IMAGE: PDPics - PixabayEl último robo de información anunciado por Facebook el pasado día 29, que afecta potencialmente a más de cincuenta millones de usuarios, es un aviso más – el enésimo – para que los usuarios establezcan buenas prácticas de seguridad. Sí, hablamos de Facebook, una red que muchos usuarios podrían estar tentados a considerar no especialmente crítica o importante, pero no es así. Incluso si no utilizas Facebook habitualmente, es posible que utilices sus credenciales de acceso como login en otras redes, o que, a partir de la información acumulada en tu cuenta de Facebook, incluso aunque puedas llevar tiempo sin usarla, se pueda planear un posible robo de identidad.

En la práctica, que la seguridad de Facebook haya sido vulnerada y que exista la posibilidad de que alguien pueda hacer login en tu cuenta sin tu consentimiento, aunque no tenga tu contraseña, debería servir como un recordatorio más de que pongas al día, si no lo has hecho ya, tus prácticas de seguridad. El problema de Facebook no ha hecho que los delincuentes hayan tenido acceso a tu contraseña, sino a los access token, los pequeños archivos que nuestros navegadores utilizan para mantenerlos logados en el sitio. Si desde el viernes 28 de septiembre pasado has recibido un aviso inusual de Facebook pidiéndote que te logues con tu usuario y contraseña, es posible que estés afectado.

¿Cómo deberíamos plantearnos la seguridad ya no en Facebook, sino en general, hoy en día? De entrada, no utilizando contraseñas como se han utilizado habitualmente. Olvida tus contraseñas, no te inventes ninguna más – ni mucho menos reutilices una en muchos sitios – y utiliza en su lugar un gestor de contraseñas como  LastPass o 1Password, que asigna una contraseña imposible de recordar a cada servicio, y la cambia por otra igualmente imposible de recordar si tienes cualquier problema de seguridad o sospecha de que podrías tenerlo. Tanto si eres responsable de tu propia seguridad como si lo eres de una compañía, deberías plantearte que las prácticas tradicionales de seguridad, por mucho que incluyan cambios periódicos de contraseña, están desactualizadas y son peligrosas, y que lo adecuado es sustituirlas por gestores de contraseñas. 

¿Qué hacer, por tanto, aprovechando el problema de Facebook? De entrada, si no lo tenías, decídete a utilizar un gestor de contraseñas, y cambia la contraseña que tenías en la red social y, si las tenías como login independiente, también las de servicios como Instagram o WhatsApp. Una vez que hayas cambiado esas tres, hazte una ronda por todos los sitios que utilizas habitualmente, y sustituye todas las contraseñas de tipo mnemotécnico por las que tu gestor de contraseñas te indique, y hazlo de manera ordenada, organizada, sitio por sitio, proporcionando al gestor no solo el nombre del servicio, sino también la página de login, para que te resulte fácil cambiar esas contraseñas por otras posteriormente. Además, activa la seguridad de doble factor: el engorro es relativamente pequeño, no va más allá de recibir un SMS en tu smartphone cada vez que haces login en un dispositivo no habitual, pero te proporcionará una buena dosis de tranquilidad mental. Si quieres un nivel de seguridad aún mayor, puedes optar por un dispositivo físico, como los que utilizan los empleados de Google – ahora disponibles para todo el mundo – o las populares YubiKey de Yubico.

Nuestras posesiones digitales, sean del tipo que sean, precisan de cerraduras y sistemas de seguridad acordes a los tiempos en que vivimos. Afortunadamente, además, la seguridad está haciéndose cada día más cómoda, más conveniente y menos propia de expertos: utilizar un gestor de contraseñas o una llave de hardware está absolutamente al alcance de cualquiera, y no debe ser visto como algo que nos complique la vida, sino como un procedimiento cada vez más sencillo que sirve, eso sí, para dificultar u obstaculizar intentos de vulnerar nuestra seguridad. Si no lo has hecho ya, deja que las alertas periódicas de seguridad de los servicios web que utilizas se conviertan en recordatorios de que debes hacerlo lo antes posible.

 

Apple - 1PasswordEl pasado 10 de julio, BGR adelantó un interesante acuerdo entre Apple y AgileBits, los desarrolladores del popular gestor de contraseñas 1Password, en virtud del cual, la compañía tomaba la decisión de adoptar el uso del producto para la totalidad de sus más de 123,000 empleados en todo el mundo, incluyendo además a los empleados de sus tiendas y, de manera obviamente voluntaria, a hasta cinco familiares de cada empleado. El acuerdo lleva a la compañía a una dimensión sin precedentes, y de hecho, incluye provisiones de acuerdo de servicio para asegurar un tiempo de respuesta de menos de cuatro horas a los empleados de la compañía, la traducción de las páginas de soporte a los principales idiomas, y el respaldo de las contraseñas en la nube de iCloud en lugar de en otros proveedores.

