#MundoHacker: Métodos de identificación personal (I)

Recupero la serie #MundoHacker, donde tratamos las medidas para atacar y/o defenderse en el mundo digital, centrándonos hoy en lo que podría ser un repaso de los sistemas de verificación personal con los que contamos actualmente para acceder a nuestros perfiles, dispositivos y en definitiva, a cualquier servicio tecnológico.

verification

Y es que me he dado cuenta que, aunque lo que vayamos a hablar en estas dos entradas no será nada nuevo para un lector de este blog, todavía no contaba con un post recopilatorio de algo que usamos tan a menudo, y que lamentablemente, es uno de los principales vectores de ataque de la actualidad.

Esquemas de seguridad

Básicamente, un sistema de seguridad se basa en uno de estos tres puntos: el conocimiento (un PIN, una contraseña, un gesto), la posesión (un dispositivo, un servicio) y la inherencia, o herencia (ojos, rostro, huella dactilar). Puesto que uno de ellos es fácilmente suplantable, se intenta recurrir a la verificiación en dos pasos, usando para ello dos de los tres puntos de un esquema de seguridad (por lo general conocimiento y posesión).

Esquemas de seguridad basados en el conocimiento

Son los más habituales, y presentes en casi todos los servicios que usamos. Así es como podemos hablar del Patrón y de la Contraseña.

El primero, como bien sabéis, se basa en el dibujo de un símbolo específico frente a un esquema dado (por ejemplo, el sistema de patrón de Android, que tiene varios puntos que usaremos como vértices para dibujar con el dedo la figura elegida) o frente a una imagen (como nos encontramos en Windows8).

Como principales ventajas, está el hecho de ser muy rápido y fácilmente recordable, lo que nos lleva ineludiblemente a sus desventajas, que son precisamente las misas (fácilmente reproducible y normalmente bastante rápido de obtener). Para colmo, hay métodos físicos (descontando la ingeniería social) que lo hacen aún más vulnerable, como ya vimos en la entrada Formas de explotar la seguridad de tu smartphone.

Hablando de contraseñas, nos encontramos con más de lo mismo. Un sistema que podría ser muy efectivo si se cumplieran a rajatabla las siguientes restricciones:

  • Contraseñas cuanto más largas mejor (superior en todo caso a 6 carácteres), y que incluyan mayúsculas, minúsculas, números y signos (lo cual puede llevar a la desesperación a más de uno).
  • Tanto si es el usuario quien las crea, como el propio sistema, las contraseñas no deben tener un sentido explícito, ni estar formadas por la sucesión de palabras (y mucho menos usar bibliotecas de palabras para crearlas).
  • Una contraseña distinta para cada servicio.
  • Cambiar regularmente la contraseña.

Cuatro puntos que nadie cumplimos. Así de sencillo. Y luego pasa lo que pasa. La cosa se agrava cuando esa cuenta es usada como OAuth, es decir, sirve además para loguearte en otros dispositivos/servicios, o cede información para terceros. En ese caso (como ocurre con las cuentas de Google, Facebook o Twitter, por poner un ejemplo), el que se nos vulnere esa contraseña significa perder el control de todos los servicios externos además del propio servicio de la compañía, llegando al punto de poner en peligro nuestra propia identidad digital. Un fallo de seguridad muy gordo.

En el siguiente artículo, hablaremos de los métodos de identificación basados en la posesión y la herencia, además de un un corolario al respecto.

 

________

Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias