(Opinión publicada en noviembre de 2013)
¿Sabes si utilizas alguna de las contraseñas más inseguras que existen actualmente?
Aunque parezca majadero decirlo, la seguridad de la información comienza y termina en el usuario, ese verdadero “pendrive con piernas” que, sin cultura de seguridad, puede ser una gran amenaza para sus organizaciones.
En mi experiencia asesorando empresas en temas de seguridad de la información, lamentablemente, he podido ver que lo anterior no siempre deja de ser un tópico más que una convicción a la hora de abordar controles de seguridad.
En más de una oportunidad he conocido personas que inicialmente reducen el tema sólo a decisiones sobre qué hardware y software de seguridad informática utilizar, pero que olvidan formalizar decisiones a través de normativa interna y de preparar adecuadamente a su personal.
Así, las inversiones en seguridad, por cuantiosas que hayan sido, se ponen en riesgo frente a malas prácticas de los usuarios, muchas de ellas derivadas de la ignorancia, más que de la mala fe.
Una de ellas, quizás las más burda, se observa en la despreocupación por administrar contraseñas seguras en los sistemas.
Por supuesto, reconozco que constantemente se nos piden passwords para todo y que recordarlas es todo un lío, tanto como para invalidarlas escribiéndolas en papeles pegados cerca de los equipos, a vista de todo el mundo, o como para no cambiarlas periódicamente.
Pero hay que hacerlo.
Las contraseñas más inseguras según Adobe
Sólo como un dato ilustrativo, un estudio de la empresa Adobe concluyó que cada vez que algún hacker realiza una filtración masiva de passwords, se advierten errores no sólo informáticos, sino especialmente humanos. Por ejemplo, hace un tiempo Adobe sufrió un ataque que afectó al menos a 38 millones de usuarios, producto del robo de información de 150 millones de cuentas. Si bien muchas de ellas estaban abandonadas, en desuso o duplicadas, la lección que me interesa ilustrar es la nula consciencia en la construcción de contraseñas. De todas esas cuentas se advirtió que la password más utilizada era “123456”. Sí, para no creerlo –a menos que también usen esa contraseña-, ya que casi 2 millones de usuarios la utilizan. El resto de contraseñas inseguras y habituales que menciona esta empresa es: “123456789”, “password”, “adobe123”, “12345678”, “qwerty”, “1234567”, “111111”, “photoshop”, “123123”, “1234567890”, “000000”, “abc123”, “1234”, “adobe1”, “macromedia”, “azerty”, “iloveyou”, “aaaaaa”, “654321”. Si a esto sumamos la utilización de nombres de familiares, apodos, fechas de nacimiento o direcciones, la inseguridad de las contraseñas es evidente. En el caso mencionado Adobe cerró todas estas cuentas, aunque afirmó que las volverá a habilitar una vez que los usuarios cambien su password. A mi juicio una medida necesaria para resguardo de las propias personas que se despreocupan de cuidar su información.
Recomendaciones de Google para construir contraseñas seguras
Existen muchas recomendaciones para construir una contraseña más confiable y poder administrarla mitigando riesgos de que caigan en manos de terceros. Google, por ejemplo, plantea: 1. Tener una contraseña distinta para cada cuenta online importante del usuario. Es evidente que si se utiliza la misma password en todo, basta que sea vulnerada en un sitio para que se mal utilice en el resto de mis cuentas. 2. Cambiar la contraseña periódicamente. Con ello se disminuye la posibilidad de terminar en un listado de contraseñas robadas. 3. Construir contraseñas extensas y difíciles de adivinar. Eso sí, como también hay que recordarlas, una sugerencias es pensar en una frase que otras personas no conozcan y utilizarlo para generarla, con letras, números y símbolos. Por ejemplo, si la frase es “Me gustaría poder contestar todos los correos que recibo de forma rápida y concisa”, la contraseña podría utilizar las primeras letras de cada palabra, más algún número y símbolo, quedando así: “Mgpct_2lcqrdfr&c”. Es verdad que no siempre depende de uno mismo evitar estos errores, porque me he topado con varios sitios que dificultan la creación de contraseñas seguras, sea porque no permiten símbolos, porque la extensión de la clave debe ser breve o porque solo admiten números (como los 4 números de un cajero automático). Sin embargo, cuando sea posible crear contraseñas seguras, hay que hacerlo. Si nos preocupamos de no dejar las llaves puestas en el auto o en la puerta de la casa, por temor a sufrir algún robo, ¿por qué dejar expuesta la información frente a cualquiera, gracias a contraseñas mal construidas?