Biometría versus contraseña: la importancia de la puerta de entrada

Contraseñas Internet

Cada primer jueves del mes de mayo, mañana se celebra el 'Día Mundial de la Contraseña', una iniciativa promovida por varias empresas del ámbito de la informática y la ciberseguridad

Imagen del teclado de un ordenador
Imagen del teclado de un ordenador / EFE
Raúl Casado (Efe)

04 de mayo 2022 - 10:35

La biometría (iris, reconocimiento facial o huella dactilar) se impone a la contraseña como método de autenticación para acceder a los dispositivos de forma segura que han alertado de la vulnerabilidad y debilidad de las claves más frecuentes y recurrentes (como las secuencias 12345 o qwerty).

Y junto a la biometría ha cobrado protagonismo en esos dispositivos durante los últimos años el "doble factor" o la "doble autenticación" para garantizar la verdadera identidad del usuario: a la llave inicial que utilice la persona (el pin o la contraseña) se suma un segundo paso (un sms, un código numérico u otros) para completar una operación bancaria, comercial o un trámite con una administración.

Como cada primer jueves del mes de mayo, mañana se celebra el Día Mundial de la Contraseña, una iniciativa promovida por varias empresas del ámbito de la informática y la ciberseguridad para concienciar a los usuarios de la importancia de usar métodos robustos para garantizar una identificación inequívoca.

Responsables de varias empresas especializadas en ciberseguridad y del Instituto Nacional de Ciberseguridad (INCIBE) -dependiente del Ministerio de Asuntos Económicos y Transformación Digital- han fijado las recomendaciones básicas que los usuarios deben atender para navegar con seguridad por la red.

Porque las contraseñas más usadas siguen siendo -en este orden- 12345, 123456 y 1234567; porque muchos usuarios utilizan la secuencia más fácil del teclado (qwerty); porque utilizan la misma clave para todos los servicios y aplicaciones; y porque muy pocas personas optan por crear una contraseña robusta, con al menos diez caracteres, y entre ellos mayúsculas, minúsculas, números y símbolos especiales (+,-, $,€,@ u otros).

Técnicas nemotécnicas fáciles

La técnico de ciberseguridad para los ciudadanos del INCIBE Ángela García Valdés ha observado que puede parecer una labor tediosa, "pero nada más lejos de la realidad", ya que para generar contraseñas robustas se pueden utilizar reglas o técnicas de memoria y para recordarlas de una forma sencilla y sin errores se pueden usar gestores de contraseñas.

El director de Operaciones Globales de Consumo de la empresa Panda Security, Hervé Lambert, ha recordado en ese sentido que el 70% de los usuarios olvida sus contraseñas al menos una vez al mes, e intenta un promedio de 2,4 veces escribirla antes de dar con la clave correcta.

Y en la misma línea, el director comercial de la compañía especializada en ciberseguridad S2 Grupo, Rafael Rosell, ha advertido del "gravísimo" problema que supone reutilizar las mismas contraseñas para todo y de emplear además combinaciones muy frágiles que no se cambian casi nunca.

Una técnica memorística sugerida por el profesor de Estudios de Informática, Multimedia y Telecomunicaciones de la Universidat Oberta de Catalunya Jordi Serra es acudir a alguna frase célebre o a un refrán popular; cita como ejemplo que "En un lugar de La Mancha de cuyo nombre" y añadir un "+3" convertiría la contraseña "EuldLMdcn+3" en una clave prácticamente indescifrable; pero insiste en que los usuarios creen la suya propia y no aprovechen ésta.

Ángela García Valdés ha incidido en que la contraseña debe tener una longitud mínima de ocho caracteres, combinar mayúsculas, minúsculas, números y caracteres especiales; ser únicas para cada servicio o aplicación; y no estar además relacionadas con el usuario (nombres, fechas señaladas o aficiones).

En declaraciones, García Valdés ha asegurado que un sistema basado en la biometría es más seguro que una contraseña, aunque no es imposible que el ciberdelincuente consiga alguno de esos rasgos, ya que las huellas dactilares, por ejemplo, dejan rastro en todos los objetos que se tocan, y en los casos más extremos el delincuente puede obtener esos rasgos por la fuerza.

Ha alertado además de los errores "triviales" que cometen muchos usuarios a la hora de guardar importante cantidad de información personal y profesional bajo contraseñas muy débiles, y entre ellos cita los de apuntarlas en un cuaderno o en pósit a la vista de otras personas, usar la misma para muchos servicios, utilizar las secuencias más fáciles del teclado (123456 o qwerty) o recurrir a expresiones hechas o relacionadas con el propio usuario.

La contraseña solo es el primer eslabón

Hervé Lambert (Pacda Security) ha observado que aunque hay ya muchos sistemas que evitan la necesidad de introducir una contraseña o unas credenciales, el número de servicios que siguen requiriendo ese tipo de autenticación es todavía enorme, y el 98% de las páginas web siguen pidiendo esas contraseñas sin ofrecer ninguna otra posibilidad de identificación.

El directivo de esta empresa ha señalado que la contraseña debe ser solo el primer factor de seguridad, y que lo ideal sería que esos factores se basen en algo que solo el usuario "sepa" (su contraseña), "tenga" (un token de seguridad o llave electrónica) o "sea" (una medida biométrica).

Ha citado en ese sentido el ejemplo clásico del cajero, donde hace falta una tarjeta física y un pin; o el de muchas páginas web, que requieren ya una contraseña primero, pero después un código enviado como mensaje de texto a un dispositivo para iniciar la sesión o para completar una operación.

El director comercial de S2 Grupo, Rafael Rosell, ha insistido en que las contraseñas más recurrentes y utilizadas son las más inseguras, y ha recordado que tras el hackeo que sufrió la red de citas Ashley Madison se comprobó que la contraseña más utilizada por los usuarios era también "123456".

Todos los expertos han coincidido al alertar de que la pandemia ha disparado el uso de internet (compras, teletrabajo, ocio, etcétera) y con ello se han disparado también las amenazas y los riesgos, pero los usuarios no son más conscientes de la importancia de la seguridad en la red y de contar con mecanismos robustos para su identificación.

"Seguimos reutilizando las contraseñas para todo, seguimos usando claves muy frágiles y no las cambiamos casi nunca; es la tormenta perfecta, nos roban una y tienen acceso a muchos otros servicios. Somos vulnerables por nuestra baja conciencia; se lo ponemos muy fácil a los malos", ha aseverado Rosell.

stats