La seguridad de los servicios de hoy en día depende en mayor o menor medida de la fiabilidad de la contraseña que creamos para loguearnos en el mismo. Si sois precavidos (o el propio servicio os lo pide), seguramente uséis la regla de los ocho caracteres (una contraseña de mínimo 8 caracteres, con al menos un número y un signo), lo que en la práctica de como resultado un array de ocho caracteres, y 6.1 cuatrillones de posibilidades distintas.


WorstPassword-Infographic

Los ordenadores actuales tardarían muchísimo tiempo en explotar mediante fuerza bruta una contraseña así, por lo que se tiende a decir que estamos ante un sistema de seguridad bastante fiable.

El problema surge cuando quien decide cómo unir esos caracteres no sigue un patrón aleatorio (que daría efectivamente con una posibilidad entre las 6.1 cuatrillones que hay), sino que tendemos a simplificarlas partiendo de palabras ya existentes, y para colmo, que mantienen algún tipo de relación con alguna faceta de nuestra vida, descontando el hecho de que no es raro usar la misma contraseña para diferentes servicios, con el grave peligro que conlleva. Un servidor lo hace en aquellas herramientas que considero de segunda (como pueden ser los innumerables formularios que casi para cualquier cosa tenemos que rellenar), y seguramente muchos de los que me estáis leyendo también.

Esto ofrece varios discursos. El primero y más obvio es que de esos 6.1 cuatrillones de posibilidades, nos quedamos con un muy reducido número, ya que podemos descontar todas aquellas combinaciones que no dan como resultado palabras reales. Además, y como ya hemos visto en más de una ocasión, la seguridad del conjunto es tan débil como el más débil de sus elementos, por lo que en buena parte de los casos, bastaría con obtener una de ellas para tener acceso al resto.

Sobre los métodos de obtención de contraseñas, los hay como piedras. El más obvio sería la fuerza bruta, pero no hay que olvidarse de la ingeniería social, muchísimo más efectista y que para colmo pone en jaque el poco razonamiento de los luser. Y para ataques masificados, bastaría vulnerar la seguridad de la base de datos del servicio donde están alojadas mediante alguna vulnerabilidad web.

Todo esto viene a raíz de uno de los últimos estudios de predicciones del 2013 sobre TMT (Technology, Media, Telecommunications) (EN), en donde se llega a la conclusión que las 1000 contraseñas más utilizadas permiten acceder al 98,1% de servicios.

Hay que contemplar el esperable inflado de datos (por eso de obtener titulares que vendan), pero aun así, dudo que se equivoquen mucho, y para muestra la aparente aleatoriedad de un generador de password como el de compartir WIFI de iOS, que si bien se trata de un programa (y se esperaría por tanto una fiabilidad superior a la humana), no deja de estar desarrollado por nosotros, y acaba siendo explotable en menos de un minuto.


Os dejo con el vídeo (eso sí, en inglés), que viene a decir básicamente lo que ya hemos desarrollado más extensamente en el artículo.