Llevo tiempo dándole vueltas a este asunto.
El caso es que prácticamente todas las semanas tenemos noticias de alguna brecha de seguridad que expone miles o millones de cuentas de usuario. El “gordo” de la semana pasada se lo ha llevado Yahoo (EN), pero vamos, que no fue el único, como veremos este miércoles en la newsletter exclusiva de mecenas.
Todas las semanas. Y eso que sepamos de forma pública. Puede estar seguro que por cada una que llega a nuestros oídos, habrá como mínimo cinco más de las cuales quizás nos enteremos el mes que viene, o quizás nunca…
En algunos, ese volcado de datos se expone públicamente para que terceros puedan utilizarlo, y como medida de presión para demostrar la “incompetencia” de la compañía que está detrás. En el resto, directamente se vende en el mercado negro.
Aquí es donde entra el que los administradores hayan hecho sus deberes correctamente o no. Para cualquiera que haya estado trabajando en el equipo azul de alguna de estas grandes compañías de servicios, sabrá que tarde o temprano, y aunque hagamos nuestra labor lo mejor posible, va a ocurrir. Eso sí, para cuando ocurra, que al menos la hostia sea pequeña.
Así, nos encontramos con bases de datos totales o parciales que de una u otra manera han sido expuestas en la red. Con más o menos información, y con más o menos contenido sensible cifrado.
Hay mucha diferencia entre almacenar un universo de credenciales en texto plano, a exponerlo bajo un algoritmo de cifrado robusto. En el primero, que lamentablemente sigue siendo la tónica de muchos servicios, estamos hipotecando el futuro de nuestros usuarios/clientes, delegando la seguridad de su identidad digital en el buen quehacer que unilateralmente salga de ellos (y que ya le adelanto será más bien nulo). En el segundo, como mínimo, le estamos poniendo las cosas bastante más difíciles a los cibercriminales, salvaguardando de esta manera a los nuestros.
Y entonces entra en juego la responsabilidad del usuario, que en la mayoría de los casos ha utilizado la misma contraseña para múltiples servicios, que puede no ser consciente del riesgo que está asumiendo, y al cual rara vez y de forma proactiva (sin denuncias masivas o presión por parte de administraciones) acaba por ser avisado a tiempo.
E incluso a esto habría que sumar los problemas habituales que tiene el mundo de las contraseñas: dependen de algo que conocemos (y por tanto, pueden ser olvidadas), son más robustas conforme más largas y difíciles son de recordar, y no existe ninguna manera de almacenarlas con suficientes garantías (como mucho, dependientes de otra contraseña, cosa que ocurre con los gestores de contraseñas (ES), y a sabiendas que entonces delegamos la responsabilidad de todo lo demás en una única llave maestra que también podría ser olvidada y/o robada).
Una todos estos puntos y quizás llegue a la misma conclusión que un servidor: Que las contraseñas ya no son un método de seguridad aceptable. Y que haríamos bien en empezar a considerar el doble factor de autenticación como una base desde la que erigir la seguridad de nuestra identidad digital.
El segundo factor de autenticación como medida de seguridad por defecto
El asunto es tan sencillo como parece.
- Para acceder a mis servicios el cibercriminal necesitará tener acceso a mi smartphone y a mis contraseñas.
- Si alguien me roba el smartphone (cosa que debe ocurrir presencialmente), no tiene mis contraseñas.
- Si alguien consigue mis contraseñas (cosa que puede ocurrir virtualmente), no tiene mi móvil.
- Círculo cerrado.
De esta manera delegamos la seguridad de nuestras cuentas a dos factores: uno que conocemos (contraseñas) o es innato en nosotros (huella dactilar, iris del ojo), y otro que tenemos (generalmente el smartphone, que cuenta prácticamente siempre con conectividad, y por tanto, con un canal secundario de comunicación/identificación).
Que uno de los dos factores se vea en un momento dado comprometido, es algo probabilísticamente plausible. Que en el mismo momento los dos factores se vean comprometidos, es algo probabilísticamente improbable.
Hablamos de que alguien sea capaz de robarnos físicamente y además, encontrar la manera de llegar a nosotros (identificarnos) en nuestro alter ego virtual para realizar con éxito un ataque digital. Que además de ladrón, tenga un interés inaudito en nuestra persona y un conocimiento lo suficientemente alto sobre cómo funcionan los sistemas informáticos para encontrarnos en el vasto océano digital y conseguir hackearnos.
De verdad, quitando casos muy puntuales de ataques dirigidos, que precisan de un nivel de sofisticación y una planificación realmente curiosa, la amplia mayoría de robos y hackeos se producen en entornos diametralmente distintos (el robo es puramente circunstancial y presencial, el hackeo es masivo y ubícuo).
Y en el día a día no requiere que cambiemos nuestra rutina. A nivel de usabilidad, tener un doble factor de autenticación solo afecta en el momento en el que queremos acceder a un servicio desde un dispositivo no conocido (cosa que no suele ser lo habitual en el grueso de la sociedad). A nivel de implementación, solo se hace la primera vez, y desde entonces quedará activo hasta que le digamos lo contrario.
