Se
supone que la mayoría de los usuarios escogen sus contraseñas para acceder a las
máquinas y a la red de forma bastante aleatoria, pero estudios recientes
demuestran que en realidad la mayor parte siguen patrones bastante definidos,
que facilitan a hackers e intrusos el introducirse en redes corporativas,
empresariales y académicas.
Para determinar la frecuencia de repetición de las
contraseñas y obtener alguna luz sobre como se escogen por operadores,
ejecutivos, empleados y usuarios en general, la entidad británica Pentasafe
Security Technologies encuestó más de 15 mil personas en 600 organizaciones de
Estados Unidos y Europa, y sus resultados afirman que muchas no toman las
medidas adecuadas para proteger bien las informaciones confidenciales, ya sean
propias o de la empresa.
Según el sondeo anónimo, el 60% de los empleados sabía muy poco sobre las
medidas de seguridad que debía tomar, y el 90% por ciento admitió haber abierto
o ejecutado por lo menos un archivo “peligroso” en computadoras de la compañía.
Asimismo, el 25% eligió como contraseña una palabra tan simple como “Banana”, a
pesar de que un pirata informático apenas tardaría segundos en descifrarla y
entrar en las bases de datos de una empresa.
Por otro lado casi un 50% de los encuestados dijo no haber recibido
entrenamiento sobre las medidas de seguridad mínimas, mientras que un tercio de
las organizaciones no exige a sus trabajadores leer sus políticas de seguridad.
Esto concuerda con los resultados de otra encuesta realizada entre gerentes de
seguridad, en la cual el 66% creen que el nivel de conocimiento promedio de los
empleados sobre la seguridad del sistema es insuficiente, cuando no
peligrosamente insuficiente.
Curiosamente, de los sectores entrevistados, el de las comunicaciones ofreció
los peores resultados, sin embargo, las instituciones financieras, empresas de
salud y organizaciones del sector publico se desempeñaron un poco mejor. Según
expertos, esto se debe a que en las entidades informáticas y de comunicación,
las computadoras e Internet son moneda corriente diaria, y en la confianza
excesiva está el peligro.
Otro problema que producen las contraseñas mal escogidas es la proliferación del
fraude informático, que puede ir desde robar tiempo de conexión en Internet a
usuarios legítimos, hasta el de las compras con tarjeta de crédito, cuentas
bancarias e información confidencial. Todo esto lleva a expertos como David
Blackman, director de comercialización de PentaSafe, a afirmar enfáticamente que
la mayor parte de las compañías están poniendo en peligro sus activos más
valiosos: la información acumulada sobre sus operaciones y experiencia de
trabajo, además de sus finanzas.
La
trivialidad de los “passwords”
Otros estudios demuestran que muchos usuarios casi nunca cambian sus
contraseñas, suelen apegarse a determinados tipos, o simplemente tienen el
hábito de escribirlas en papeles pegados al interior de las gavetas, debajo de
los teclados de las máquinas, y aún en los monitores, para horror de los agentes
de seguridad informática, demostrando una vez más que el mayor riesgo de
seguridad en un sistema son sus propios usuarios.
El
problema es que aún quienes creen ser vigilantes con sus contraseñas, pueden
estar ofreciendo más información sobre ella de la que piensan, pues esas simples
palabras y números están deviniendo en el test de personalidad de la sociedades
conectadas, a medida que millones de usuarios, sin saberlo, están destilando la
esencia de sus personas en unos cuantos teclazos…y como la mayoría de las
personalidades pueden ser predecibles, los hackers tienen en esto una ventaja.
Helen Petrie, profesora de interacción entre personas y computadoras en la
universidad de Londres, afirma que “cuando se intenta pensar en un código de
acceso, muchas veces salen a la luz palabras relacionadas con viejas obsesiones,
hábitos de vida e inclusive, frustraciones, como una nueva versión digital del
viejo test de Rorschach con las famosa manchas de tinta.
Los neurólogos dicen que la mente humana sólo suele almacenar de cinco a diez
bits de información en su memoria a corto plazo, de manera que los usuarios a
menudo escogen contraseñas con un significado personal que puedan asociar a su
memoria a largo plazo (ver recuadro), como recurso mnemotécnico.
En
pruebas realizadas durante auditorías de seguridad informática en el Reino
Unido, se aplicó el tipo de ataque denominado “fuerza bruta”, con programas que
prueban en pocos minutos todas las combinaciones de contraseñas con seis o siete
caracteres, experimentando también con listados de nombres, equipos deportivos,
caracteres de ficción y personalidades de la vida real.
Como ejemplo, podemos citar que en una gran empresa europea, una auditoría
informática detectó que casi un 50% de las compañías que utilizaban Windows, un
30-40% de todas las contraseñas de Windows, fueron determinadas en los primeros
20 minutos y el resto de ellas en 5-8 horas.
En
contraste, las organizaciones militares, tan apegadas al tema de los secretos,
suelen tener políticas más elaboradas para el caso. Por ejemplo, la guía para
crear contraseñas del Departamento de Defensa de Estados Unidos tiene 30 páginas
de extensión…. y aún así han sido atacados.
Entre las empresas y corporaciones se registran otros fenómenos, pues con el
incremento de sitios WEB, muchas personas tienden a utilizar la misma una y otra
vez para diferentes servicios de pago, facilitando la tarea al hacker. Estudios
de la facultad de computación de la Universidad de California plantean que la
mayor parte de los ejecutivos utiliza un rango medio de 5-8 contraseñas, y todas
son variaciones sobre el mismo tema.
En
fin, que si las contraseñas son el “Abrete Sésamo” de esta era de la
informática, si no se escogen y protegen con cuidado, también pueden abrir la
puerta a ladrones, saboteadores e intrusos de todo tipo.
Tipos de contraseñas más comunes, según la encuesta
El
25% utiliza el nombre de sus niños
El
21% el nombre de la pareja
El
13% las fechas de nacimiento
El
9% siglas o nombres de su equipo de fútbol o béisbol
El
9% nombres de famosos y grupos musicales
El
9% sus lugares favoritos
El
8% su propio nombre, sus siglas o una combinación de siglas con fechas de
nacimiento.
El
7% el nombre de su mascota
Algunas recomendaciones para trabajar con contraseñas
Cámbielas al menos una vez cada dos semanas
Utilice contraseñas de no
menos de ocho caracteres.
Mezcle letras con números, será más difícil descubrirla.
Intente conservarlas en la memoria y si tiene que escribirlas, guárdelas en
lugar seguro, preferentemente bajo llave.
Use más de una contraseña para trabajar con sitios web diferentes.
Evite la selección de temas comunes, como los del recuadro 1