No voy a descubrir la pólvora en este artículo, pero es algo que lleva rondándome la cabeza todo este tiempo.
Hasta el punto que últimamente ha cobrado más importancia que la paranoia habitual que me forzaba a rendirme ante sistemas cada vez más complejos.
Tres han sido los detonantes de esta maquiavélica erudición. O han sido la causa que buscara una excusa para mi cambio de pensar (es difícil saber qué fue antes…). ¿Será que me estoy volviendo viejo y vago? ¿Será que empiezo a anteponer la comodidad a la seguridad?
A ver qué opina usted.
Índice de contenido
Patrón de desbloqueo frente a contraseñas alfanuméricas
Recuerdo que hace ya unos cuantos años, con mi Samsung Galaxy Note 2, hubo un momento en el que empezó a ir fatal. Un lag que me ponía de los nervios. Cada vez que quería hacer algo, tocaba esperar a que el cacharrito cargara. Y esto era un problema cuando además, para desbloquearlo, necesitaba ingresar una contraseña alfanumérica.
Antes de tener el Note 2, fui un orgulloso usuario de un S II (en serio, pedazo de móvil), y precisamente el cambio a una pantalla más grande (con el aumento de líneas disponibles para el teclado, que ahora incluía a simple vista también los números) me permitió dar por fin el paso que esperaba.
Cifré tanto el disco interno como la SD del dispositivo. Y al hacerlo, esto me obligaba a pasar de la contraseña por patrón que por aquel entonces tenía, a una alfanumérica.
El tener el dispositivo cifrado te obliga a que cada vez que lo reinicias le tengas que meter esa contraseña. Es un paso anterior a la carga del sistema, lo que hace que se vuelva a reiniciar para ya cargar todos sus componentes. Pero sobre todo, meter una contraseña alfanumérica cada vez que tienes que desbloquearlo es muy muy molesto. Más cuando el terminal ya no responde igual que al principio, y acabas por encontrarte en situaciones donde encima te confundes o el móvil no responde correctamente y metes varias veces mal el pass, teniendo que esperar 1 minuto de castigo para seguir intentándolo.
¿Qué pasó entonces? Que acabé por resetear a fábrica el chisme. Tanto disco interno como SD, previa copia de seguridad (imágenes, porque el resto no me importaba perderlo).
Y al hacerlo, descubrí dos cosas:
- Primero, que Google había ya trabajado mucho eso de facilitar el cambio de terminal a un usuario: Fue sido meter mi cuenta (activar el doble factor de autenticación previa llamada a mi madre, que la pobre estaba durmiendo), y él solito se puso a descargar algunas de las aplicaciones que ya tenía instaladas anteriormente. No todas, pero muchas, lo cual se agradece. Con un repaso al historial de Google Play, y alguna otra que tenía instalada fuera del market (lo sé, vivo al límite 🙂), unas cuantas configuraciones de rigor, y corregir algunos ajustes puntuales que solo ves después de uno o dos días de uso, en cuestión de media mañana ya tenía el Note 2 como nuevo. Y de paso descubrí algunas actualizaciones de apps que ya no usaba (Calendar, Docs,…) que me han hecho volver a depender aún más de Google.
- Segundo, que de repente, tanto cifrar el dispositivo como instalarle una aplicación externa de anti-theft, ya no tiene tanto sentido: Es decir, sabedores de que la seguridad del cifrado y reseteo de disco está estos días en entredicho (EN), y que Google y Samsung han habilitado su propio sistema de monitorización en caso de pérdida, ¿me voy a molestar en hacer estos pasos? ¿Tengo que sufrir las inclemencias de una contraseña alfanumérica cuando de media, insertar el patrón me lleva 8 veces menos de tiempo?
¿Es más seguro el patrón de desbloqueo que la contraseña alfanumérica? No, pero es que hoy en día la industria del crimen tiene herramientas de alto rendimiento que funcionan como servicio y que se saltan prácticamente cualquier contraseña en cuestión de muy muy poco tiempo. Y con poco tiempo hablamos a veces de hasta segundos.
Que si alguien me roba el terminal, y es un cibercriminal, le va a dar igual que tenga una contraseña alfanumérica o un patrón de desbloqueo. Que si alguien me roba el terminal y no tiene ni idea de seguridad informática, le va a dar igual que tenga una contraseña alfanumérica o un patrón de desbloqueo. Punto.
El patrón de desbloqueo no es más seguro, pero al menos es muchísimo más cómodo para el día a día, y si pongo actualmente en la balanza esa diferencia frente a la enorme comodidad que me ofrece, la respuesta es obvia.
Y esto pasa con el smartphone, y también con nuestros portátiles. Había sido pasar de portátil a ultrabook con pantalla táctil, y me había olvidado de volver a meter contraseña de desbloqueo.
Con un teclado delante (suponiendo que lo esté usando como portátil y no como tablet o como expositor), aquí las diferencias en rapidez son mínimas, pero ¿y lo molón que queda trazar cuatro garabatos encima de tu foto (¡egocéntrico!) para desbloquearlo?
Eso, nuevamente, no tiene precio.
