Salvar el mundo con una contraseña de 00000000

contraseñas

Comparta esta publicación

El uso de contraseñas es una práctica antigua

El uso de contraseñas es una práctica antigua que se remonta a los tiempos bíblicos, en el libro de los Jueces (12:6), alrededor del año 11 a.C., en un incidente conocido como “el Incidente del Shibboleth”. En aquel entonces, el pueblo de Gila’ad se encontraba en un sangriento conflicto con el pueblo de Efraiim y los Gila’ad tuvieron que escapar a la orilla occidental del río Jordán, y establecer allí su base. Para asegurarse de que ningún enemigo pasara por allí, el pueblo de Gila’ad pedía a los transeúntes que dijeran la palabra: “Shibboleth”. Si la decían correctamente se les dejaba pasar con seguridad, si no, eran ejecutados. La palabra fue elegida cuidadosamente porque se sabía que la gente de Gila’ad no podía pronunciar Sh correctamente y por lo tanto podía ser identificada fácilmente.  וַיֹּאמְרוּ לוֹ אַנְשֵׁי גִלְעָד: “הַאֶפְרָתִי אַתָּה?”, וַיֹּאמֶר: “לֹא”. וַיֹּאמְרוּ לוֹ: “אֱמָר נָא: שִׁבֹּלֶת”, וַיֹּאמֶר: “סִבֹּלֶת

Una contraseña en la Guerra Fría

Otra anécdota del uso o mal uso de las contraseñas se remonta a la Guerra Fría, cuando comenzó la carrera nuclear y se desplegaron misiles nucleares en lugares estratégicos de EE.UU. El gobierno estadounidense quiso asegurarse de mantener un estricto control central de estos activos estratégicos, y ordenó instalar en cada cabeza nuclear un dispositivo de bloqueo, conocido como “Enlace de Acción Permisiva” (PAL) que solicitaba un código secreto de desbloqueo antes del lanzamiento. Por razones de ego con un razonamiento que se parece al de la película “Dr. Strangelove”, el Mando Aéreo Estratégico decidió que sería más práctico poner la contraseña de todos los candados a 00000000. Y así fue como durante casi 20 años, el código de lanzamiento nuclear de todas las instalaciones de Estados Unidos quedó sin cambios 00000000.

Una combinación de 8 caracteres ASCII permite crear 6,1 cuatrillones de contraseñas diferentes

En los tiempos que corren, ni siquiera se acepta una contraseña de 0000000 para proteger tu cuenta de Facebook. Los ataques de phishing y los aterradores titulares de las noticias nos han enseñado a estar más atentos a la gestión de nuestras contraseñas. 

Todos sabemos que es una buena práctica utilizar diferentes contraseñas para diferentes cuentas, tener contraseñas fuertes, asegurarnos de no compartirlas y utilizar MFA cuando esté disponible.  De hecho, una combinación de 8 caracteres ASCII permite crear 6,1 cuatrillones de contraseñas diferentes (¡es un número con 15 ceros!). Uno podría pensar que eso es suficientemente fuerte. Y sin embargo, en 2021 las contraseñas comprometidas siguen siendo una de las principales razones de las violaciones de seguridad. 

Entonces, ¿cómo sucede? Aparentemente, como humanos, no somos muy buenos creando contraseñas aleatorias, y menos aún manteniéndolas seguras. Tenemos una tendencia a los sesgos lingüísticos, culturales y de contexto asociativo. Esto reduce drásticamente el nivel de aleatoriedad (entropía) de la contraseña. Por ejemplo: en las contraseñas alfanuméricas, el usuario suele empezar con una letra mayúscula, las letras vocales “a”, “e” y “o” se utilizan hasta 5 veces más que las demás letras, y de los 32 caracteres especiales, estos 5 caracteres son líderes con diferencia “_” “.” “-” “!” y “@”. ¿Y cómo guardamos nuestras contraseñas? En una encuesta realizada por Digital Guardian, el 39% las escribe en un papel, el 10% en un archivo de su escritorio, el 18% reutiliza la misma contraseña en varios sitios web y sólo el 28% utiliza una herramienta de gestión de contraseñas. 

Contraseñas - en el futuro

Mientras tanto, la potencia de los ordenadores y los hackers ha mejorado mucho, un ordenador de sobremesa normal puede adivinar hasta 100 millones de contraseñas por segundo. Un equipo de expertos hackers de sombrero negro puede construir una máquina (based on 25 GPUs) que puede adivinar hasta 350.000 millones de contraseñas por segundo. Con métodos que varían desde Brute force (probar cada combinación de caracteres) hasta la fuerza bruta híbrida que combina la ingeniería social y el reconocimiento, u otros métodos como inyectar un malware que registra en secreto todas las pulsaciones de teclas. 

Está claro que en la carrera por las contraseñas seguras, cada vez es más difícil mantener la ventaja, las organizaciones y los líderes de la industria están trabajando en métodos de autenticación alternativos, como: 

  • El Single Sign-on (SSO), un esquema de autenticación que permite a un usuario iniciar sesión con un único ID en muchos sitios web o sistemas, aunque independientes, y por lo tanto haciendo redundante tener muchas contraseñas,
  • La identidad descentralizada, respaldada por la protección de la cadena de bloques. 
  • Y por supuesto: Autenticación biométrica (huella dactilar, facial, iris, reconocimiento de voz e incluso basándose en el latido de nuestro corazón único)

Comprueba cuánto tiempo se tarda en descifrar tu contraseña. dale click aqui y contactanos si quieres saber más sobre ciberseguridad y privacidad.

Contáctanos.

El personal de SymbioLAB cuenta con múltiples certificaciones internacionales en Seguridad de la Información. Esta capacitación constante y alineación a estándares internacionales nos permite entregar resultados óptimos de accuerdo a su necesidad. 

Más para explorar