viernes 29, marzo 2024

¡El tamaño si importa!

Comparte:

Por Luis J. Polanco, ms, experto en Ciberseguridad

Hacia 4000 A.C., en Mesopotamia, ya se utilizaban unos sellos cilíndricos con la capacidad de imprimir en la arcilla fresca un motivo en relieve, a menudo refinado. Los historiadores estiman que estos motivos, irrepetibles, salvo habilidades y condiciones extraordinarias de acceso a los mismos materiales originales, garantizaba la identidad de la persona que ha realizado un documento o ha cerrado un recipiente.

Según el filósofo israelí, Yuval Noah Harari la especie Homo sapiens logró el dominio del planeta “porque es el único animal que puede cooperar de manera flexible y a gran escala”. Harari también abunda sobre cómo, con nuestra imaginación, “…somos los únicos capaces de crear y creer historias de ficción, y mientras todos creamos las mismas historias, todos podemos seguir las mismas reglas. Los demás animales usan su sistema de comunicación para describir la realidad. Nosotros creamos realidades con nuestras palabras.”. En otras palabras, el valor que le damos a las cosas abstractas depende solo de la convención y el acuerdo entre todos.

Una pieza de cerámica cuneiforme o un papel especialmente procesado, sellado o firmado puede representar toda la riqueza que un humano acumuló durante toda una vida o expresar su intensión sobre el destino que dicha riqueza debía seguir, después de su desaparición física. Algo inimaginable para otro animal, asignar valor a un objeto que no tiene mas valor que el que la colectividad decide asignarle.

Para lograr este objetivo, es fundamental que el objeto simbólico posea características únicas que solo la persona propietaria de dichos valores a representar, o en su defecto aquella entidad comprometida con esa función, tenga la posibilidad de acceder. Las técnicas, los materiales o las habilidades deben ser tan escasos que las probabilidades de combinarse para duplicar esos valores tienda a cero.

En la antigüedad se utilizó la habilidad de los artistas y artesanos mas destacados para producir una obra de relieve una única vez, de manera que las probabilidades acceder a los recursos necesarios para repetirlo desalentara la falsificación.

Ésta ha sido la historia de las propiedades, documentos y objetos valiosos. El precio de obtención y la necesidad de aunar todos los factores necesarios para la reproducción, debe siempre exceder el valor que lo que se intenta replicar.

Desde el surgimiento del Internet y el uso masivo de los sistemas de información, los valores abstractos y las propiedades se guardan ahora en el mundo digital.

Exactamente como pasa en el mundo real, la principal causa de estafas y robos en el mundo digital lo constituye la falla más explotada, el eslabón más débil de la cadena de seguridad, la falla humana explotada mediante la ingeniería social, cuando falla el apego a los protocolos y el apego a las mejores prácticas.

La segunda causa de explotación de la seguridad reside en los procesos utilizados para acceder a los recursos digitales. Aunque la gente los utiliza indistintamente existen 3 diferentes procesos:

  1. Identificación es el acto de indicar la identidad de una persona o cosa.
  2. Autenticación es el acto de probar la identidad de un usuario del sistema informático (por ejemplo, comparando la contraseña introducida con la contraseña almacenada en la base de datos)
  3. Autorización es la función de especificar los derechos o privilegios de acceso a los recursos

Para que un sistema de información pueda Identificar a alguien, éste debe proveer un nombre de usuario. El sistema luego procurará Autenticar a ese usuario, con los siguientes factores posibles (i) algo que usted sabe (por ejemplo, contraseña/número de identificación personal); (ii) algo que tenga (p. ej., dispositivo de identificación criptográfica, token); y (iii) algo que eres (por ejemplo, biométrico) para darle Autorización a aquellos recursos que el sistema tiene predeterminado otorgarle, por ejemplo, acceso a sus bienes digitales. 

El asunto fundamental radica entonces en la autenticación a través del uso de 1 o más de los 3 factores mencionados, de la manera mas eficiente y segura posible para evitar la falsificación. El mas utilizado desde los 90s ha sido la contraseña. Todos recordamos como las contraseñas han ido evolucionando y ya casi ningún sistema importante acepta contraseñas simples. Ahora requiere la combinación de letras, números, mayúsculas, minúsculas y símbolos, nunca menor a los 6 caracteres.

 En una computadora, el alfabeto de letras, números y caracteres imprimibles posibles consta de 96 posibles (sin tomar en cuenta algunos alfabetos Unicode comúnmente no utilizados).

Si la contraseña consta de 6 caracteres entonces actualmente existen 96*96*96*96*96*96 = 782,757,789,696 combinaciones posibles

Al momento de escribir este artículo la computadora comercial más poderosa es capaz de tratar todas las combinaciones posibles en menos de 30 segundos.

El asunto está en que el ser humano tiene una limitada capacidad de recordar contraseñas al azar y en la medida en que organice caracteres con algún significado de mejor recordación en esa misma medida disminuye la llamada entropía de la contraseña que es una medida que se utiliza para medir la dificultad con la que se puede adivinar una contraseña. Con el uso extendido de ataques diccionarios y tablas arco iris la mejor estrategia es encontrar la combinación adecuada entre longitud e impredecibilidad.

