Autor

Alejandro Alcalde

Data Scientist and Computer Scientist. Creator of this blog.

Más artículos de Alejandro Alcalde | Porfolio

Índice

Hoy os traigo un artículo sobre la gran problemática que hay entorno a las contraseñas, y es que, por todos es conocido que usar contraseñas débiles puede comprometer cualquier sistema informático. A continuación resumo un artículo muy interesante que leí en The Hacker News.

Todos los días leemos noticias sobre algún ataque exitoso a sistemas informáticos. A menudo, sistemas de control crítico estan en la red, protegidos únicamente por una contraseña débil, o incluso con la contraseña por defecto de fábrica. El comportamiento erróneo del componente humano y la ausencia de validaciones se traduce en aplicaciones vulnerables a ataques externos.

La consultoría Deloitte, recientemente publicó un informe titulado ”Technology, Media & Telecommunications Predictions 2013”. En dicho informe se hacen una serie de predicciones para 2013. Entre las predicciones más destacadas figura la preocupación del uso indebido de contraseñas, que seguirá siendo en 2013 una de las causas de muchos problemas.

El informe se centra en la necesidad de reconsiderar la forma de gestionar contraseñas; Duncan Stewart, Director de investigación del TMT dijo:

”Las contraseñas con al menos ocho caracteres, un número, mezcla de mayúsculas y minúsculas y símbolos no alfanuméricos parecieran ser robustas hace algún tiempo. Pero pueden ser fácilmente crackeadas con la aparición de software y hardware avanzado.”

”Lo ideal sería usar contraseñas largas y verdaderamente aleatorias, pero la gente no las usaría”, dijo Stewart.

”Una contraseña de ocho caracteres elegida de entre los 94 caracteres disponibles en un teclado estándar es una de las 6,095,689,385,410,816 combinaciones posibles. Un ordenador relatívamente rápido del 2011 tardaría aproximadamente un año en probar todas las combinaciones. Si se tratara de averiguar la contraseña de una tarjeta de crédito, no compensaría el tiempo de cómputo. Sin embargo, un número de factores relativos al comportamiento humano y cambios en la tecnología, se han combinado para hacer a las contraseñas fuertes vulnerables.”

Descifrar contrasñas de ocho caracteres mediante ataques de fuerza bruta es posible en unas 5,5 horas. Con una máquina dedicada a tal fin, y empleando unidades de procesamiento gráfico. El precio de estas máquinas ronda los $30,000. Pero como indica el informe, es posible obtener la misma capacidad computacional mediante una gran botnet.

La longitud de la contraseña no es la única preocupación de los investigadores. El factor humano expone el proceso de gestión de contraseñas a un riesgo muy serio. No tendemos a recordar contraseñas largas y complejas, al revés, usamos contraseñas fáciles de recordar y afines a nuestra vida cotidiana. En muchos casos, las contraseñas se reutilizan en varios servicios, desde nuestra cuenta de facebook a la bancaria. La media de usuarios tiene unas 26 cuentas protegidas con contraseña, pero solamente 5 son distintas. De acuerdo con un estudio reciente basado en seis millones de contraseñas generadas por el usuario, las 10.000 contraseñas más comunes eran usadas en el 98.1% de las cuentas. Información que nos dá una idea de cómo es de vulnerable la gestión de credenciales.

Deloitte precide que en 2013 más del 90% de las contraseñas, incluso aquellas consideradas como seguras por los departamentos IT, serán hackeadas con serias consecuencias. La compañia precide, de hecho, miles de millones en pérdidas y un daño significativo a la reputación de la empresa cuyos clientes han sido víctimas de los ataques.

En dicho informe se explica cómo es el proceso de averiguar una contraseña:

“El problema no es que el atacante descubre el nombre de usuario, accede a la página de login e intenta adivinar la contraseña. Eso sería inviable, ya que la mayoría de los sitios bloquean al usuario que introduce un determinado número de veces la contraseña equivocada. La mayoría de organizaciones tienen la información del usuario y su contraseña en un archivo. Ese archivo está hasheado, es decir, usando algoritmos de encriptación se cifran el nombre de usuario y contraseña. Nadie en la organización puede ver las contraseñas en su forma descifrada. Cuando el usuario intenta logearse, el servidor vuelve a cifrar los datos introducidos y los comprueba con los que hay en el fichero. Hasta ahora, parece seguro. Sin embargo, éstos ficheros a menudo son robados. Mediante varios tipos de software y hardware, el atacante puede descifrar ciertos usuarios y contraseñas. Una vez descifrados, esta información se vende, se comparte o es explotada por el atacante.“

Además, otro problema referente a las contraseñas viene dado por la plataforma que se use. Si consideramos que la media de usuarios tarda unos 4-5 segundos en escribir una contraseña ”fuerte” de diez caracteres en un teclado convencional. Unos 7-10 segundos en un dispositivo móvil con teclado hardware y de 7 a 30 segundos en pantallas táctiles, un cuarto de la gente encuestada admitió usar contraseñas menos seguras para ahorrar tiempo.

Para finalizar, muestro el top ten de peores contraseñas según SplashData. Los puestos del 1 al 3 no han cambiado con respecto al año pasado. Sin embargo este año aparecen en la lista contraseñas como ”welcome” ”jesus” o ”ninja”

  1. password (=)
  2. 123456 (=)
  3. 12345678 (=)
  4. abc123 (sube 1)
  5. qwerty (baja 1)
  6. monkey (=)
  7. letmein (sube 1)
  8. dragon (sube 2)
  9. 111111 (sube 3)
  10. baseball (subo 1)

Si usas cualquiera de estas contraseñas, deberías cambiarla.

Está claro que al final el eslabón más débil en seguridad es el ser humano, y no parece que muchos estén dispuestos a cambiar. Innumerables veces he intentado convencer a familiares mios de que cambien sus contraseñas por se muy, muy sencillas y no me han hecho caso. Siempre dicen ”Pero quién va a querer meterse en mi cuenta de tal servicio

Si estás interesado en saber más acerca de este tema puede que te interesen los siquientes enlaces:

Referencias

¿Has visto algún error?: Por favor, ayúdame a corregirlo contactando conmigo o comentando abajo.

Categorías:Etiquetas:

Quizá también te interese leer...