Los expertos tienen claro que en 2022 el ransomware seguirá arreciando. Es decir, que los ciberdelincuentes van a seguir intentando cifrar la información de las compañías para luego pedir a las víctimas un rescate por liberarla. Y este año también veremos cómo el phishing hará de las suyas. Es decir, que seguiremos teniendo campañas de correo o de SMS donde alguien intentará suplantar la identidad de nuestro banco, de Hacienda o de una firma de mensajería para obtener datos personales y números de cuenta.
Sin embargo, en medio de tantos ataques y amenazas, 2022 podría ser el año en el que empecemos a dejar de usar contraseñas. La protección que aportan se ha ido debilitando con el paso del tiempo. Son tantas las apps y servicios que requieren una password que al final muchos acaban poniendo siempre la misma o variaciones de una que les es fácil recordar. Y que construyen, además, con elementos muy cercanos y fáciles de recordar. Por desgracia, también son fácilmente deducibles por un delincuente, como el nombre de pila seguido de la fecha de nacimiento.
De hecho, esta reutilización de contraseñas no es una buena medida de protección y está desaconsejada. No hay que olvidar que los hackers disponen de herramientas que combinan de forma automática informaciones personales del usuario y pueden dar en segundos con las contraseñas que usa.
Muchos usuarios optan por contraseñas absurdas
Muchos usuarios no llegan ni siquiera a elaborar una contraseña con informaciones personales y obvias. Hay muchos usuarios con contraseñas absurdas. Según un estudio del gestor de contraseñas NordPass, millones de personas eligen passwords muy débiles para proteger sus cuentas, como ‘12345’, ‘123456’ y ‘123456789’. También son muy habituales otras como ‘prueba1’ o ‘password’. O cadenas de letras que forman una línea horizontal en el teclado, como ‘qwerty’.
Incluso las contraseñas robustas, las que son más largas y están compuestas por una combinación alfanumérica muy difícil de memorizar, son vulnerables. Porque, aunque no puedan ser descifradas fácilmente, pueden ser robadas gracias al phishing y a los keyloggers, esas piezas de software espía que son capaces de registrar la pulsación de teclas, por ejemplo, cuando entramos en la web del banco.
Vasu Jakkal, vicepresidenta corporativa de Microsoft para asuntos como la seguridad, la identidad y el cumplimiento normativo, está convencida de que las contraseñas débiles son una gran puerta de entrada para los ciberdelincuentes en empresas y en cuentas personales. Ella asegura que cada segundo se producen 579 ataques a contraseñas en el mundo, lo que supone unos 18 000 millones al cabo de un año.
Los gestores de contraseñas tampoco son la solución
Por desgracia, tampoco son de fiar los gestores de contraseñas, esos programas que guardan todas las passwords que usa una persona para entrar en cualquier servicio en internet. Porque, al fin y al cabo, los gestores acaban requiriendo por lo menos una contraseña maestra para acceder a esta información. Una clave que, como las demás, puede llegar a manos de gente malintencionada.
Las contraseñas son una vía de protección agotada, según Microsoft. Por eso en la compañía trabajan a toda máquina para popularizar el acceso a su software y servicios a través de la huella digital, el reconocimiento facial y las apps de autenticación. Se imponen, pues, las tecnologías biométricas.
De hecho, el marco legal está favoreciendo la aparición de métodos de seguridad que complementen a las contraseñas e incluso las reemplacen. Sin ir más lejos, en Europa la entrada en vigor definitiva el 1 de enero de 2021 de la normativa PSD2, una directiva que regula los servicios de pago por internet, obliga a los bancos y tiendas online a pedir una doble autenticación, más allá del usuario y contraseña habitual. Es lo que se llama ‘autenticación reforzada’ e implica que el cliente en el proceso de pago debe añadir también elementos inherentes a su persona, como la huella dactilar o el reconocimiento facial o de iris. Es una medida que, según los expertos, rebaja las posibilidades de fraude.
Tecnologías ‘passwordless’
También hay proveedores de herramientas de ciberseguridad que trabajan en el campo de la autenticación sin contraseñas. Es lo que se denomina el método ‘passwordless’. La empresa sueca Yubico, por ejemplo, vende llaves USB que el usuario lleva siempre consigo y que puede activar con un PIN o por huella digital. Una vez esta llave está operativa, ya no es necesario escribir passwords para acceder a sitios y servicios confidenciales.
Otras compañías, como HYPR y Okta, han desarrollado programas que permiten bloquear o desbloquear un ordenador de una empresa desde una app móvil, sin tener que teclear nombres y contraseñas. También, desde esa aplicación, el usuario puede entrar de forma segura en cualquier servicio, gracias a códigos de acceso diferentes que se van generando cada vez que se necesitan.
La poca eficacia de las contraseñas y el avance de sistemas que no las requieren harán que en el futuro cada vez tengamos que lidiar menos con este engorroso método de protección. La idea final es potenciar métodos de autenticación que se basen en dispositivos o tecnologías que llevamos encima. Porque es posible que un ciberdelincuente nos birle los datos por internet con la intención de estafarnos, pero será muy improbable que al mismo tiempo pueda meter la mano en nuestro bolsillo para robarnos el móvil, una tarjeta provista de PIN o una llave USB que solo se activa al contacto con la yema de nuestros dedos.
Por Juan I. Cabrera
Imágenes | Freepik.es/rawpixel.com, Yubico, Song_about_summer/Shutterstock