martes, 10 de noviembre de 2009

Seguridad en internet para tontos, explicada por otro tonto: contr4s3ñ4s


"Estudios en la producción de sistemas informáticos han indicado por décadas constantemente que cerca de 40% de las contraseñas elegidas por usuarios se conjeturan fácilmente." (Wikipedia)



Sospecho que un experto es la persona menos indicada para explicar algo. Por que no le vas a entender, claro. Quizás yo tampoco sería demasiado indicado para explicar nada, porque aunque tengo un montón de conocimientos absurdos en la cabeza no soy experto en ningún campo, lo que significa que de cualquier cosa siempre va a haber alguien que sepa más que yo (y seguramente un montón de gente). En cualquier caso, he descubierto que hay gente que no controla demasiado lo de la seguridad en la red, y como me parece un tema importante voy a tratar de explicar un par de cosas. Sé que hay por ahí explicaciones sobre el tema mucho mejores, pero no las vais a leer, ¿verdad? Pues eso.


PASSWORD: ****


Una de las cosas malas de internet son las contraseñas. Hace falta clave para todo. El correo electrónico, el messenger, el blog, páginas que requieran registro, foros... Lo malo es que cuando nos creamos la primera clave, nadie nos ha explicado como se hace esto. Y claro, cometemos errores. A ver, que levanten la mano todos aquellos que hayan tenido alguna vez como clave el nombre de su mascota. ¿Veis?

En primer lugar, quiero explicar que los que se dedican a la seguridad informática son paranoicos. Es normal, es su trabajo (bueno, a veces también escuchan voces y queman cosas, pero eso ya como hobbie). Tienden a establecer normas muy estrictas que a los demás nos parecen absurdas, pero es porque se dedican a combatir contra gente que se dedica a meterse en las cuentas de los demás. Sé que la gente normal no tiene contacto normalmente con hackers (aunque quizás debería decir crackers, si quiero ser riguroso), y considera que nada de lo que hace tiene interés para ellos. Bueno, es posible. Pero imagínate que te han confundido con alguien interesante. Además, no perdamos de vista que mucha de la gente que vulnera seguridades lo hace solo por entretenerse, así que no creas que estás tan a salvo. Yo he visto como reventaban una cuenta de correo y usaban lo que había allí para hacer pupita, y te puedo asegurar que no vale la pena correr el riesgo...


EL PROBLEMA

Hasta donde yo se, hay dos formas de reventar una contraseña, la fuerza bruta y la ingeniería social. Y voy a explicarlas un poco para que se entienda luego las recomendaciones que voy a dar.

El método de fuerza bruta, consiste en probar todas las contraseñas posibles hasta entrar. Sería el equivalente informático a dar una patada en la puerta, pero algo más sofisticado. Lo habréis visto en mil pelis (esos aparatitos que usan los espías para desbloquear las puertas con combinación o John Connor para sacar pasta de los cajeros). Por supuesto, esto no lo hace una persona, sino un programa, que va probando combinaciones. De ahí la importancia de tenerla larga. La contraseña, digo. Porque dificulta exponencialmente la búsqueda. Bueno, por eso y porque aumenta mucho la autoestima.

En el rincón opuesto tenemos la ingeniería social. Se trata de usar técnicas no informáticas para obtener las claves. Va desde llamar diciendo que eres el técnico y necesitas la contraseña de usuario para hacer algo (y el fishing se basa en esto), hasta acostarte con el que tiene la contraseña para conseguirla. Bueno, esto no creo que se haga mucho, pero estoy seguro de que funcionaría.

Entre ambos, hay métodos intermedios. A menudo se hacen 'ataques de diccionario', programas que prueban con todas las palabras que hay en un diccionario (incluso combinaciones de estas), contraseñas genéricas (1234, 1111, password...) o listas de contraseñas estadísticamente probables (como las que vienen por defecto para ciertos sistemas, para la gente que no las cambia). Conociendo datos biográficos de la víctima, también se pueden probar contraseñas estándar, como su DNI, su teléfono, el nombre de su mascota, su lugar de nacimiento, variaciones sobre el nombre... Sé que seguramente crees que no conoces a nadie que pretenda entrar en tu cuenta de correo, pero incluso si eso es cierto, gracias a la ley de los seis grados de separación, es casi seguro que has agregado a tu facebook a algún capullo con mucho tiempo libre que quiere leer tus correos privados para ver si tienes fotos cochinas. O tu blog lo lee alguien que quiere saber información personal sobre ti. O le has ganado a alguien en una subasta en eBay y se quiere vengar de ti. Yo que sé, lo que sea.


LA SOLUCIÓN

Es por esto que hay una serie de normas que los expertos en informática sostienen que es importante respetar. Las mejores contraseñas son largas (ocho caracteres es lo mínimo; si son catorce o más, mejor) precisamente para dificultar los ataques de fuerza bruta. Conviene que combinen mayúsculas y minúsculas, que tengan números y algún carácter especial (puntos, comas, arrobas...). Es mejor que no contengan palabras que estén en el diccionario -al menos en parte de la contraseña- y es muy importante que no la pueda adivinar alguien que nos conozca (cantante favorito, nombre de mi perro, marca de mi coche...) o que tenga acceso a información sobre nosotros (DNI, dirección, teléfono...). Con esto yo creo que ya estaría bien. No creo que sea bueno hacer un sistema tan difícil que haga que sea imposible que recuerdes tu contraseña y tengas que anotarla en algún sitio (especialmente si la vas a anotar en un archivo en el escritorio que se llame 'contraseñas').

