robo de contraseñas de LinkedIn”. Ok, tienen mi atención de inmediato: me preocupa mi cuenta.
Me entero de que millones de contraseñas fueron extraídas. ¡Vaya noticia! A seguir la recomendación de siempre: cambia tu password en cuanto puedas.
En fin, casos como este son varios. Ahí está el caso de Yahoo! o de otro servicio llamado eHarmonyo DropBox, todos recientes…entre otros más. Y no serán los últimos.
Con estos casos y similares algunos mitos a mi parecer se desvanecen:
* Cambia tu contraseña frecuentemente. Cuando se roban tu contraseña directamente de la base de datos del servicio como en los ejemplos expuestos, de nada sirve cambiarla cada semana. Cuando un atacante roba contraseñas en claro (sin sal) del sitio, las va a usar de inmediato. ¿Sirve cambiarla cada 15 días? Cuando roben una contraseña de banca en línea, créanme: la usarán durante la siguiente hora. Muy pocos escenarios quedan ya (generados por amenazas de hoy y no de hace 15 años) donde sería de utilidad un cambio frecuente.
* Garantía cuando se usan contraseñas robustas. Vaya. Pues si el servicio en línea almacena los passwords en claro, de nada sirve tener 64 caracteres con numeritos y caracteres especiales. La robustez sirve cuando cada password robado está con hash y una sal diferente (y el atacante no conoce la sal), además de que el hash es tipo BCrypt y no SHA-algo. Claro, como usuarios hay que seguir usando contraseñas robustas; aquí la tarea es de los desarrolladores de los sitios de Internet que almacenen contraseñas.
Ahora bien, lo ideal es que todas nuestras contraseñas fueran robustas y únicas (para cada servicio). Si así lo haces, no sigas leyendo, estás en el nirvana.
Lo cierto es que no todas nuestras cuentas tienen que recibir el mismo tratamiento y cuidado. Es la regla de Pareto en acción: el 80% de los hackeos intentarán dirigirse al 20% de tus cuentas. Concentrémonos más en cuidar las que están en ese 20%.
Para mí, existen 3 tipos de passwords que cuido de diferente manera.
Tipo I: “Financiero” y “Ejes”. Definitivamente las contraseñas de la banca en línea son de mucha muy alta importancia para mí (¿para quién no?). Las razones son obvias: una cosa es que hackeen mi cuenta de Twitter para mandar spam u obscenidades y otra distinta es que me roben miles de pesos.
Por otro lado, por contraseñas “Eje” me refiero a la cuenta de correo que todo servicio te pide para registrarte. ¿Quieres LinkedIn? Te piden una cuenta de correo. ¿Quieres Facebook? Te piden tu email. Y un largo etcétera. Esa cuenta sirve por si se nos olvida la contraseña, a donde recibimos avisos diversos (incluyendo de seguridad) y para otras cuestiones administrativas de cada servicio a donde nos registramos. Tal vez no pierdas dinero si hackean esta cuenta, pero es de importancia por la cantidad de servicios que se ligan a ella (aquí un ejemplo reciente de su importancia).
(Nota: Sería conveniente considerar también a las contraseñas laborales como de Tipo I).
Tipo II: “Me Importa”. Cuentas importantes donde puede haber daño a nuestra reputación pero no a nuestro bolsillo. Twitter, LinkedIn o Facebook podrían entrar aquí. Hay que cuidarlas.
Tipo III: “Ojalá No me la Roben”. En esta categoría caen ese tipo de servicios que abundan y que sinceramente no ameritan contraseñas robustas ni únicas. Para escuchar música en línea, entrar a un foro de tecnología, poder comentar noticias de nuestro sitio favorito, la cuenta para ver los espectáculos del fin de semana de ese parque de diversiones, etc. ¿Me la hackean? Adelante.
Maneras de cuidar contraseñas:
* Si es posible, en verdad usa dos factores de autenticación para las del Tipo I.
* Usa SSL o mejor con una VPN en redes inalámbricas abiertas para enviar las del Tipo I y II.
* Usa contraseñas únicas –diferentes- para cada servicio del Tipo I y recomendable para las del Tipo II.
* Usa contraseña para acceder a tu dispositivo móvil (desde ahí se tiene acceso a cuentas sobre todo del Tipo II y III, y posiblemente a información personal para lograr ingeniería social que consiga acceso a cuentas del Tipo I).
* Las preguntas de rescate para recuperar las del Tipo I y II (en caso de olvidar la contraseña) no deben de tener respuestas obvias. Pon respuestas incoherentes (y guárdalas).
* Usa administradores de contraseñas como LastPass o similares para cuentas Tipo II y III.
* Para las del Tipo I hasta es mejor un papel bien guardado, o un administrador de contraseñas local que cifre su contenido (no en la nube). Mejor si las puedes memorizar y no apuntar. Si introduces a la ecuación un token estarás mucho más tranquilo.
* Plantéate tener más de una cuenta Eje (de las que hablamos en las de Tipo I).
Obvio, puedes intentar aplicar todas las anteriores recomendaciones para las del Tipo I, II y III. Te costará más esfuerzo, así es que depende de ti.
Nos estamos tuiteando en @FaustoCepeda.
Fausto Cepeda es ingeniero en Sistemas Computacionales por el ITESM. Es Maestro de Seguridad de la Información por la Universidad de Londres (Royal Holloway). Actualmente labora en la Oficina de Seguridad Informática del Banco de México. También cuenta con las certificaciones de seguridad CISSP, CISA, CISM y CEH.