¿Las contraseñas de ocho caracteres están mandadas a recoger?
La existencia de una aplicación capaz de descifrar cualquier “password” de esa longitud, en tan solo dos horas y media, abre el debate sobre la necesidad de implementar mecanismos más seguros.
Diego Ojeda / @diegoojeda95.
Hashcat es la herramienta que el pasado mes de febrero demostró ser capaz de romper cualquier contraseña de ocho caracteres en solo dos horas y media. Eso, gracias a su poder de procesamiento que evalúa, dentro de las numerosas posibilidades, cuál es la clave que se está buscando. El experimento, según el portal de noticias Xataka, se realizó retando al sistema de autenticación empleado por Microsoft, NTLM, por lo que su desempeño con otros sistemas probablemente sea distinto.
Gracias por ser nuestro usuario. Apreciado lector, te invitamos a suscribirte a uno de nuestros planes para continuar disfrutando de este contenido exclusivo.El Espectador, el valor de la información.
Hashcat es la herramienta que el pasado mes de febrero demostró ser capaz de romper cualquier contraseña de ocho caracteres en solo dos horas y media. Eso, gracias a su poder de procesamiento que evalúa, dentro de las numerosas posibilidades, cuál es la clave que se está buscando. El experimento, según el portal de noticias Xataka, se realizó retando al sistema de autenticación empleado por Microsoft, NTLM, por lo que su desempeño con otros sistemas probablemente sea distinto.
Para el experto en seguridad informática Roberto Martínez, quien trabaja como analista sénior del equipo de investigación global y análisis de Kaspersky Lab, las destrezas que demostró Hashcat no son novedosas, ya que lo mismo se ha podido realizar con otras aplicaciones en el pasado, solo que a menor velocidad. Sin embargo, este profesional asegura que con el paso de los años estos procesos podrán hacerse más rápidos y a menor precio para los atacantes.
Lea también: Siga estos pasos para construir una contraseña segura
La advertencia pone sobre la mesa el debate de qué tan seguras son las contraseñas de ocho caracteres, y más teniendo en cuenta que la mayoría de servicios solicitan ese mínimo de longitud para que sean consideradas robustas. “Ciertamente la recomendación es tener contraseñas más largas, porque entre más sea su tamaño, más tiempo le va a tomar a una de estas máquinas poder encontrarla”, asegura Martínez.
El caso colombiano
Según cifras entregadas a este medio por Áxel Díaz, experto en seguridad de la información de la compañía Adalid, el colombiano promedio no tiene contraseñas seguras, ya que el 73 % emplea unas que son muy cortas o muy predecibles. Díaz explica que incluso existen zonas comunes en esta materia, es decir, hay usuarios que, por salir del paso, emplean contraseñas tan fáciles que otras personas en el mundo también las utilizan.
El último informe anual que entregó Splash Data, compañía de soluciones de seguridad, muestra el ranquin de las contraseñas más usadas en 2018. 123456, password, 123456789, 12345678 y 12345 fueron las que lideraron el escalafón. Demás está decir que si su contraseña coincide con algunas de estas, lo más recomendable es que haga un cambio cuanto antes.
“A nivel empresarial uno encuentra que las contraseñas no son nada seguras, entonces, Colombia no tiene buenos hábitos”, menciona Díaz al agregar que una contraseña robusta debe tener más de 25 caracteres, en los que se haga una mezcla de números, letras y además se incorporen mayúsculas y minúsculas.
Contraseñas, un dolor de cabeza
Una persona puede tener varias redes sociales, como Facebook, Instagram y Twitter. Además, hacer uso de un servicio de mensajería: Gmail o Hotmail. Pero, a la vez, estar suscrito a otro tipo de aplicaciones como Netflix, Spotify, Uber o Rappi. Teniendo en cuenta esto, un ciudadano tendría que memorizar no menos de ocho claves diferentes, porque eso es lo que se recomienda, de más de 25 caracteres, para acceder a estos servicios.
Siendo realistas, nadie hace eso. Expertos en seguridad informática afirman que el sistema habitual de contraseñas tiene sus días contados. De hecho, ya existen soluciones para mitigar sus desventajas.
Le puede interesar: ¿Fue víctima de la última megafiltración de datos?: Sepa cómo averiguarlo
Explorando alternativas más seguras
Hoy hay servicios que se conocen como gestores de contraseñas. Estos aplicativos son capaces no solo de almacenar las claves que desee un usuario, sino también de generarlas, matando así “dos pájaros de un solo tiro”. Le ahorra el problema de recordarlas y evita que implemente claves predecibles en las que se vea reflejado el nombre de su mascota o su fecha de cumpleaños.
“El problema con estos baúles -gestores de contraseñas- es que podrían tener brechas que permitan a un atacante robar la base de datos que contienen”, menciona Díaz. Es importante acceder a servicios que sean provistos por compañías reconocidas y que demuestran ser seguras, esto se puede comprobar revisando los comentarios que la gente haga sobre los aplicativos, su calificación y opiniones en foros virtuales.
A pesar de todos los beneficios que pueden ofrecer los gestores de contraseñas, Martínez asegura que se ha demostrado que estos sistemas se pueden vulnerar. De hecho, las contraseñas por sí solas ya no son problema para algunos hackers que han podido burlar sistemas de seguridad sin la necesidad de implementarlas.
¿Dejarán de existir las contraseñas en el futuro?
Para Díaz la respuesta es sí, eventualmente dejarán de utilizarse, ya que serán reemplazadas por otros mecanismos más robustos. Están, por ejemplo, los sistemas de autenticación que implementan como base la biometría, es decir, el uso de las huellas dactilares, el reconocimiento de voz e iris para tal fin. Esto se ha popularizado en los últimos años para el desbloqueo de teléfonos inteligentes por medio de sensores de huellas y reconocimiento facial. Aunque este último en algunos celulares ha sido burlado, la efectividad del reconocimiento del iris ha sido tal, que pasajeros en Colombia pueden hacer su proceso migratorio en el aeropuerto El Dorado haciendo uso de esta tecnología. Es posible que en el futuro una persona que desee ingresar a su cuenta de Facebook pueda hacerlo con su rostro, voz o huella dactilar.
Le puede interesar: Cuidado con los celulares económicos que ofrecen reconocimiento facial
Otra de las tecnologías de autenticación de identidad que podrían tomar fuerza son los “token de seguridad” y los sistemas de doble autenticación. En el caso del primero, sin ir tan lejos, es una herramienta que ha demostrado su efectividad en el sistema bancario. Básicamente es un aparato que genera contraseñas aleatorias que el usuario puede registrar al momento de acceder a un servicio.
El sistema de doble autenticación no es diferente, también ha sido utilizado en el pasado, por ejemplo, al acceder a una cuenta de Gmail, en el que Google no solo pide la clave de ingreso, sino que además solicita ingresar unos dígitos que manda vía mensaje de texto al celular del titular de la cuenta. Si una persona logra conseguir la contraseña de alguien más, no le servirá de nada si no tiene el teléfono al alcance.
A pesar de todo, ninguno de estos expertos asegura que en el futuro se logre alcanzar un mecanismo de autenticación que sea 100 % seguro, por lo que seguirá existiendo la batalla entre quienes trabajan para hacer mecanismos robustos y quienes emplean todos sus esfuerzos para romperlos.