Es cierto que todo esto es inútil si luego te entra un troyano en el ordenador que la extrae del historial de tu teclado, pero al menos tú habrás hecho todo lo que has podido. Eso si, asegúrate de que el sistema en el que usas tu contraseña supermegasegura chachi de la muerte no tiene uno de esos botones tan majos que te preguntan '¿Has perdido tu contraseña?', porque es posible que si lo pinchas te pregunte '¿Cómo se llama tu perro?' y estés igual que al principio...*

Según Bruce Schneier, la contraseña más utilizada es password1. (Wired, vía wikipedia)


ALGUNOS BUENOS CONSEJOS QUE YO NO DARÍA

-Usar contraseñas aleatorias (generadas al azar)
. Desde luego son lo más seguro, y te garantizan total protección contra la ingeniería social. Eso si, buena suerte tratando de recordar '20xnq,zpF83Kfic', porque yo no me veo capaz. Y no hay nada más frustrante que no recordar tu propia contraseña cuando tratas de abrir tu correo.

-No tener la misma contraseña para todo. Y parece razonable. Solo que nadie puede recordar más de tres o cuatro contraseñas de alta seguridad, así que la gente termina usando contraseñas de baja -o muy baja- para que sean distintas. En mi opinión, es mejor una muy buena que 10 malas.

-Cambiar la contraseña cada cierto tiempo.
Esto también parece razonable. Yo mismo lo hago, pero tampoco te obsesiones con ello. Y desde luego no si eso te obliga a usar contraseñas fáciles. En muchas empresas es el sistema el que te obliga a hacerlo, y esto lo único que consigue es que la gente termine usando una fecha como contraseña. Ya es bastante difícil conseguir una contraseña buena, pretender que la gente la cambie una vez al mes me parece absurdo. Si combinas este consejo con el anterior seguro que terminas teniendo un post-it en tu monitor donde pones todas tus contraseñas a disposición de cualquiera que se siente en tu silla...

-No memorizar la contraseña, sino el movimiento que haces sobre un teclado al escribirla. Parece ingenioso, aunque no sé bien su finalidad. Supongo que esto protege a la gente que habla en sueños. Bien, pues buena suerte cuando trates de consultar tu correo desde un teléfono móvil.

-Tener un sistema tan complicado que no lo recuerdes ni tú, y llevarlo anotado en la cartera.
Se supone que si pierdes la cartera te das cuenta en seguida y puedes cambiarlas todas, salvo que... Ooops! ¡No puedes! ¡No recuerdas tus contraseñas, por eso las anotaste! (Se supone que esta idea es de un tipo muy listo, así que seguro que hay algo que él puede ver y yo no; de hecho creo que también las guarda encriptadas en su ordenador, pero incluso aun asi, supongo que memoriza su contraseña de inicio de windows... ;)

-No anotar nunca las contraseñas en ningún sitio. Directamente contrario al consejo anterior y bastante tonto. Está claro que no es buena idea escribir el pin de tu tarjeta de crédito en la misma tarjeta, o la combinación de tu caja fuerte junto la cerradura, pero no veo nada malo en tener escrita la contraseña de tu sesión de Facebook en algún sitio seguro. En cualquier caso creo que es buena idea guardar algo para la memoria y no dar demasiada información en la nota. Al menos que no sepan de qué es la contraseña...

Más información aquí, y aquí. Comprueba la fortaleza de tu contaseña aquí**

*La pregunta de seguridad a menudo puede cambiarse, te recomiendo que la sustituyas por otra cuya respuesta no sea facil de saber. Si un sistema no te permite cambiar esa pregunta, deberías plantearte si es seguro de verdad...

**¿Lo has hecho? ¡Te pillé! Ahora ya la tienen y pueden usarla... nah, es broma (espero)

5 comentarios:

ender dijo...

Muy buen post. Todo lo que dices es cierto, estas cosas pasan más de lo que nos pensamos.

Hay mucha gente en mi empresa que repite contraseñas, se las deja pegadas en el portátil, se las da a tooooodos los compañeros de trabajo, etc.

Quisiera comentar además, ya que me das la oportunidad, que todos estos sitios de "averigua quien no te admite en el messenger" entran en el grupo de la ingeniería social. Es decir, le estamos poniendo nuestra contraseña del messenger a una web que nos dice algo que podemos averiguar directamente desde el propio programa a cambio de nuestra contraseña.

En fin, no me enrollo más. Muy buen post, no muy de tu estilo, pero muy buen post.

B dijo...

Jo, qué chapa, no??? jijiji

Entonces...mi contraseña súpersecreta de 12345678 mejor la cambio, no? Había pensado en usar 87654321...

Paticida!!!

molinos dijo...

Ha sido un poco chapa..pero leyéndolo en diagonal me ha molado. Y confirmo que tengo una contraseña chupi.

El Samurái Entiende dijo...

Mercy Blanco, ha estado divertido.

Un abrazo!

Blanco Humano dijo...

Ender: Lo de dar las contraseñas lo he visto por ahí, aunque me ha parecido tan tonto que me he negado a molestarme en desaconsejarlo. La realidad siempre supera la ficción. Lo del msn también lo he visto en alguna parte, aunque pensaba que nadie era tan tonto poco para probarlo. Pero si la gente cae en el phishing...

Bich: mmm... eres astuta. Estoy seguro de que me costaría adivinar tu contraseña. ¿Como digiste que se llamaba tu perro?

Me alegro de que te haya gustado el post. Si te gusta a ti que te dedicas a esto es que no está mal del todo. Supongo que no es mucho mi estilo, pero una vez al año o así me da por hacer uno en serio...

Molinos: felicidades, eso no lo puede decir mucha gente. La mía sería capaz de sobrevivir a un ataque nuclear, aunque creo que ya va tocando cambiarla

Samu: De rien. Para estas cosas siempre tengo un ratito...