¿Podría ser el último día de la Contraseña?

Las alternativas de contraseña podrían convertirse en la norma, haciendo que las contraseñas se conviertan en instinto

El primer jueves de mayo se celebra el Día Mundial de la Contraseña, un día que sensibiliza sobre la importancia de las contraseñas a la hora de proteger las cuentas en línea. Intel Security declaró el primer día mundial de contraseña en 2013. Siete años más tarde, Avast (LSE: AVST), líder mundial en productos de seguridad digital, espera con ansias alternativas que podrían hacer que las contraseñas queden obsoletas.

«La gente reutiliza las contraseñas, y es sólo la naturaleza humana lo que hacen. Las credenciales de inicio de sesión son necesarias para acceder y hacer cosas como leer un artículo, ordenar un par de pantalones, escuchar música, haciendo que tengamos tantas cuentas que es prácticamente imposible para una persona crear una contraseña fuerte y única para cada cuenta.» dice Javier Rincón, Country Manager de Avast en México. «Recientemente, se informó que 500.000 credenciales de inicio de sesión de Zoom se filtraron en la darknet, pero estas credenciales de inicio de sesión no eran nuevas, ni eran exclusivas de las cuentas de Zoom. Estas fueron las credenciales de inicio de sesión que se recopilaron mediante una técnica llamada relleno de credenciales, donde los ciberdelincuentes prueban las credenciales de inicio de sesión a partir de violaciones de datos para ver si pueden acceder a otras cuentas, porque son muy conscientes de que las personas reutilizan las contraseñas de varias cuentas. Según una encuesta de Avast, el 43% de los mexicanos reutiliza su contraseña para otra cuenta, y de ellos, el 87% declaró que es consciente de que esto es riesgoso».

Otra técnica que usan los cibercriminales para acceder a las cuentas de otros usuarios es mediante ataques de fuerza bruta. Estos ataques consisten en intentar las diferentes combinaciones posibles hasta encontrar la clave de acceso del usuario. Un programa que agrieta la contraseña se aleja con combinaciones alfanuméricas hasta que encuentra una que encaja, usando el Infinite Monkey Theorem, que propone que, si un mono golpea al azar las teclas de máquina de escribir durante una cantidad infinita de tiempo, eventualmente resultará las obras de William Shakespeare. O una contraseña.

Lo que se ha convertido en una industria estándar es una antigua tradición que llega hasta el comienzo de la civilización. Desde las primeras expresiones del «ábrete sésamo» hace siglos, la gente ha estado usando palabras y códigos secretos para probar la identidad y obtener admisión. Pero una nueva ola  de tecnología está lista para reducir el riesgo de seguridad de contraseñas hackeables eliminándolas por completo. Algunas organizaciones ya están utilizando estas medidas, pero ninguna ha sido ampliamente adoptada todavía.

Gartner predice que para el 2022, el 60% de las empresas más grandes del mundo y el 90% de las empresas medianas del mundo, implementarán métodos de seguridad sin contraseña en más del 50% de los casos de uso. Aquí están algunos de los principales contendientes en la autenticación sin contraseña.

• Biometría – La mayoría de la gente está familiarizada con este concepto, gracias al touch ID en teléfonos inteligentes. La autenticación biométrica utiliza características de identificación exclusivas de nuestros cuerpos, como una cara o una huella digital. En este modelo, una persona se convierte en su propia contraseña. Sin embargo, podría surgir un problema si otra persona replicara los datos biométricos. A diferencia de las contraseñas, no hay forma de volver atrás y «restablecer» una huella digital.
• Inicio de sesión único (SSO) – Esta práctica todavía utiliza una contraseña, pero solo una. Es un protocolo de autenticación que permite a los usuarios introducir un nombre de usuario y una contraseña que luego abre varias aplicaciones y programas. Aunque técnicamente podría seguir siendo atacado por fuerza bruta, reduce la superficie de ataque al tener sólo un punto de entrada.
• Autenticación basada en riesgos: En este caso, la Inteligencia Artificial mide el riesgo de la transacción mediante el análisis del solicitante y lo que el solicitante está solicitando. Si se considera de bajo riesgo, la IA permite que la transacción continúe. Si se considera de riesgo medio, el sistema solicitará otro factor de identificación. Y si se considera de alto riesgo, el sistema bloqueará la transacción.
• Huella digital del dispositivo – Aquí el programa de seguridad toma una «huella digital» del dispositivo, registrando su marca, memoria, ubicación y dirección IP. A partir de entonces, cuando ese dispositivo inicia sesión, el programa de seguridad lo reconoce y, a continuación, utiliza el análisis basado en el riesgo para continuar con la transacción.

«Pero el hecho es que todavía no vivimos en un mundo libre de contraseñas, por lo que está en cada uno de ustedes individualmente para proteger nuestros datos y dispositivos con la mejor seguridad que podamos.» continuó Javier Rincón, Country Manager de Avast en México. «Por lo tanto, utilice el hecho de que hoy es el Día Mundial de la Contraseña para evaluar las contraseñas que está utilizando actualmente y asegurarse de que te están protegiendo».

Javier Rincón comparte los siguientes consejos de contraseña:

1. Nunca reutilice la misma contraseña para más de una cuenta.
2. Habilite la autenticación multifactor donde esté disponible. Los autenticadores abarcan tres cosas: algo que sabes (una contraseña), algo que tiene (un dispositivo token) y algo que eres (una huella digital). El uso de al menos dos de estos para cada una     de sus cuentas reducirá drásticamente su riesgo.
3. Para crear contraseñas seguras, asegúrese de que sean largas, contengan una combinación de caracteres y palabras en mayúsculas y minúsculas. Idealmente, se debe utilizar una frase de contraseña, para crear una oración completa que es fácil de recordar, pero difícil de descifrar para otros.