Twitter password bugTwitter se destapó ayer, en pleno World Password Day, con un tweet, un mensaje de correo electrónico y una entrada en el blog corporativo de su CTO, Parag Agrawal, para recomendar a sus 330 millones de usuarios que cambiasen la contraseña que utilizan en el servicio, contraseña que, además, preferentemente, deberían abstenerse de utilizar en ningún otro sitio. La razón es un bug – un error de programación bastante impresentable, todo hay que decirlo – que, en el proceso de gestión de las contraseñas de los usuarios, que debe llevarse a cabo en todo momento con ellas completamente cifradas y no deberían poder ser vistas por nadie en la compañía, generaba inadvertidamente un listado con una copia de las contraseñas sin cifrar de cada usuario en un fichero de texto plano.

Según la compañía, nada indica que ese fichero haya podido ser accedido o copiado por nadie, pero dado que su mera existencia supone una violación flagrante de las prácticas de seguridad y podrían hipotéticamente haber sido vistas por alguien, la recomendación es cambiar la contraseña afectada y no utilizarla en ningún otro sitio.

Los comentarios al error de Twitter permiten hacerse una idea del desastroso estado de la seguridad para la mayoría de los usuarios: lo primero que hay que explicar, por supuesto, es la práctica habitual de la industria, sin entrar ya en el tan manido tema de cómo debería ser una contraseña segura porque, en realidad, hoy en día, la única contraseña segura es la que no sabes ni has sabido nunca ni tú mismo. En efecto, una contraseña de un usuario en un servicio determinado no debe ser vista nunca por absolutamente nadie en la compañía que proporciona ese servicio. Funciones de hashing como la utilizada en Twitter, bcrypt, se utilizan precisamente para que esto sea así en todo momento: un fichero con nombres de usuario y sus contraseñas en texto legible no debería existir nunca ni estar al alcance de absolutamente nadie en ningún momento.

Pero más allá de esta precaución, que ni el que opera el servicio tenga acceso a tu contraseña, deberías, en realidad, ir un paso más allá. Deberías olvidar todas tus contraseñas. Jamás hagas caso de consejos ignorantes e irresponsables como el que dio Nutella que afirman que deberías utilizar como contraseña “una palabra que ya esté en tu corazón”. No, en absoluto: lo que debes hacer es precisamente lo contrario, utilizar una palabra que no sea tal, que no sea memorizable ni por un espía especialmente entrenado para ello, que no exista, y que no conozcas. Olvídate de todo lo que sabías sobre supuestos protocolos de creación de contraseñas, y cámbialas todas, una por una, por las que te proponga un buen gestor de contraseñas. Yo sigo utilizando LastPass con un muy razonable nivel de satisfacción, pero hay otros, como 1PasswordNoMorePass y otros, y su uso no puede ser más sencillo. Hace falta algo de disciplina, por supuesto, pero tiene todo el sentido del mundo: a mí no me podrían sacar una contraseña ni torturándome con cigarrillos encendidos… sencillamente, porque ni las sé, ni las quiero saber. Todas mis contraseñas son secuencias ininteligibles de muchos caracteres que mezclan letras en mayúsculas y minúsculas, números y signos, y que no podría ni en el mejor de mis sueños aspirar a memorizar. Y no solo porque no sea seguro hacerlo, sino porque, además, tengo muchas cosas mejores en las que emplear mi memoria. Sí, LastPass ha sido hackeado en varias ocasiones porque, lógicamente, es un gran objetivo para cualquiera que quiera presumir de haber hackeado algo, pero no pasa nada: quien accede a un sistema así se lleva supuestamente un listado de contraseñas de todos tus sitios… pero, como debe ser, están perfectamente cifradas, de manera que, cuando ocurre, no tienes ni que cambiarlas. Y todavía si hubiese algún problema, tiene 2FA, autenticación mediante doble factor, algo que también deberías estar utilizando en aquellos servicios que sean verdaderamente importantes. 