Se calcula que el acuerdo podría suponer en torno a los 2.5 millones de dólares anuales, y de hecho, la compañía ha anunciado un generoso programa de bonus para todos sus empleados vinculado a su firma. Además, el artículo planteaba que el interés de la compañía de la manzana podría hipotéticamente llegar hasta el punto de plantearse adquirir la compañía, algo que AgileBits desmintió categóricamente por la vía rápida a través de su cuenta de Twitter, aunque BGR mantiene que en función de la información que manejan, esa adquisición podría llegar a producirse.

¿Quién es 1Password? Se trata de uno de los cuatro grandes en este entorno, junto con LastPass, Dashlane y KeePass. No hay cifras sobre sus cuotas de mercado, pero todos ellos afirman tener entre uno y cinco millones de usuarios, y todos ellos han hecho incursiones en el mercado corporativo. Las preferencias entre ellos son fundamentalmente una cuestión de gustos y costumbres, las comparativas de funciones son bastante similares, y en general, la madurez del mercado se estima aún muy escasa con respecto a su potencial: la mayoría de los usuarios, desgraciadamente, están aún en la fase de escoger contraseñas que pueden memorizar, de reutilizar la misma contraseña en múltiples servicios, o incluso de poner contraseñas absurdamente comunes que no resistirían ni el primer ataque de diccionario. Los gestores de contraseñas son, sin ningún género de dudas, la mejor manera de afrontar el reto de la seguridad en la red, suplementada en algunas ocasiones con métodos adicionales como la autenticación de doble factor o el uso de llaves físicas: yo llevo bastantes años utilizando LastPass, no me sé ninguna de mis contraseñas más que la maestra del servicio, y si la seguridad de algún servicio en el que tengo cuenta resulta comprometido, el cambio de contraseña se hace de manera sencillísima, por otra contraseña que tampoco tengo el menor interés en memorizar. Incluso en el caso de que el propio servicio de LastPass fuese hackeado, como de hecho lo ha sido en varias ocasiones dado el reto que supone, no genera ningún problema, porque todas las contraseñas que almacena están completamente cifradas.

Que una de las compañías punteras en el mundo de la tecnología como Apple decida firmar un acuerdo con un gestor de contraseñas como 1Password para todos sus empleados y su entorno es, sin duda, una prueba de la creciente madurez de este tipo de herramientas. ¿Por qué 1Password y no otra? Posiblemente por cuestiones relacionadas con su interfaz, seguramente la más trabajada y sencilla frente a otros ejemplos como el de LastPass, indudablemente más “crudo” y espartano o el de KeePass, que muchos consideran más apto para usuarios con un cierto nivel de conocimiento tecnológico, y por el nivel de integración que 1Password ofrece con el llavero que Apple y con la nueva API de iOS 12.

Si no utilizas aún un gestor de contraseñas, vete pensando en planteártelo. Pero más allá del uso individual, resulta interesante pensar en el uso corporativo: por razones difíciles de explicar, no son pocas las personas que consideran la seguridad corporativa una cuestión que supuestamente recae de manera exclusiva en los profesionales del área de tecnología y que escapa de su responsabilidad directa, y prestan al tema una atención muy inferior a la que sería deseable. Contraseñas escogidas con criterios absurdos, sencillas de descubrir, que se apuntan en post-its, se teclean sin ningún cuidado, se dicen a gritos en oficinas abiertas o se envían por canales no cifrados como si ello no supusiese un riesgo. Malas prácticas que no siempre vienen de los empleados, que en ocasiones dependen de visiones anticuadas de la propia compañía: si tu empresa te pide que cambies tu contraseña cada poco tiempo y que escojas una con unos requerimientos absurdos, terminarás, lógicamente, apuntándola en algún sitio o escogiendo algo de lo que te resulte fácil acordarte, lo que termina redundando en una seguridad mucho más débil. En lugar de eso, lo razonable, como Apple acaba de demostrar, es ofrecer a todos los usuarios un sistema que les permita gestionar sus contraseñas con un método seguro y en las condiciones adecuadas, e incluso plantearse extenderlo a su entorno familiar. Invertir en niveles razonables de seguridad no es intentar convertir tu compañía en una especie de sucursal de Fort Knox y hacer de paso la vida imposible a todo el mundo que trabaja en ella, sino adoptar métodos sencillos como los gestores de contraseñas que ofrecen garantías adecuadas a cambio de una filosofía de uso sencilla y fácil de entender.

