Los usuarios usan pocas contraseñas para acceder a todas sus cuentas online y esto supone un gran riesgo

Las contraseñas son un dolor de cabeza para todos, pero aceptémoslo, las necesitamos. Y no van a desaparecer tan rápido como Microsoft podría querer. Por el momento, seguiremos dependiendo de ellas para el impredecible futuro. Es posible que usted tenga 50, 100 o incluso 200 cuentas online, pero ¿cuántas contraseñas tiene? ¿todas son únicas? A continuación, comparto una anécdota que sugiere que las personas siguen utilizando unas pocas contraseñas personalizadas para acceder a todas sus cuentas.

Hace unos meses asistí a una conferencia organizada por una empresa de gestión de patrimonios a la que me habían invitado para hablar sobre ciberseguridad. La audiencia estaba compuesta por más de 50 personas y, cuando mencioné “las contraseñas”, hicieron lo que la mayoría de la gente hace cuando me refiero al tema: comenzaron a mirar hacia los costados, evitando el contacto visual, con la esperanza de que no los señale para hablar. Instantáneamente me di cuenta de que su lenguaje corporal me estaba diciendo que no seguían las mejores prácticas en cuanto al uso y creación de contraseñas, así que decidí profundizar un poco más y les hice preguntas sobre cómo gestionaban sus credenciales. Algunas de las respuestas fueron muy interesantes.

En primer lugar, pregunté si alguien utilizaba un administrador de contraseñas. Un miembro de la audiencia levantó la mano y dijo que lo hacía solamente porque había escuchado una de mis charlas en el pasado (¡me sentí honrado!). Por lo tanto, el 98% de las personas en la sala no habían usado un gestor de contraseñas ni tenían un sistema para cuidar sus cuentas. Luego les pregunté cómo administraban sus cuentas online y varios señalaron que utilizaban las mismas tres o cuatro contraseñas, en las cuáles incluían información personal como fechas especiales o nombres significativos. Sí, fue terrible.

Decidí realizar un pequeño experimento sobre la marcha con la ayuda de un voluntario. He comprobado en varias oportunidades que en momentos como estos los experimentos “de la vida real” sirven de maravilla porque, si funcionan, generan que los miembros de la audiencia hagan su tarea antes de irse a la cama esa misma noche.

Con su permiso, busqué a este caballero en Facebook y lo encontré rápidamente. Localicé todo su contenido público e hice una lista en la pizarra de las posibles contraseñas que imaginé que podría estar usando. Anoté lugares de interés, nombres de mascotas, nombres de los hijos, fechas de interés, equipos deportivos, libros, música… en fin, todas las posibilidades clásicas. Tenía alrededor de 20 palabras y números diferentes en una lista y aquí viene la parte impactante en la que sentí que había encontrado un tesoro enterrado.

Mientras me miraba boquiabierto, dijo que no solo había descifrado una de sus contraseñas, sino que incluso había encontrado iteraciones de tres de las cuatro contraseñas que “usa para todo”. Más tarde descubrí que a las iteraciones les faltaba una letra mayúscula al principio y un número al final (típico, ¿no?). Este número siempre era el mismo: la fecha del mes en que nació. La multitud estaba perpleja de que yo hubiera descifrado sus contraseñas, pero yo no. Este es un comportamiento estándar, y los ciberdelincuentes también lo saben.

Entonces, surge la pregunta de por qué una persona, y especialmente si tiene acceso a una gran cantidad de riqueza, datos y medios de vida, aún hoy elegiría usar una contraseña que es débil en tantos niveles.

El futuro

¿Cuál es el futuro de las contraseñas? ¿Somos verdaderamente capaces de ir a donde los humanos aún no se han aventurado e intentar vivir en una sociedad sin contraseñas? ¿O crees, como yo, que, las contraseñas y el uso de frases como contraseña en realidad tienen un lugar en la cibersociedad y, cuando son bien utilizadas, en realidad son una ventaja? A diferencia de los datos biométricos, no hay un límite para la cantidad de contraseñas que una persona puede tener, además de que es posible almacenarlas en un administrador de contraseñas e incluso usarlo para que genere claves. Además, es extremadamente fácil acceder a una cuenta utilizando una contraseña en combinación con el doble factor de autenticación, como puede ser el uso de una aplicación de autenticación o una clave de seguridad, incluso para un usuario básico. De hecho, mis padres, a mediados de sus 70 años, utilizan gestores de contraseñas junto con aplicaciones de autenticación basadas en el teléfono para todas las cuentas que se los permiten, ¡y siempre me repiten lo fácil que les resulta!

Una brecha de datos que sufra un servicio en el cual tiene una cuenta puede ser suficiente para que un criminal tenga acceso a todas sus cuentas, si es que usted suele reutilizar sus contraseñas. Por lo cual, es posible que quiera mantener sus contraseñas en un lugar seguro. Muchas personas utilizan el gestor de claves de Apple o simplemente las guardan en su navegador. Sin embargo, si alguna vez su dispositivo es robado y no tiene cifrado de disco completo, si llega a las manos equivocadas podrían tener acceso al mismo, aún sin estar viendo cuál es la contraseña. Por esta razón, el uso de un administrador de contraseñas de terceros en varios dispositivos puede ser más beneficioso.

Con información de ESET