¿Usar más de 8 letras? Mal. ¿Combinar mayúsculas y minúsculas? Olvídalo. ¿Añadir números y letras? Piénsalo de nuevo.
Para comprender por qué todo esto no tiene sentido, primero hay que entender quién es Bill Burr. No, no el comediante estadounidense. Más bien, William E. Burr, antiguo director del Instituto Estadounidense de Estándares y Tecnología, y el hombre que en agosto de 2003 hizo toda una serie de recomendaciones de seguridad acerca de cómo crear contraseñas más seguras.
Burr fue entrevistado por The Wall Street Journal, y en esa entrevista, asegura que hoy está arrepentido de lo que escribió. Y su arrepentimiento ha sido recogido en sitios de tecnología como The Verge, Gizmodo, Business Insider y muchos más.
Las letras de una contraseña
En contexto, en 2003 mucho de lo que Burr escribió tenía sentido: la combinación de mayúsculas y minúsculas en una contraseña, por ejemplo, era un consejo práctico, fácil de aplicar y permitía engañar a los programas de vulneración de seguridad de esa época. Pero hoy en día, los programas de decodificación de contraseñas son cada vez más desarrollados, y son capaces de descifrar ciertos patrones que son predecibles como parte del comportamiento humano.
Otra de las recomendaciones básicas de 2003 era la de crear ‘passwords’ que combinen números y letras, e incluso, caracteres especiales como la ‘@’ o un ‘!’. Este tipo de consejos se ajustaban a una realidad específica. Pero hoy por hoy, la historia es muy distinta. Los avances realizados en materia de Inteligencia Artificial hacen que el análisis de datos se pueda realizar en segundos.
Según un estudio de la empresa de seguridad Praetorian, replicado por la empresa de seguridad ESET en su blog, el 50% de las contraseñas analizadas son creadas por los usuarios con base en las mismas 13 estructuras específicas. Una de las estructuras más básicas y comunes es usar la primera letra mayúscula, seguirla de entre 5 y 8 letras minúsculas, y terminar la contraseña con 2 números.
De hecho, y por paradójico que suene, mientras más variantes de este tipo tiene una contraseña, más predecible se vuelve, ya que los universos de caracteres de un mismo tipo se reducen, y toma menos tiempo para que un programa los desencripte. Una caricatura de Randal Munroe, publicada en agosto de 2011, ilustraba esto de manera acertada:
Imagen: Randal Munroe, en https://xkcd.com/936/
El mito de la periodicidad
En el texto escrito por Burr también figuraba la recomendación de cambiar la contraseña aproximadamente cada 90 días. Esta sugerencia fue tomada como una regla por los departamentos de seguridad informática de muchas empresas en todo el mundo. Al punto de que las computadoras de la empresa obligan a los usuarios a cambiar su contraseña cada cierto tiempo.
El problema con este tipo de políticas es que dificultan la tarea a las personas, y facilitan el trabajo de los hackers. Con tal de no tener que memorizar una contraseña nueva cada cierto tiempo, los usuarios suelen caer en la tentación de modificar una sola letra o número al final de su contraseña, manteniendo prácticamente la mayoría de letras de la contraseña sin ninguna alteración durante todo el año.
Esto se convierte en un patrón predecible.
¿Qué se puede hacer entonces?
La compañía de serguridad informática ESET hace algunas recomendaciones que pueden ayudar a la hora de poner más seguridad en el acceso a diferentes servicios en línea.
Justamente por este tipo de codificación y de patrones de decodificación, es que la recomendación no es crear ‘passwords’ sino ‘passphrases’, es decir, no usar palabras clave, sino frases clave: contraseñas bastante largas, compuestas por varias palabras a las que es más fácil dotar de un significado específico, y que se vuelven difíciles de descifrar.
Dicho de otro modo, una contraseña como ‘LintErnaVErdE1’ es menos segura y más difícil de recordar que la contraseña ‘linternaverdeesunsuperheroedecolorverde’.
Otra recomendación es la de no utilizar la misma contraseña para todos los servicios en línea; es el equivalente a utilizar una misma llave para todas las puertas para entrar a la casa y al trabajo. Bastaría con que alguien logre sacar una copia de la llave para que tenga acceso a todo.
Se recomienda cambiar periódicamente la contraseña, pero establecer cambios reales, no solo una letra o un número. Esto evita caer en una repetición de patrones que podría volverse predecible. Dicho de otro modo: es mejor tratar de no utilizar contraseñas viejas.
También es recomendable utilizar programas de administración de contraseñas. LastPass es, por ejemplo, uno de los administradores que más funciones ofrece de manera gratuita. Con LastPass se puede almacenar contraseñas, generar contraseñas seguras y establecer autenticación de doble factor para diferentes servicios. La versión premium ofrece aún más funciones por un costo de USD 24 al año.
Por último, muchos servicios en línea como Gmail o Facebook ofrecen doble factor de autenticación para el acceso a los servicios, ya sea mediante el envío de un SMS o el uso de una aplicación móvil para generar códigos específicos para acceder a estos servicios.
Esto permite a estos servicios establecer un patrón de uso de dispositivos, y alertar si es que se ha iniciado sesión desde un dispositivo desde el que regularmente no se accede.