La semana pasada informábamos sobre el ataque que sufría LinkedIn al ser vulnerada la información de forma masiva de muchos usuarios. En lo que va del mes de junio ya han sido varias las comunidades electrónicas que han sufrido ataques similares, la otra víctima conocida Last.fm un servicio de recomendaciones musicales, quien a través de sus cuentas en Twitter y por otros medios ha sugerido a sus usuarios cambiar la contraseña pues esta información ha sido afectada por el ataque. De nuevo vale la pena preguntarse, ¿qué tan segura está nuestra información en la red?
Ya desde 1956 salía publicado uno de los artículos más citados en sicología escrito por George Armitage Miller titulado The Magical Number Seven, Plus or Minus Two que trata entre otras cosas de las limitaciones en cantidad de información que tiene el ser humano para recibirla, procesarla y recordarla. 26 años después, Eliyahu Goldratt escribía sobre la Teoría de Restricciones (TOC – Theory of Constraints), la cual podría sintetizarse utilizando la analogía de la cadena: una cadena es tan fuerte como su eslabón más débil. Ahora, ampliemos la inquietud inicial ¿cómo es que estos dos hechos históricos, distantes entre sí un cuarto de siglo tienen relación con la seguridad de nuestra información y con los ataques que han ocurrido en la última semana?
Teniendo en cuenta las limitaciones del ser humano para memorizar información, se puede explicar la tendencia a utilizar pocas o una sola contraseña para todos los sitios registrados; y como todos los sitios no garantizan el mismo nivel de seguridad, potencialmente puede quedar expuesta la información. En otras palabras, el nivel de protección de un usuario va a ser tanto como lo garantice el sitio con el nivel de seguridad más bajo.
Es claro que el aumento del uso de tecnologías de información ha incrementado el uso de servicios en la red que requieren de algún tipo de autenticación: comercio electrónico, banca en línea, redes sociales, entre otros servicios; y la forma más usada para identificarse es la dupla nombre de usuario y contraseña, por lo tanto se requerirían más de estas duplas a medida que aumenten los servicios en los cuales el usuario esté inscrito. Alrededor de este tema hay un interés tal que se han realizado algunos estudios buscando identificar las tendencias en este sentido, encontrándose como práctica común reutilizar las contraseñas. Más recientemente, profesores de universidades canadienses y surcoreanas publicaron un artículo donde analizan el impacto para la seguridad de la información al utilizar la misma contraseña en muchos sitios.
Si seguimos atando cabos, en menos de una semana han salido a la luz ataques a comunidades electrónicas como LinkedIn, Last.fm y eHarmony, quizá no tan conocida en nuestro medio, en los cuales fueron robadas las contraseñas de muchos de sus usuarios, lo cual puede llevar a pensar que aunque no atacaron directamente las cuentas de Facebook o vulneraron la seguridad del banco que presta servicios financieros en línea, por ejemplo, podrían ya tener esta información si se reutilizan las contraseñas.
Existe una aproximación para saber qué tan alto es el nivel de exposición dada la reutilización de claves, la cual encontramos en el artículo mencionado, que no es más que una relación entre la cantidad de sitios en los que el usuario está registrado y cuantos sitios tienen una misma contraseña. Esta relación toma valores entre cero y uno; siendo cero el mejor caso que se da cuando cada sitio tiene su propia contraseña. Por otro lado, el peor escenario ocurre cuando se reutiliza la misma contraseña para todos los sitios, en este caso el nivel de exposición es igual a 1. Un valor de exposición intermedio cercano a cero no quiere decir que no puedas ser vulnerado, el riesgo evidentemente va a ser menor pero aún así es necesario seguir los lineamientos para construir contraseñas seguras. Además para la gestión segura de claves existen aplicaciones que facilitan esta tarea, generando claves seguras y centralizándolas para su manipulación.
Finalmente, la evidencia de estos últimos ataques, confirma que la reutilización de contraseñas puede comprometer seriamente la información en la red y cabe recordar que estar expuesto a un robo de identidad no es la única amenaza a la que pueda enfrentarse una persona mientras navega en Internet. Por eso es importante conocer las amenazas informáticas más comunes y las formas de prevención. Por eso, recomendamos acceder a la Plataforma Educativa de ESET Latinoamérica, donde se encuentra una guía para el uso seguro de medios informáticos donde se presentan las claves para protegerse ante las amenazas más comunes.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research
