Marchando una entra rápida con una reflexión que llevo tiempo queriendo dejar por escrito.
De un tiempo a esta parte han ido surgiendo varios servicios online, creados generalmente bajo el amparo de alguna marca de antivirus o de algún sistema de seguridad comercial, que permiten al meter una contraseña, valorar si esta es o no segura, e incluso cuánto, probabilísticamente hablando, tardaría un ciberatacante en descubrirla mediante un ataque de fuerza bruta.
Este tipo de herramientas han existido toda la vida, pero es ahora, con el auge de las IAs, cuando se han puesto de nuevo de moda, ya que genera mucho interés, al parecer, saber cuántos minutos, días, años o siglos tardaría una máquina asistida por IA en descubrir tu contraseña.
Lo peor de todo es que además de ofrecer esta información (que, recalco, es un cálculo estimado y totalmente inventado, ya que en el descubrimiento de contraseñas mediante ataques de fuerza bruta interfiere, y mucho, el tipo de técnica utilizada, y que por supuesto estos sistemas obvian para simplificar la respuesta y darte un único periodo de tiempo), te invitan a que compartas tus resultados “para sacar pecho” entre tus seguidores de redes sociales.
¿Estamos locos?
Índice de contenido
Doble riesgo a la hora de usar servicios de seguridad para contraseñas
No hace mucho me sorprendía al ver que un buen amigo, que además trabaja en el mundillo de la seguridad, compartía alegremente por su cuenta de Twitter los resultados que había obtenido.
Al parecer, su contraseña tardaríamos 26 mil millones de años para descifrarla.
Que parece muchísimo, por supuesto. Pero tiene truco.
En estos casos, el riesgo es doble.
Me explico:
La seguridad del servicio web
En primera instancia, y presuponiendo que hubiera puesto su contraseña real en esa web, estaríamos asumiendo que un tercero ya tendría por algún lado un registro de su contraseña, con el riesgo que eso conlleva.
Ya hemos visto que la mayoría de usurpaciones de cuentas en la actualidad se realizan no descubriendo la contraseña del usuario mediante ataques de ingeniería social o fuerza bruta, sino simplemente obteniendo sus credenciales de acceso en filtraciones masivas de contraseñas en servicios donde previamente se han utilizado.
Por tanto, gracias a este tipo de servicios, le estamos facilitando la vida a los cibercriminales, ya que bastaría con conseguir hackear esa web para obtener, presumiblemente, miles de contraseñas usadas por las potenciales víctimas.
Y esto presuponiendo que la seguridad de la web sea decente. Es decir, que o bien no almacene de ninguna manera las contraseñas (complicado ya que en teoría debe hacer un análisis de la contraseña, ergo en algún momento esa info pasa por sus servidores), o la almacene aunque sea temporalmente usando algún algoritmo de cifrado que consideremos seguro (nada de MD5, que es el típico que ves en bases de datos colgadas en Internet y cuyo descifrado es hoy en día inmediato).
La información que expones al compartir los resultados
Como le comentaba al compañero, gracias a que nos había dicho que su contraseña llevaría a una máquina 26 mil millones de años para descifrarla, estaba informando públicamente que su contraseña estaba formada exactamente por 16 caracteres, y que ninguno de ellos era un símbolo.
¿La razón? Pues porque la misma herramienta te dice cómo realiza ese “cálculo”.
Y esta información, poniéndonos en el peor de los casos, hace que precisamente esos supuestos 26 mil millones de años pasen a ser muchísimo menos, ya que ya sabemos exactamente el número de caracteres y cuáles podría estar utilizando (y los que no) de todos los que incluye el teclado español.
Que de nuevo, es cierto que va a resultar más sencillo ver si ha utilizado la misma contraseña en otro servicio que previamente haya sido hackeado y por tanto hayan expuesto públicamente sus credenciales.
Pero oye, con algo tan sencillo como compartir esta información, le facilitas a un tercero el poder realizar ataques dirigidos.
Conclusiones
En fin, que espero que esto sirva para que la próxima vez que te plantees probar un servicio de estos, pienses en esta reflexión y no lo hagas.
O si lo haces, que al menos sea con una contraseña que no es la tuya. Una inventada que más o menos tenga unos caracteres y tipo de caracteres parecidos, pero no exactamente iguales y en la misma cuantía, por hacer la prueba y pasar el rato, además de añadir algo más de desinformación sobre tus perfiles en la red.
Imagínate recibir en tu correo semanalmente historias como esta
Suscríbete ahora a “Las 7 de la Semana”, la newsletter sobre Nuevas Tecnologías y Seguridad de la Información. Cada lunes a las 7AM horario español un resumen con todo lo importante de estos últimos días.
El riesgo de estos servicios es que recopilen passwords para sus diccionarios de contraseñas, quizás para entender como los usuarios creamos las contraseñas.
No obstante buena parte de los usuarios utilizamos esquemas de contraseña, algunos incluso sin relación aparente entre ellas, así que tampoco les sirve para descubrir patrones de contraseña, dado que estos últimos años se ha puesto de moda utilizar máscaras de contraseñas para arañar un poco más las contraseñas, sería lo interesante.
Pero vamos, que si alguien me comparte que su contraseña es super segura para ser atracada por fuerza bruta, igual es que usa la misma en todas partes y con una fuga de información de un servicio, un atacante podría intentar acceder al resto de servicios que tuviese.
Pero claro, si tenemos un segundo factor de autenticación también se minimiza mucho el acceso, por no decir que muchos servicios lo tienen aunque no queramos y nos envíen un sms al móvil, que, a pesar de que no es lo más seguro, seguro que limita el impacto ante una fuga de información de cualquier servicio
Así que este tipo de servicios tienen un impacto más bien moderado, que no deja de ser un riesgo, y que si alguien lo quiere utilizar para presumir, pues es que a mi me parece que hace justamente la contrario
El tema que me llama la atención es ver que se hayan puesto de moda justo entre profesionales de la seguridad informática. Que oye, digo yo que un poco de esto tendría que saber…