La seguridad de estos segundos factores, además, está bastante más cuidada que la que tenemos habitualmente en los medios tradicionales. Un token (esto es, a fin de cuentas, una contraseña) que se genera justo en el momento en el que la necesitamos, y cuyo ciclo de vida (el tiempo que servirá como token de acceso) es muy limitado (entre medio minuto y unas pocas horas, según el servicio). La contraseña generalmente la creamos una vez, y estará activa hasta que se vuelva a cambiar, cosa que para la mayoría de usuarios significa que estará activa hasta fin de servicio. La huella dactilar o el iris de nuestros ojos es único y personal, lo que quiere decir que siempre será identificativo y que, descontando la paulatina deterioración del cuerpo con el paso de los años, seguirá vigente hasta fin de servicio.
Bajo este prisma, por supuesto, presupongo que el dispositivo que utilicemos como segundo factor cuenta, per sé, con un sistema de seguridad propio (como puede ser un pin, una contraseña o una huella dactilar). De nada nos serviría esto si el bloqueo se realiza de forma automática desplazando el dedo por la pantalla, y en él, tenemos por defecto acceso a la mayoría de servicios digitales.
Pero como verá, tiene una solución bastante más inmediata que delegar la seguridad de tooooda nuestra identidad digital en el papel de un único factor, que para colmo depende de un canal masivo y accesible desde cualquier sitio, y que semana tras semana demuestra ser imperfecto.
¿Qué le parece?
A mi no me parece especialmente extraña la posibilidad de que alguien acceda a tu base de datos de contraseñas (a veces solo es una) y un dispositivo móvil. Hay que tener en cuenta que debemos “protegernos” de la gente que nos rodea,
* Gente que puede obtener tu contraseña mediante ingeniería social
* Intentando averiguarla a base de que la escribamos
* Buscando la forma de que las libere si el sistema operativo las guarda
* O averiguando donde las guardas
No hablo de personas importantes para todos si no de personas importantes para alguien, y que incluso sin grandes conocimientos puede obtener las contraseñas
Por otra parte, hacerse con el móvil de tu pareja, amigo, compañero de trabajo, incluso sin que se de cuenta, es algo viable y que ocurre a diario.
Eso si, hoy en día, podemos considerar plausiblemente seguro un doble factor de autenticación.
Personalmente utilizo un sistema que para muchos sería incomprensiblemente paranoico, passwords totalmente distintos en cada uno de los sistemas que utilizo, no guardo los passwords en ningún sitio (ni siquiera en mi cabeza), algunas incluso las cambio al menos una vez al mes, tampoco suelo indicar dispositivos como habituales, salvo algunos que solo puedo utilizar yo. La navegación privada en casi todos los navegadores, dobles factores de autenticación cuando esto es posible….
Y hoy esto lo podemos considerar seguro, pero si un hacker puede llegar a la base de datos de yahoo, es posible que estudie un poco más y mañana sea capaz de desactivar el segundo factor de autenticación, o ya de paso bypasearlo de manera que pueda acceder….
Bueno, el caso es que los malos suelen atacar al más débil, si nadie es débil se pasa al siguiente peldaño.
hoy en día, los segundos factores de autenticación basados en un software instalado en el móvil parece bastante aceptable y nos posiciona en un nivel de seguridad interesante. Pero eso es válido para los ciberataques, no para los ataques desde dentro, es decir, aquellos que realizan personas físicamente cercanas. Para este caso resulta bastante disuasorio el uso de terceros factores de autenticación (los basados en algo que eres) el problema es que esos datos pueden ser robados por cibercriminales y nunca más volverán a ser tuyos, por lo que seguramente, con el tiempo, aceptaré como válidos los terceros factores de autenticación para entornos de seguridad física y no electrónica
Tengo poco que criticar a tu respuesta. Por supuesto, estamos casi perdidos si el enemigo vive con nosotros. En mi caso al final he aceptado el lector de huellas dactilar como método de acceso por defecto a mi smartphone. Sí, a sabiendas de que es una contraseña “que dura para siempre”, pero también a sabiendas de que arroja mayor seguridad (a priori) que el patrón habitual.
En todo caso, que hace unos días leía que una niña que creo que tenía 11 años había estado gastando unas burradas en el market de aplicaciones bypaseando el lector de huellas con el dedo de su madre mientras esta dormía. Y sí, contra ese tipo de hacking no hay nada que podamos hacer, jajajaj.
Yo no pienso que sea que enemigo esté en casa, más bien lo veo algo de oportunidad. Así mismo lo veo como más habitual. Sabes el password del facebook de tu pareja y como no te fías entras a ver con quien habla.
La noticia, si en vez de ser una niña de 11 años fuese una de 4 lo vería de otra forma, con 11 años sabe perfectamente lo que hace, y demuestra lo frágil del sistema.