Mantener las contraseñas “seguras” se hace por momentos insostenible
Es la realidad del entorno tecnológico donde nos movemos. No basta con tener una contraseña larga, compleja y sin sentido aparente. Encima hay que crear una única para cada servicio.
Y esto, cuando en nuestro día a día usábamos tres o cuatro contraseñas, cuando el mundo digital no estaba tan conectado, pues era fácil. ¿Pero ahora?
Me toca cambiar la contraseña de Google. Muy bien.
- Entro desde mi portátil a la página de Google, y la cambio.
- Me toca ahora actualizar el perfil de Chrome del portátil.
- Sin olvidarnos de aquellos servicios que se loguean con la cuenta de Google.
- También la cuenta de Google del sistema operativo (por eso de la sincronización con Drive, Calendar y CIA).
- Ahora vamos al smartphone, y más de lo mismo (cuenta del SO más cuenta de cada una de las apps).
- Ahora vamos a la tablet, y repetimos el proceso.
- Y todavía nos queda el ordenador de casa, y el ordenador de casa de los padres, y el del vecino, y el de…
¿Hemos terminado? No, solo hemos cambiado la cuenta de Google. Ahora póngase a repetir el proceso con la de Facebook, con la de Twitter, con la de Amazon, con la de Microsoft, con la de Apple, con la de… Y esto por favor me lo repita cada mes.
¿Estamos locos?
¿Te preocupa tu Seguridad y Privacidad Online?
He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la ciberseguridad, ayudándote paso por paso a configurar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.
Sistemas biométricos
Si me hubieran preguntado hace un año sobre mis impresiones con los sistemas de autenticación biométrica, hubiera dicho lo esperable: Ni por todo el dinero del mundo delego la seguridad de mi información en un sistema que tiene una debilidad tan acentuada.
Y entonces llega Apple Pay, y demuestra que aunque esa vulnerabilidad sigue y seguirá estando presente, una gestión acertada y dual de la identidad en local y un token generado en el momento (y no identificativo) en los servidores de la compañía, puede minimizar los problemas de robo de patrón biométrico.
La comodidad vuelve a ganar enteros. Porque poner el dedo en un lector es incluso más cómodo que dibujar un patrón en una pantalla.
Y la seguridad, prácticamente, vuelve a ser la misma.
Tanto que como era de esperar mi siguiente terminal ya lo cogí con lector de huellas dactilar. Me estoy haciendo viejo…
Y es más, recientemente he creado este tutorial sobre qué sistema de seguridad utilizar en nuestras cuentas y dispositivos, por si le quiere echar un ojo.
Autenticación en dos pasos o 2FA
Así llego al quid de la cuestión. Años peleándome con la generación de un patrón semi-aleatorio (soy humano, y necesito algo en lo que basarme para no olvidar la infinidad de contraseñas que tengo) para que ahora caiga en la consideración que conforme más avanza la tecnología, más expuestos estamos a que los sistemas de seguridad basados en el conocimiento sean “fácilmente” explotables.
Y esto es solo la punta del iceberg de lo que nos espera. Me comentaba muy acertadamente en una charla el otro día con un profesional del sector que todo el paradigma de seguridad que tenemos ahora montado se irá al cuerno tan pronto los primeros ordenadores cuánticos entren en el juego. Y al paso que vamos, llegarán dentro de poco.
Así pues, “que me quiten lo bailao“. El único método que de verdad me da seguridad hoy en día es la doble autenticación o 2FA, y de ahí que la tenga activa en cuantos servicios me lo permiten. Que sí, que soy consciente que algunos de estos servicios (Google, Facebook, Twitter,…) la están usando como nexo de unión entre mi identidad física y mi identidad digital, pero mire, si tengo que además preocuparme porque los cuatro grandes (falta Amazon para ver la ecuación al completo) me estén espiando en pleno 2015, apague y vayámonos.
Autenticación en dos pasos o 2FA, y luego patrón, o huella dactilar o lo que le sea más cómodo. Así al menos tienen que hackearle y robarle físicamente el terminal. O hackearle dos veces… O encontrar alguna vulnerabilidad en el sistema…
De algo hay que morir :).
________
¿Quieres conocer cuáles son mis dispositivos de trabajo y juego preferidos?
Revisa mi setup de trabajo, viaje y juego (ES).
Y si te gustaría ver más de estos análisis por aquí. Si el contenido que realizo te sirve en tu día a día, piénsate si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
Más razón que un santo. Yo me cambié el iPhone 5 por el 6 plus, entre otras cosas, para poder desbloquear con la huella, estaba harto de meter el pin… Las claves y todo eso están bien para impedir el acceso a la mayoría de mortales, pero si te pilla un profesional, difícil va a ser que te escapes de rositas.
Es justo lo que dices. Es más, para ser un sistema de seguridad biométrico, reconozco que la estrategia de Apple y Samsung con la gestión en dos pasos de la huella digital es un acierto. Muy cómodo de usar, y hasta cierto punto, seguro.
Por supuesto, que si te pilla un profesional con recursos suficientes, olvídate. Pero al menos el típico ladrón de bolsos o tal por la calle no va a poder entrar, cosa que a poco que sea algo inteligente, el patrón se salta fácilmente (más si no sueles limpiar la pantalla).
Gracias por el comentario Manuel.