 

Twitter password bugTwitter se destapó ayer, en pleno World Password Day, con un tweet, un mensaje de correo electrónico y una entrada en el blog corporativo de su CTO, Parag Agrawal, para recomendar a sus 330 millones de usuarios que cambiasen la contraseña que utilizan en el servicio, contraseña que, además, preferentemente, deberían abstenerse de utilizar en ningún otro sitio. La razón es un bug – un error de programación bastante impresentable, todo hay que decirlo – que, en el proceso de gestión de las contraseñas de los usuarios, que debe llevarse a cabo en todo momento con ellas completamente cifradas y no deberían poder ser vistas por nadie en la compañía, generaba inadvertidamente un listado con una copia de las contraseñas sin cifrar de cada usuario en un fichero de texto plano.

Según la compañía, nada indica que ese fichero haya podido ser accedido o copiado por nadie, pero dado que su mera existencia supone una violación flagrante de las prácticas de seguridad y podrían hipotéticamente haber sido vistas por alguien, la recomendación es cambiar la contraseña afectada y no utilizarla en ningún otro sitio.

Los comentarios al error de Twitter permiten hacerse una idea del desastroso estado de la seguridad para la mayoría de los usuarios: lo primero que hay que explicar, por supuesto, es la práctica habitual de la industria, sin entrar ya en el tan manido tema de cómo debería ser una contraseña segura porque, en realidad, hoy en día, la única contraseña segura es la que no sabes ni has sabido nunca ni tú mismo. En efecto, una contraseña de un usuario en un servicio determinado no debe ser vista nunca por absolutamente nadie en la compañía que proporciona ese servicio. Funciones de hashing como la utilizada en Twitter, bcrypt, se utilizan precisamente para que esto sea así en todo momento: un fichero con nombres de usuario y sus contraseñas en texto legible no debería existir nunca ni estar al alcance de absolutamente nadie en ningún momento.

Pero más allá de esta precaución, que ni el que opera el servicio tenga acceso a tu contraseña, deberías, en realidad, ir un paso más allá. Deberías olvidar todas tus contraseñas. Jamás hagas caso de consejos ignorantes e irresponsables como el que dio Nutella que afirman que deberías utilizar como contraseña “una palabra que ya esté en tu corazón”. No, en absoluto: lo que debes hacer es precisamente lo contrario, utilizar una palabra que no sea tal, que no sea memorizable ni por un espía especialmente entrenado para ello, que no exista, y que no conozcas. Olvídate de todo lo que sabías sobre supuestos protocolos de creación de contraseñas, y cámbialas todas, una por una, por las que te proponga un buen gestor de contraseñas. Yo sigo utilizando LastPass con un muy razonable nivel de satisfacción, pero hay otros, como 1PasswordNoMorePass y otros, y su uso no puede ser más sencillo. Hace falta algo de disciplina, por supuesto, pero tiene todo el sentido del mundo: a mí no me podrían sacar una contraseña ni torturándome con cigarrillos encendidos… sencillamente, porque ni las sé, ni las quiero saber. Todas mis contraseñas son secuencias ininteligibles de muchos caracteres que mezclan letras en mayúsculas y minúsculas, números y signos, y que no podría ni en el mejor de mis sueños aspirar a memorizar. Y no solo porque no sea seguro hacerlo, sino porque, además, tengo muchas cosas mejores en las que emplear mi memoria. Sí, LastPass ha sido hackeado en varias ocasiones porque, lógicamente, es un gran objetivo para cualquiera que quiera presumir de haber hackeado algo, pero no pasa nada: quien accede a un sistema así se lleva supuestamente un listado de contraseñas de todos tus sitios… pero, como debe ser, están perfectamente cifradas, de manera que, cuando ocurre, no tienes ni que cambiarlas. Y todavía si hubiese algún problema, tiene 2FA, autenticación mediante doble factor, algo que también deberías estar utilizando en aquellos servicios que sean verdaderamente importantes. 

El caso de la última alarma de Twitter tienes que verlo tan solo como un amable recordatorio de lo que tendrías que estar haciendo y posiblemente no hagas en términos de seguridad con tus contraseñas. No es paranoia: es pura y simplemente sentido común.  Si eres aún de los que sigue utilizando esas contraseñas mnemotécnicas, esas reglas peregrinas de sustitución o esas palabras “que están en tu corazón”… vete pensando en dejar de hacerlo, porque eres una receta para el desastre. Si en tu compañía tienes usuarios así, haz algo al respecto, porque pasa exactamente lo mismo: son una potencial fuente de problemas de seguridad que pueden llegar a salirte bastante caros. Ese idiota que pone como contraseña la palabra “contraseña”, “123456” y basuras similares, o que la apunta en un post-it en la pantalla ya no es simplemente un ignorante, es un verdadero peligro para tu negocio. Con esas prácticas, ya no se trata de si vas a tener algún problema, sino de cuándo vas a tenerlo. No sigas utilizando internet como si estuvieras en los ’90, por dios.

