#MundoHacker: ¿Qué sistema de seguridad utilizar en nuestras cuentas y dispositivos?

sistemas digitales de seguridad

Esta tarde me entrevistan para un canal de Youtube sobre el contenido del artículo que publicábamos hace un par de semanas en relación a mi experiencia con la pérdida de varios dispositivos y las medidas que deberíamos considerar básicas para minimizar el riesgo asociado a dicha pérdida.

Y preparando el asunto me he dado cuenta de que aunque lo he tratado de pasada en múltiples piezas anteriores, no había dedicado aún ninguna a ordenar por importancia el método de seguridad que recomendaría utilizar en cada uno de nuestros dispositivos.

Un artículo, dentro de la serie #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital, en el que profundizamos en cada uno de los métodos de seguridad que tenemos habitualmente en nuestros dispositivos, ordenados de mayor a menor importancia con el fin de que le sirva a la hora de elegir entre uno u otro.

Consideraciones a tener en cuenta

Sobra decir que esta lista se hace simplificando hasta el absurdo la compleja red de efectos que tiene uno u otro sistema de seguridad. He intentado valorar cada uno de ellos teniendo en cuenta su seguridad global, su robustez frente a los ataques más habituales y su usabilidad en el día a día. Tres aspectos que en muchos casos son antagónicos (más seguridad a cambio de menos robustez y usabilidad, más robustez a cambio de menos seguridad y usabilidad, más usabilidad a cambio de menos seguridad y robustez…). Y lo que significa que he dejado de lado situaciones poco convencionales y usos peculiares que podrían modificar sutilmente la lista.

Además, siempre siempre seguiré recomendando un doble factor de autenticación. Y cuando lo deje de hacer será para recomendar seguramente un multifactor. Como ya he explicado con anterioridad, ningún sistema de seguridad por sí mismo es lo suficientemente robusto y seguro como para delegar en él por completo. Un segundo factor apenas incide en la usabilidad diaria (únicamente se mete la primera vez en cada dispositivo) y evita la mayoría de ataques frente a los que los sistemas de seguridad por sí solos son débiles (robo masivo de credenciales a la compañía que los almacena, por ejemplo).

Siendo conscientes de estas dos consideraciones, vamos con el listado.

Ranking de sistemas de seguridad para nuestros dispositivos

1.- Huella dactilar:

Es, de los sistemas presentes en la mayoría de dispositivos (y cada vez más servicios) de la actualidad, el que a mi modo de ver está más equilibrado.

La seguridad de la huella dactilar es tan buena como buenas sean las medidas de seguridad que implementa el dispositivo y/o los servidores de la compañía que almacenan el patrón, y el porcentaje de error que el lector acepta. Lo que quiere decir que la seguridad depende de su desarrollo y no del usuario. Algo que a grosso modo es bueno.

Una huella dactilar es un sistema basado en la inherencia (algo que es innato en nosotros), y por tanto, tiene puntos fuertes y débiles respecto a su robustez. Por un lado no hay dos huellas dactilares idénticas, y por otro, en caso de robo, no nos quedará otra que utilizar otro dedo.

Para colmo, es de los métodos de seguridad más cómodos (usables) que existen, habida cuenta de que solo tenemos que poner el dedo y ya está.

Si nuestro dispositivo cuenta con él, sería el que recomendaría usar, tanto para el propio dispositivo como para aquellos servicios que van poco a poco implementándolo (como es el caso de PayPal).

2.- Patrón de imágenes:

Disponible por ejemplo en Windows 10, el patrón de desbloqueo basado en una imagen tiene algunos de los beneficios que veíamos en el anterior (es muy cómodo de utilizar y su seguridad depende del propio sistema), pero también entraña algunos handicaps extra, como es el hecho de que es fácilmente reproducible por terceros que nos hayan visto meterlo con anterioridad, y que de insertarlo mediante una pantalla táctil, es susceptible a ataques basados en la grasa que dejan nuestros dedos al deslizarse por la misma.

En todo caso, me parece un gran sistema de seguridad que ha sabido equilibrar con bastante acierto la seguridad, integridad y la usabilidad. De ahí que esté en el segundo puesto.

3.- Contraseñas:

Nos guste o no, siguen estando presentes como el sistema por defecto de la mayoría de dispositivos y servicios puesto que no dependen de ningún hardware específico para funcionar.

