miércoles, 18 de junio de 2014

PESE A SU VULNERABILIDAD, LAS CONTRASEÑAS SIGUEN SIENDO NUESTRA PRINCIPAL DEFENSA EN LÍNEA

Por Danny Yadron y Katherine Rosman
Wall Street Journal

Foto: Fernando Corbató MIT Museum


Fernando Corbató no tenía la intención de crear caos cuando ayudó a crear la primera contraseña de computadora en el Instituto de Tecnología de Massachusetts (MIT) a principios de la década de 1960.

"Se ha convertido en una especie de pesadilla", indica el investigador jubilado de 87 años. "No creo nadie pueda recordar todas las contraseñas".

Las contraseñas son una pesadilla para los usuarios de computadoras y smartphones, y una amenaza de seguridad para las empresas. Recientemente, eBay Inc. instó a sus 145 millones de usuarios a cambiar sus contraseñas debido a una filtración de datos. Pero si el pasado sirve de guía, pocos le hacen caso a la advertencia.

El mes pasado, algunos expertos calificaron una falla en la criptografía de Internet conocida como Heartbleed como uno de los peores agujeros descubiertos en las defensas de la web en la historia. Esta grieta podría haber expuesto miles de millones de contraseñas a hackers; sin embargo, sólo 39% de los usuarios adultos de Internet encuestados por el Centro de Investigación Pew cancelaron sus cuentas o cambiaron sus contraseñas después del incidente de Heartbleed.

"Las contraseñas son horribles y deben ser liquidadas", expresa Jeremy Grant, director de la Estrategia Nacional para Identidades Confiables en el Ciberespacio, una fuerza especial creada por el presidente estadounidense Barack Obama en 2011 para fortalecer la seguridad en línea.

A pesar de todas sus fallas, las contraseñas son tan comunes y económicas, y están tan arraigadas en la estructura de los sitios web y los hábitos de las personas que los esfuerzos para suplantarlas apenas han avanzado.

"Es el único elemento de tecnología de hace 50 años que seguimos usando", apunta Bret McDowell, un alto asesor de seguridad de Internet en la división de PayPal de eBay.

Algunas personas esperan eliminar las contraseñas con el uso de lectores de huellas digitales, escáneres de iris y llaves de USB. Pero una serie de decepciones ha causado escepticismo entre ejecutivos, científicos, ingenieros y funcionarios públicos. McDowell y sus contrapartes en Bank of America Corp., Google Inc. y otras empresas están trabajando en un proyecto para remplazar las contraseñas llamado Fido Alliance.

Recientemente presentó una versión inicial de estándares que podrían utilizarse en otras formas de identificación en línea. PayPal lo está usando, y Google se ha sentido satisfecho con una prueba interna, dicen representantes de la compañía.

El iPhone más nuevo de Apple Inc. tiene una función para desbloquear la pantalla con las huellas digitales, pero algunos usuarios se han percatado que intentar colocar el dedo gordo en concordancia perfecta es tan fácil como teclear una contraseña.

Nadie sabe cuántas contraseñas existen, en parte debido a que proliferan tan rápido que es imposible llevar la cuenta. El creciente uso de los smartphones, las tabletas y otros dispositivos móviles han empeorado el volumen. Los sitios web de redes sociales y de comercio electrónico a menudo requieren que los usuarios accedan mediante una cuenta para luego poder ofrecer contenido y publicidad personalizados.

"Se puede comparar los nombres de bebés más populares de cada año con las listas de contraseñas", dijo Morgan Slain, presidente ejecutivo de SplashData Inc., una compañía de manejo de contraseñas que publica una lista anual de "los peores passwords". El ranking está basado en las contraseñas más comunes encontradas en los archivos con contraseñas robadas que se publicaron online el año previo. Lo peor de lo peor varía muy poco de año a año, incluyendo "123456", "password" y "qwerty".

A pesar de las filtraciones y las advertencias, la gente se aferra a contraseñas que son fáciles de recordar y a menudo usan las mismas para muchas cuentas.

Google y Twitter Inc. se encuentran entre las empresas que ahora ofrecen un proceso de autenticación de dos pasos para frustrar a los hackers. Una vez que los usuarios ingresan su contraseña, se les envía un mensaje de texto con un código que puede ser usado una sola vez. El código se debe ingresar en un tercer casillero después del nombre de usuario y de la contraseña habitual.

El proceso es más seguro que requerir solo la contraseña pero se puede complicar si se pierde el teléfono. Además demora a los usuarios.

"Todo esto crea fricción adicional", anota Uri Rivner, ex ejecutivo de RSA, una división de seguridad de datos de EMC Corp. Rivner ayudó recientemente a lanzar BioCatch Inc., en Boston, que permite a los sitios web verificar la identidad midiendo la forma en la que un usuario sostiene un smartphone o mueve el cursor por una pantalla. Bancos importantes de Estados Unidos están usando la tecnología, añadió sin identificarlos.

Incluso las contraseñas más ingeniosas dependen de la seguridad de las empresas que las almacenan. Heartbleed permitió a hackers conseguir datos protegidos de servidores corporativos.

En Target Corp., la empresa dijo que los hackers utilizaron una contraseña robada de un contratista de refrigeración el año pasado para invadir un sistema de tarjetas de crédito y débito, de donde se robaron 40 millones de números de tarjetas.

Stuart Geiger, un estudiante de doctorado que analiza cómo la gente interactúa con la tecnología en la Escuela de Información de Berkeley de la Universidad de California, dice que sacar a la contraseña de la miseria requeriría colaboración de un grupo de empresas de Silicon Valley que compiten entre sí en todo desde compras en línea hasta chats y televisión.

Incluso si esto ocurre, ¿estarían dispuestos cientos de millones de usuarios de Internet en EE.UU. que están acostumbrados a depender de contraseñas a cambiar sus hábitos o a adoptar aparatos que tienen sistemas de seguridad más sofisticados? "Un gran factor es la inercia", apunta Geiger.

El enredo es mayor a lo que Corbató, profesor emérito en MIT, imaginó cuando él y sus colegas desarrollaron la contraseña para controlar el acceso a documentos en una enorme computadora compartida.

"Tampoco anticipamos la web", dice. Corbató preserva sus contraseñas tecleándolas en una hoja. Ahora las trasladará a un documento en línea.