La NIST (National Institute of Standards and Technology) de los Estados Unidos mantiene una prestigiosa guía con recomendaciones y mejores prácticas para la seguridad de las empresas. Con respecto a la gestión de las contraseñas he visto con sorpresa cómo muchas entidades dominicanas mantienen prácticas desactualizadas, contrarias a las recomendaciones básicas, mientras descuidan la parte fundamental de esta gestión que es proteger, mediante un adecuado cifrado, la información guardada en las bases de datos, en prevención frente a un eventual ataque de penetración y robo de datos. En cuanto a la gestión de la contraseña la NIST recomienda lo siguiente:

Tamaño. El tamaño juega u rol fundamental en la posibilidad de utilización de métodos para romper/adivinar/forzar la contraseña. Mientras algunas empresas se esfuerzan en requerir una gran complejidad, el tamaño mínimo permitido ha demostrado ser mucho más importante. El tamaño mínimo recomendado es 8 caracteres.

Complejidad. Exigir que las nuevas contraseñas incluyan cierta complejidad puede hacerlas menos seguras. NIST eliminó todos los requisitos de complejidad de contraseñas de sus pautas. Por ejemplo, muchas empresas requieren que los usuarios incluyan caracteres especiales, como un número, un símbolo o una letra mayúscula, en sus contraseñas para que sean más difíciles de descifrar. Desafortunadamente, muchos usuarios agregarán complejidad a su contraseña simplemente escribiendo en mayúscula la primera letra de su contraseña o agregando un “1” o “!” hasta el final. Y aunque técnicamente hace que una contraseña sea más difícil de descifrar, la mayoría de los descifradores de contraseñas saben que los usuarios tienden a seguir estos patrones y pueden usarlos para reducir el tiempo necesario para descifrar una contraseña robada.

Además, a medida que aumenta la complejidad de la contraseña, los usuarios tienden a reutilizar las contraseñas de una cuenta a otra, lo que aumenta el riesgo de que puedan ser víctimas de un ataque de relleno de credenciales si se viola una cuenta.

Cambio de Contraseña. Algunas empresas requieren a sus usuarios restablecer sus contraseñas cada 3 meses, pensando que cualquier persona no autorizada que obtenga la contraseña de un usuario pronto será bloqueada. Sin embargo, los cambios frecuentes de contraseña pueden empeorar la seguridad.

Ya es bastante difícil recordar una buena contraseña al año. Y dado que los usuarios a menudo tienen numerosas contraseñas para recordar, a menudo recurren a cambiar sus contraseñas en patrones predecibles, como agregar un solo carácter al final de su última contraseña o reemplazar una letra con un símbolo que se parece (como $ en lugar de S).

Entonces, si un atacante ya conoce la contraseña anterior de un usuario, no será difícil descifrar la nueva. Las pautas del NIST establecen que los requisitos de cambio periódico de contraseña deben eliminarse.

Proceso de autenticación

El administrador del sistema debe modificar la interfase de autenticación para:

  • Facilitar el uso de gestores de contraseña como lastpassword y 1password permitiendo que las contraseñas se puedan copiar y pegar.
  • Restringir la cantidad de intentos fallidos de autenticación para cada usuario y evitar ataques de fuerza bruta.
  • Permitir que se puedan revelar las contraseñas para disminuir los intentos fallidos con contraseñas equivocadas.

Comprobación de credenciales

El programador del sistema debe asegurarse de utilizar hash y salt. Tanto la sal como el hashing se utilizan para proteger las contraseñas y evitar que sean descifradas. Salt ayuda a que las contraseñas sean más seguras al agregar una capa adicional de seguridad, y el hashing ayuda a mantener las contraseñas ocultas incluso si son robadas. Salt es una cadena aleatoria de caracteres que se agrega a las contraseñas antes de que se conviertan en hash. Esto dificulta que los piratas informáticos inviertan el hash y descubran su contraseña. Hashing es un proceso que convierte las contraseñas en una cadena única de caracteres.

Usar autenticación multifactorial (MFA)

La NIST promueve en lo posible el uso de más de un método para verificar su identidad, como una contraseña y un escaneo de huellas dactilares o el uso de un celular, token OTP, USB u otros. La autenticación multifactorial puede ayudar a proteger su cuenta de los atacantes, incluso si logran robar su contraseña. ¿Por qué los MFA son más seguros? para empezar, las contraseñas se pueden adivinar o robar, pero una huella digital o un código personalizado no. Además, si alguien logra obtener su contraseña, no podrá acceder a su cuenta sin pasar también por la segunda capa de seguridad. Se recomienda también activar MFA para el uso de sus sistemas de correo electrónico Gmail, Outlook y sistemas de mensajería como WhatsApp que cuentan con esta posibilidad.

Todo estas estas recomendaciones mejoran las posibilidades de mantener nuestros sistemas libres de robo de identidad por ataque a contraseñas, esto es hasta que se pongan en funcionamiento las primeras computadoras cuánticas que, por su altísima capacidad de procesamiento, requerirán un cambio estructural del modelo que hasta ahora utilizamos para proteger nuestros bienes digitales. Pero eso será objeto de una próxima entrega.

Recibe nuestras noticias por correo

Últimas noticias

spot_img

Mira otros tags: