La crónica de la muerte anunciada de las contraseñas está durando más de lo previsto. Los expertos coinciden en que son cosa del pasado pero ahí siguen, obligándonos a recordarlas una y otra vez. Como cada año, el primer jueves de mayo se celebra el Día de la Contraseña y aprovechamos para comentarte algunas de las tendencias que existen. Seguro que más pronto que tarde tomarán el relevo definitivo para sortear los problemas de seguridad derivados del binomio usuario/clave.
Una de ellas es el enlace mágico o magic link que caduca en un tiempo determinado. A menudo se usa como segundo factor de autenticación, pero no como un sistema de seguridad en sí mismo. Muchas empresas lo han implantado para dar acceso temporal a ciertas páginas o aplicaciones. La plataforma de microblogueo Tumblr, por ejemplo, da la posibilidad de registrarse así. Resulta muy útil cuando entras desde tu smartphone, ya que las posibilidades de fallar al introducir una contraseña larga aumentan. Desde el punto de vista de la ciberseguridad, evita que un malware pueda robar las credenciales de acceso.
“A corto plazo se están posicionando algunas alternativas de autenticación continua basadas en biometría o en esquemas sin contraseña”, comenta el experto Pablo San Emeterio. La biometría física emplea la huella dactilar, el ojo o la voz. Es muy habitual que las apps del sector financiero ya incluyan la posibilidad de entrar a operar con tan solo acercar el dedo índice a un botón. Amazon se ha sumado al plus de seguridad de la biometría facilitando el pago de las compras sin tarjetas ni contraseñas, únicamente colocando la palma de la mano sobre un lector. Ya se usa en algunas tiendas físicas de EE.UU.
También ha hecho su aparición la llamada biometría conductual. Nuestra manera de movernos por el mundo es única e irrepetible, incluso desde acciones tan simples como a qué altura sujetamos un dispositivo o cuánto de rápido tecleamos y hacemos scroll. Todo ello puede servir para crear un método de acceso seguro. Cabe la posibilidad de registrar hasta 2.000 gestos interactivos para identificar con todas las garantías a una persona.
Las contraseñas seguirán con nosotros, de momento
Estos adelantos suenan muy bien y nos salvarán de muchos problemas relacionados con la conexión a internet en el futuro. Lo cierto es que a día de hoy seguimos introduciendo en nuestro día a día usuarios y contraseñas que podrían poner en peligro nuestra seguridad en la red.
No obstante, tal y como nos cuenta Josep Albors, Director de Investigación y Concienciación de ESET España, “las contraseñas como método único de autenticación hace tiempo que dejaron de ser efectivas. No solamente por lo débiles que son algunas o el hecho de que demasiados usuarios las reutilicen en varios servicios. Las filtraciones y robo de datos que sufren las empresas también han minado su efectividad y, desde hace años, se aboga por la utilización de un doble factor de autenticación (2FA) para poder proteger de forma más eficaz el acceso a servicios online”.
El 2FA gana en popularidad, aunque Albors advierte: “no todos son igual de efectivos”. Como ejemplo el mensaje enviado por SMS, que sigue utilizándose de forma masiva en España para confirmar acciones tan críticas como una transferencia bancaria. “Los delincuentes han desarrollado amenazas capaces de interceptar este tipo de mensajes y ya no pueden considerarse como un método de autenticación seguro”. De ahí que la apuesta por la autenticación biométrica, la autenticación por tokens físicos o de software siga su curso al demostrar una eficacia muy superior.
¿Qué podemos hacer para protegernos?
Está claro que mientras el sistema de identificación preferente siga siendo la introducción de usuario/contraseña, no debemos perder de vista las buenas costumbres. Más que nada porque aunque las claves parezcan robustas, siguen siendo al mismo tiempo vulnerables a ataques de ingeniería social o phishing. Son, además, la causa principal de las brechas de datos, según un informe de MobileIron.
Insistimos, por ello, en el uso del factor de doble autenticación y en la aplicación de un gestor de contraseñas. Conviene, además, pararse a pensar en una contraseña que contenga como mínimo ocho caracteres, entre ellos caracteres especiales, signos y la alternancia de mayúsculas y minúsculas. No es un capricho: más de 23 millones de personas en todo el mundo víctimas de una brecha de seguridad utilizaban de contraseña la manida “123456”. En este reportaje explicábamos las amenazas frecuentes dirigidas a las contraseñas y otros consejos útiles.
Por último, comprueba si tus credenciales se filtraron a raíz de una brecha de datos utilizando este servicio. En caso afirmativo, cambia las credenciales del servicio expuesto y de aquellos en los que utilices la misma contraseña y permanece atento a cualquier ataque de ingeniería social. Es importante tener en cuenta que en las brechas de datos a veces no solo se filtran las contraseñas, también información personal o tarjetas bancarias. Te dejamos un artículo en el que se plantean algunas consideraciones en caso de que te encuentres en esta situación.