El caso de la última alarma de Twitter tienes que verlo tan solo como un amable recordatorio de lo que tendrías que estar haciendo y posiblemente no hagas en términos de seguridad con tus contraseñas. No es paranoia: es pura y simplemente sentido común.  Si eres aún de los que sigue utilizando esas contraseñas mnemotécnicas, esas reglas peregrinas de sustitución o esas palabras “que están en tu corazón”… vete pensando en dejar de hacerlo, porque eres una receta para el desastre. Si en tu compañía tienes usuarios así, haz algo al respecto, porque pasa exactamente lo mismo: son una potencial fuente de problemas de seguridad que pueden llegar a salirte bastante caros. Ese idiota que pone como contraseña la palabra “contraseña”, “123456” y basuras similares, o que la apunta en un post-it en la pantalla ya no es simplemente un ignorante, es un verdadero peligro para tu negocio. Con esas prácticas, ya no se trata de si vas a tener algún problema, sino de cuándo vas a tenerlo. No sigas utilizando internet como si estuvieras en los ’90, por dios.

 

Signature credit cardLas cuatro compañías más importantes emisoras de tarjetas de crédito en los Estados Unidos, American Express, Discover, Mastercard y Visa, se unen para anunciar que dejarán de solicitar a los establecimientos de su red que recojan la firma de los clientes en el momento de la transacción. Un gesto, el de firmar, cada vez menos utilizado y con un valor prácticamente nulo como elemento de seguridad: las posibilidades de un empleado de una tienda de comprobar la integridad o veracidad de una firma con unas mínimas garantías han sido siempre mínimas, y abundan los ejemplos de personas que firman con cualquier tipo de garabato o incluso con dibujos absurdos, y no tienen ningún problema a la hora de procesar su pago. 

Con el tiempo y la evolución de los medios de pago, la necesidad de la firma se ha visto eclipsada por el uso de elementos algo más seguros, como el número de identificación personal o la inclusión de elementos de biometría, como la huella dactilar o la cara en el caso de pagos mediante smartphone. El uso de un elemento como un bolígrafo con el que se estampa un garabato sobre un papel es cada vez más anacrónico, y empieza a no ser utilizado ni siquiera en el momento de la firma de un contrato para, por ejemplo, abrir una cuenta bancaria, sustituido por otros elementos como un selfie o la captura con la cámara de un documento de identificación.

Junto con la firma, otro elemento de seguridad cada vez más claramente destinado a la extinción es el uso de la contraseña: el uso cada vez más extendido de gestores de contraseñas lleva a que los usuarios comiencen a abandonar malas prácticas como el utilizar contraseñas fáciles de recordar o la misma contraseña para todo, escogiendo en su lugar contraseñas imposibles y aleatorias que no conocen, pero que son recuperadas en el momento de acceder a cada servicio por servicios como LastPass1PasswordNoMorePass o similares. Pero más allá de mejorar los sistemas basados en el uso de una contraseña, estos también están siendo cada vez más sustituidos por elementos biométricos tomados en el momento en que son requeridos de cualquiera de los dispositivos que un usuario maneja. Por la mañana, me levanto, me pongo el smartwatch, y este se desbloquea sin necesidad de introducir su contraseña de acceso cuando tomo el smartphone y lo desbloqueo apuntando a mi cara. Cuando abro mi ordenador portátil, ocurre lo mismo: en una curiosa secuencia, se desbloquea mediante la presencia de mi smartwatch en mi muñeca y desbloqueado, aunque mantengo la posibilidad de desbloquearlo igualmente mediante mi huella dactilar en su sensor o mediante una contraseña, que obviamente he dejado de utilizar salvo cuando lo reinicio o para algunas escasas operaciones que aún la requieren. Cuando desde el ordenador compartido de alguna clase hago login en muchas de mis cuentas, ese login únicamente se completa cuando lo confirmo en alguno de los dispositivos que llevo conmigo, proporcionándome un nivel adicional de seguridad basada en factores múltiples. Pronto, un nuevo estándar de seguridad propuesto por W3C, WebAuthn y aceptado ya por Google, Microsoft y Mozilla, se encargará de coordinar las formas en las que las personas acceden a servicios en la web y se incorporará a prácticamente todos los navegadores significativos.

No más firmas, relegadas ya al más trasnochado de los absurdos, y a la espera de ser también pronto desacralizadas por servicios aún tan necesarios en la sociedad como los notarios, las firmas de contratos y actas, o por procesos tan habituales y absurdamente redundantes como el de hacer checkin en un hotel. Asimismo, no más contraseñas, convertidas en incómodas pruebas de memoria o en cada vez más momentos de inseguridad, incomodidad y de uso habitual del botón “olvidé mi contraseña”. Elementos de seguridad que hasta hace pocos años eran exclusivos de sistemas de elevada sofisticación, convertidos en habituales gracias a la incorporación de cada vez más elementos de sensorización y captura de huella dactilar o de otros parámetros biométricos en dispositivos cada vez más ubicuos. Si aún tienes que firmar con frecuencia o que introducir contraseñas de manera habitual, o si esos elementos están aún integrados en los procesos de negocio de tu compañía, plantéate que es posible que debas repensar esos procesos para darle un impulso a tus prácticas de seguridad.

