Las contraseñas personales, ubicuas hoy en día en páginas web y servicios digitales, son un sistema de autenticación imperfecto, poco eficiente y con un riesgo elevado, pero sin embargo su facilidad de uso y la ausencia de alternativas viables harán que sigamos dependiendo de ellas durante mucho tiempo.
Existentes desde la antigüedad aunque de uso generalmente restringido al ámbito militar durante muchos siglos, las contraseñas pasaron a formar parte del día a día de una gran parte de la población con la eclosión del ordenador personal en las décadas de 1980 y 1990, algo que se incrementó todavía más con la llegada de internet a los hogares y dispositivos móviles.
El correo electrónico, las redes sociales, las cuentas bancarias, los servicios por suscripción… si tal y como recomiendan los expertos en ciberseguridad se tiene una contraseña distinta para cada plataforma, estas pueden ascender con facilidad a las varias decenas.
“Lo peor que tienen las contraseñas es la reutilización, y es algo que vemos mucho. De hecho, es lo normal, resulta raro encontrar gente que use más de una contraseña”, explicó en una entrevista con Efe Troy Hunt, creador del portal “Have I Been Pwned?”, que permite a los internautas comprobar si sus datos personales han sido filtrados online.
Los expertos coinciden en señalar la reutilización de la misma clave en varias plataformas como el mayor riesgo de las contraseñas, ya que si los piratas informáticos logran acceder a una cuenta, podrán replicar el mismo proceso en todas las demás.
Pero la reutilización no es el único problema que Hunt encuentra a las contraseñas: a menudo son débiles y predecibles (estudio tras estudio confirma que las más comunes son “123456” y “password”), es relativamente habitual que se filtren y los sitios web que las albergan a menudo lo hacen de una forma poco segura.
Conocedores de las imperfecciones y de los límites de las contraseñas, desde la propia industria tecnológica se investigan y tratan de impulsar alternativas con la Alianza FIDO, dedicada a este fin y de la que forman parte decenas de compañías punteras en el sector, entre ellas Google, Amazon, PayPal, Lenovo, Alibaba y Microsoft.
Los sustitutos más sonados a las contraseñas y los que más tracción han ganado en los últimos tiempos son los sistemas de reconocimiento biométrico, ya sea facial o táctil, presentes en varios modelos de teléfono, tabletas y ordenadores.
“El problema es que las alternativas fáciles y cómodas como el reconocimiento facial en los teléfonos móviles no son muy seguras y, cuando lo son, dejan de ser fáciles y cómodas”, matizó en una entrevista con Efe la directora del Instituto de Seguridad y Privacidad CyLab de la Universidad Carnegie Mellon, Lorrie Cranor.
“Para que el reconocimiento facial sea muy seguro, se necesita equipamiento muy caro y grande que no cabe en un teléfono. La calidad de la tecnología de los teléfonos está bien, es tan segura como un código PIN de cuatro dígitos. Pero no es segura al 100 %”, añadió.
La experta en ciberseguridad contó a Efe cómo, por ejemplo, hace un tiempo su hija, que entonces tenía seis años, cogió su teléfono móvil y fue capaz de desbloquearlo usando reconocimiento facial.
El año pasado los errores de esta técnica acapararon titulares en Estados Unidos, cuando un experimento de la Unión Estadounidense de Libertades Civiles (ACLU) halló que el reconocimiento facial había identificado erróneamente a 28 congresistas, en su mayoría pertenecientes a minorías, como criminales.
Otro método que han promocionado desde FIDO en los últimos tiempos, que se sirve de un lápiz de memoria USB, es la autenticación universal de dos factores (U2F), es decir, uno en el que para ganar acceso a una plataforma, el usuario debe aportar algo que conoce (contraseña) y algo que tiene (USB).
Esta opción sigue necesitando las contraseñas, pero soluciona el problema de las filtraciones de datos: aunque se hagan con la clave, a los hackers les seguirá faltando el segundo factor, lo que lo convierte en un buen sistema en opinión tanto de Hunt como de Cranor.
La desventaja, sin embargo, es que es caro (requiere que el usuario tenga un USB) y menos fácil de usar que las contraseñas convencionales (hay que lidiar con la posible pérdida del USB, tenerlo siempre a mano, etc.).
Precisamente esa es la razón por la que, pese a ser un método “inferior”, los expertos coinciden en que seguiremos usando contraseñas durante mucho tiempo, ya que son baratas y todo el mundo las sabe utilizar.
“Las contraseñas prevalecen porque son capaces de rebajar la barrera de entrada y eso encaja bien con lo que quieren las páginas web: tanto tráfico como sea posible. Son una herramienta para maximizar el número de internautas”, remachó Hunt.