 

Signature credit cardLas cuatro compañías más importantes emisoras de tarjetas de crédito en los Estados Unidos, American Express, Discover, Mastercard y Visa, se unen para anunciar que dejarán de solicitar a los establecimientos de su red que recojan la firma de los clientes en el momento de la transacción. Un gesto, el de firmar, cada vez menos utilizado y con un valor prácticamente nulo como elemento de seguridad: las posibilidades de un empleado de una tienda de comprobar la integridad o veracidad de una firma con unas mínimas garantías han sido siempre mínimas, y abundan los ejemplos de personas que firman con cualquier tipo de garabato o incluso con dibujos absurdos, y no tienen ningún problema a la hora de procesar su pago. 

Con el tiempo y la evolución de los medios de pago, la necesidad de la firma se ha visto eclipsada por el uso de elementos algo más seguros, como el número de identificación personal o la inclusión de elementos de biometría, como la huella dactilar o la cara en el caso de pagos mediante smartphone. El uso de un elemento como un bolígrafo con el que se estampa un garabato sobre un papel es cada vez más anacrónico, y empieza a no ser utilizado ni siquiera en el momento de la firma de un contrato para, por ejemplo, abrir una cuenta bancaria, sustituido por otros elementos como un selfie o la captura con la cámara de un documento de identificación.

Junto con la firma, otro elemento de seguridad cada vez más claramente destinado a la extinción es el uso de la contraseña: el uso cada vez más extendido de gestores de contraseñas lleva a que los usuarios comiencen a abandonar malas prácticas como el utilizar contraseñas fáciles de recordar o la misma contraseña para todo, escogiendo en su lugar contraseñas imposibles y aleatorias que no conocen, pero que son recuperadas en el momento de acceder a cada servicio por servicios como LastPass1PasswordNoMorePass o similares. Pero más allá de mejorar los sistemas basados en el uso de una contraseña, estos también están siendo cada vez más sustituidos por elementos biométricos tomados en el momento en que son requeridos de cualquiera de los dispositivos que un usuario maneja. Por la mañana, me levanto, me pongo el smartwatch, y este se desbloquea sin necesidad de introducir su contraseña de acceso cuando tomo el smartphone y lo desbloqueo apuntando a mi cara. Cuando abro mi ordenador portátil, ocurre lo mismo: en una curiosa secuencia, se desbloquea mediante la presencia de mi smartwatch en mi muñeca y desbloqueado, aunque mantengo la posibilidad de desbloquearlo igualmente mediante mi huella dactilar en su sensor o mediante una contraseña, que obviamente he dejado de utilizar salvo cuando lo reinicio o para algunas escasas operaciones que aún la requieren. Cuando desde el ordenador compartido de alguna clase hago login en muchas de mis cuentas, ese login únicamente se completa cuando lo confirmo en alguno de los dispositivos que llevo conmigo, proporcionándome un nivel adicional de seguridad basada en factores múltiples. Pronto, un nuevo estándar de seguridad propuesto por W3C, WebAuthn y aceptado ya por Google, Microsoft y Mozilla, se encargará de coordinar las formas en las que las personas acceden a servicios en la web y se incorporará a prácticamente todos los navegadores significativos.

No más firmas, relegadas ya al más trasnochado de los absurdos, y a la espera de ser también pronto desacralizadas por servicios aún tan necesarios en la sociedad como los notarios, las firmas de contratos y actas, o por procesos tan habituales y absurdamente redundantes como el de hacer checkin en un hotel. Asimismo, no más contraseñas, convertidas en incómodas pruebas de memoria o en cada vez más momentos de inseguridad, incomodidad y de uso habitual del botón “olvidé mi contraseña”. Elementos de seguridad que hasta hace pocos años eran exclusivos de sistemas de elevada sofisticación, convertidos en habituales gracias a la incorporación de cada vez más elementos de sensorización y captura de huella dactilar o de otros parámetros biométricos en dispositivos cada vez más ubicuos. Si aún tienes que firmar con frecuencia o que introducir contraseñas de manera habitual, o si esos elementos están aún integrados en los procesos de negocio de tu compañía, plantéate que es posible que debas repensar esos procesos para darle un impulso a tus prácticas de seguridad.