Pobre Paris Hilton; después de hacerse famosa por un vídeo erótico privado escapado a la Red, y de rentabilizar su fama en un 'reality' surrealista, la insípida rubia ha vuelto a los titulares por una importante metedura de pata. Resulta que los contenidos de su teléfono/agenda electrónica han acabado en Internet, incluyendo los números privados de no pocas celebridades y alguna que otra imagen de porno aficionado. Y la culpa, no nos equivoquemos, ha sido toda de la torpeza de la señorita Hilton... aquí no ha habido más 'hacking' que el social. El incidente destaca, sí, las vulnerabilidades del modelo de almacenamiento remoto de información, pero sobre todo nos enseña que hay que elegir bien las contraseñas que usamos; el eslabón más débil de la cadena de la seguridad somos nosotros.
Por muy segura que sea nuestra puerta de nada servirá si nos dejamos la llave puesta. En esencia, éste es el problema de Paris Hilton con su teléfono: que se dejó la llave puesta. Y que los sistemas de seguridad de su agenda/teléfono, como todos los que usan contraseñas, son demasiado permisivos. Tienen que funcionar con seres humanos, que tenemos una lamentable tendencia a olvidar contraseñas. Por eso se tienen que incluir formas de recuperar contraseñas olvidadas, esencialmente una segunda contraseña más fácil de recordar. Éste fue el error de la señorita Hilton: usar como contraseña de recuperación el nombre de su querido chihuahua, públicamente conocido. Llamar 'cracker' al responsable es sobrestimar sus habilidades, porque no necesitó usar ningún tipo de habilidad informática, sólo un poco de sentido común.
Generalizando lo que dice el especialista en seguridad informática Bruce Schneier, quien piense que la tecnología va a resolver su problema de seguridad no entiende la tecnología, o no entiende su problema.
La seguridad es una cadena que falla en cuanto un eslabón no funciona. Añadir defensar electrónicas y físicas de nada sirve si después nos dejamos la ventana abierta, la llave en la cerradura o la contraseña apuntada en un 'post-it' sobre el ordenador. Por no citar las pésimas contraseñas que seleccionamos.
La mayoría de las contraseñas que utilizamos las reventaría un 'cracker' medio decente en minutos. Un simple ataque de fuerza bruta (combinaciones de caracteres al azar), por no citar un ataque de diccionario (palabras comúnmente usadas como seña), es capaz de abrir cuentas de correo web, accesos bancarios, entradas de blog... Cualquier palabra con sentido que se le pueda ocurrir usar como contraseña probablemente está en un diccionario de ataques. Cualquier combinación de menos de 8 letras que contenga números y símbolos, mezclando mayúsculas y minúsculas, no es una contraseña segura.
Así, cada vez es más común usar contraseñas que son una frase completa (passphrases), como lo son las páginas que ayudan a generarlas (como Diceware). Al navegador Firefox se le puede incluso instalar una extensión (Secure Password Generator) para ayudarnos a crear contraseñas seguras. Las empresas y organismos estatales que necesitan altos niveles de certidumbre ya utilizan sistemas mixtos de identificación, con contraseña y objeto (carné, insignia, etc). Pero las insignias se pierden u olvidan en cada, y las contraseñas se siguen olvidando o eligiendo mal; por eso se plantean alternativas.
Mirando el futuro, tenemos que acostumbrarnos a escoger bien. Para un sistema informático, y mientras la biometría no venga a salvarnos (si es que lo hace), nuestra contraseña nos identifica. Somos esa palabra, o conjunto de caracteres: nuestro dinero, nuestro correo electrónico, nuestro teléfono y nuestra agenda dependerán de ello. Quién sabe; pronto la lista se extenderá para incluir la puerta de casa, el coche, tal vez la lavadora... Una contraseña robada, o adivinada por un criminal o simple gamberro, supondrá mucho más que una inconveniencia: será una catástrofe. La señorita Hilton ha tenido suerte, después de todo, ya que las consecuencias de su descuido no han pasado de la vergüenza pública. Dentro de unos años la cosa podría ser mucho peor, para cualquiera de nosotros, famosos o no. La higiene en la Red empieza por la contraseña...
No hay comentarios.:
Publicar un comentario