 

IMAGE: Orson - 123RF

Mi columna en El Español de esta semana se titula “Usuario y contraseña“, y habla de la muy necesaria evolución de los sistemas de seguridad basados en usuario y contraseña, un método que ya ha demostrado claramente carecer de escalabilidad y ser una fuente de problemas de todo tipo.

La enésima noticia de publicación de un descomunal listado de nombres de usuario y contraseñas obtenidos a partir de una intrusión en un servicio nos genera, como es lógico, la misma sensación de déjà vu y de hartazgo que nos generan todas las demás: lo normal es que el usuario, como mucho, cambie la contraseña del servicio afectado, o simplemente haga caso omiso si no se lo piden específicamente.

En este caso ha sido Dropbox, un servicio utilizado por muchísimos usuarios – he visto incluso usuarios que no recuerdan serlo, porque venía pre-configurado para su activación con su smartphone para almacenar fotografías. La compañía sufrió una intrusión en el año 2012 que logró hacerse con cuatro ficheros de unos 5GB que contenían información detallada de 68,680,741 cuentas. Aunque unos 32 millones de ellas estaban cifradas con métodos aún considerados fuertes, el resto lo estaban con SHA-1, un algoritmo considerado antiguo y vulnerable. Y aunque Dropbox ha avisado a los usuarios comprometidos y les ha forzado a cambiar sus contraseñas, es muy posible que esos pares de usuario y contraseña sean utilizados en otros servicios, y que los posibles delincuentes en busca de una oportunidad puedan encontrarlos.

Ante una noticia de este tipo, lo primero que debe hacerse es acudir a un servicio del tipo Have I been pwned? y comprobar si estamos afectados. El servicio te informa si esa dirección de correo electrónico está en alguna de las bases de datos publicadas – considerando que robos como el de MySpace, LinkedIn, Adobe o Badoo afectaron a varios centenares de miles de cuentas, lo raro es casi no aparecer – y, si efectivamente es así, tratar de hacer memoria de en qué páginas hemos utilizado ese correo como login y si hemos repetido la contraseña interceptada, además, lógicamente, de no volverla a utilizar.

El problema viene de la misma esencia del sistema: plantear que nuestras contraseñas deban tener requisitos como ser complejas para evitar un ataque de diccionario, que las sustituciones habituales (un 4 por una A, un cero por una O, un 3 por una E, etc. no sirven porque ya están contempladas), que deben contener caracteres especiales, tener una longitud mínima determinada, y poco menos que ser imposibles de recordar es algo que, claramente, no funciona. La memoria de los usuarios es incapaz de recordar contraseñas así, y además, supuestamente, una para cada servicio, en un entorno en el que fácilmente podemos estar utilizando decenas de ellos. Una cosa es que utilizar password, 1234 o qwerty sea de débiles mentales, que lo es, y otra muy distinta plantear requisitos que resultan prácticamente imposibles. Entrar en algunos servicios termina por convertirse en un procedimiento tan farragoso e incómodo, que termina por darnos pereza. A partir de un punto determinado, el problema deja de estar en los usuarios y pasa a estar en otro sitio.

La seguridad basada en usuario y contraseña tiene que ser replanteada, y además, lo antes posible. El incremento en la sofisticación de las herramientas utilizadas en los ataques hace que no hacer nada ya no sea una opción. Optar por un gestor de contraseñas es una opción que no deja de tener su peligro – ¿quien asegura que el propio gestor de contraseñas no acabe teniendo una vulnerabilidad? – pero, decididamente, es un peligro muy inferior al que tenemos si no lo utilizamos. Sistemas con autenticación en dos pasos, en combinación con el lector de huella del smartphone o similares pueden plantearse para algunos servicios, pero difícilmente para todos. Y simplemente encomendarse a la suerte, santiguarse o apuntar mil contraseñas en un papelito ya no son una opción seria. Esto es cada vez más insostenible. Algo tiene que cambiar.