La seguridad de las contraseñas depende del usuario y de la empresa que las almacenas, por lo que hay dos vectores posibles de ataque. Una contraseña alfanumérica con carácteres ASCII de 20 dígitos podemos considerarla robusta… a no ser que la base de datos donde está sea hackeada por cibrecriminales y descubramos que dichas contraseñas se almacenaban sin cifrado de ningún tipo. Por contra, “1234”, “laika” o “asdf” no deberían ni considerarse contraseñas. Cualquier sistema de fuerza bruta es capaz de sacarlas en cuestión de segundos, minutos si al menos el sistema cuenta con herramientas anti fuerza bruta.

Y a nivel de usabilidad son tan incómodas como seguras sean (a más largas y más caracteres raros tengan, más incomodas de usar).

No es por tanto el mejor sistema de seguridad que hay, pero es el más universalizado, disponible en prácticamente cualquier servicio y dispositivo actual.

4.- Iris y/o reconocimiento facial:

Estamos ante dos sistemas basados en la inherencia, al igual que la huella dactilar, pero ocupan esta posición debido a que la tecnología que les permite operar no es tan robusta como la que encontramos en la huella dactilar.

Para ambos es necesario utilizar una cámara integrada en el dispositivo, y el problema de las cámaras es que dependen de la luz ambiente para operar. Si hay poca luz, el margen de error (tanto de falsos negativos como de falsos positivos) aumenta, lo cual es un gran problema.

Descontando este hecho, en efecto, cuentan con una seguridad dependiente del propio sistema (ajena al usuario) y son muy cómodos de utilizar.

5.- Patrón de desbloqueo y/o PIN:

Que nadie se lleve a engaño. Un patrón de desbloqueo o un PIN es a efectos prácticos el mismo sistema. Un sistema basado en el conocimiento (algo que sabemos). En el primero arrastramos un dedo entre unos puntos específicamente acotados, y en el segundo pulsamos esos puntos, que coinciden curiosamente con los números del 0 al 9.

Y por este mismo motivo, es un sistema poco robusto, fácilmente copiable por un tercero que nos lo vea meter, susceptible a ataques de fuerza bruta e incluso a ataques de la suciedad que dejan nuestros dedos.

Su seguridad sigue dependiendo del usuario y de la tecnología (en el caso del PIN solo de la tecnología, ya que por defecto nos obliga a que sea de 4 dígitos, y da exactamente igual respecto a la robustez qué cuatro números elijamos).

A cambio, eso sí, es un pelín más cómodo de usar que las contraseñas.

No lo recomendaría a nadie a no ser que sea el único que podemos utilizar, y de tener que elegir entre uno de los dos, eligiría sin lugar a dudas el PIN (aunque lo utilizáramos en la práctica como un patrón de desbloqueo). No porque me da la gana, sino porque hay estudios que demuestran que es ligeramente más seguro (EN/PDF).

6.- Sistemas basados en la posesión:

El patrón de desbloqueo y el PIN no son los últimos en la lista. Aquellos sistemas basados en la posesión (como que por ejemplo se me desbloquee automáticamente el smartphone cuando está una pulsera o un gadget asociado cerca, o lo mismo en el caso de un portátil cuando tenemos el smartphone cerca) son aún más peligrosos.

La seguridad depende en unos casos del usuario (gadgets en los que hay que meter una contraseña) y en otros de la propia tecnología (el protocolo de comunicación, que suele ser bluetooth o WiFi, o el envío de un token de autenticación a otro dispositivo, generalmente el smartphone).

Su robustez depende de la localización, lo cual los hace muy efectivos frente a ataques en remoto pero ineficientes frente a ataques presenciales (robo, acceso a información comprometida…).

Por último, son tan cómodos como cabría pensar (según el caso o hay que meter un código o directamente no hay que hacer nada), lo cual sería casi el único punto a favor que tienen.

Eso sí, se vuelven profundamente valiosos como segundo método de autenticación, sobre todo por esa capacidad de prácticamente erradicar cualquier tipo de ataque en remoto.

Pero por sí mismos no ofrecen el mínimo de seguridad aceptable, y por ello, no recomiendo utilizarlos como único sistema de seguridad.

¿Alguna sugerencia extra?

Lo dicho. Es una lista personal, basada en mi experiencia, que me gustaría compartir con usted. Y puede que haya discrepancias entre unos y otros. Para eso está precisamente la sección de comentarios. Si cree que me he olvidado de algo, o si le gustaría dar su opinión sobre alguno de los puntos tratados, le espero gustoso justo por aquí abajo.

 

________

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias