La capacidad de recordar todas nuestras contraseñas es limitada, incluso para aquellos con buena memoria. Los expertos en tecnología recomiendan crear una contraseña única y compleja para cada servicio en línea. Los gestores de contraseñas son herramientas útiles para evitar perder el control de todas ellas, funcionando como una caja fuerte digital protegida por una contraseña maestra. Sin embargo, un estudio reciente de la ETH Zúrich revela una realidad diferente.
¿Contraseñas seguras? «Hemos demostrado que no es así»
«La promesa es que, incluso si alguien accede al servidor, no representa un riesgo para la seguridad de los clientes, ya que los datos están encriptados y, por lo tanto, ilegibles», explica Matilda Backendal, experta en criptografía de la Universidad de la Suiza italiana USI y la ETH Zúrich. Los fabricantes hablan de «encriptación de conocimiento cero». Sin embargo, «hemos podido demostrar que esto no es cierto», afirma la investigadora.
Hackeo con fines de investigación: Así procedió el equipo
«Sorprendidos por la magnitud de las vulnerabilidades»
El equipo de Kenneth Paterson, profesor de informática en la ETH Zúrich, ya había descubierto vulnerabilidades en otros servicios basados en la nube en el pasado, pero asumió que el nivel de seguridad sería significativamente mayor en los gestores de contraseñas debido a la naturaleza crítica de los datos que manejan. Sin embargo, se equivocó: «Nos sorprendió la magnitud de las vulnerabilidades», dijo Paterson a ETH News. «Dado que el cifrado de extremo a extremo en los servicios comerciales es relativamente nuevo, aparentemente nadie lo había examinado más de cerca.»
Investigadores encontraron «arquitecturas de código bizarras»
Matteo Scarlata llevó a cabo algunos de los ataques. El experto en criptografía de la ETH tiene otra explicación para las «arquitecturas de código muy bizarras» que encontró: las empresas se esfuerzan por ofrecer a sus clientes un servicio lo más fácil de usar posible, como la posibilidad de recuperar contraseñas o compartir la cuenta con familiares, cita ETH News. «Esto hace que el código sea más complejo, menos claro y aumenta los posibles puntos de ataque para los hackers». Lo preocupante es que no se necesitan ordenadores y servidores especialmente potentes, «solo pequeños programas que pueden engañar al servidor haciéndole creer una identidad falsa».
¿Utilizas un gestor de contraseñas?
Los proveedores reaccionaron a las vulnerabilidades de seguridad
A diferencia de los hackers maliciosos, el equipo de la ETH informó a las empresas atacadas sobre sus acciones. Como es habitual en los ataques «amigables», esto se hizo antes de que se publicaran los resultados. «Los proveedores fueron en su mayoría cooperativos y agradecidos, pero no todos reaccionaron con la misma rapidez a la hora de solucionar las vulnerabilidades», dice Paterson. El intercambio con los desarrolladores de los gestores de contraseñas demostró que son muy reacios a las actualizaciones del sistema, probablemente por temor a que sus clientes pierdan el acceso a sus contraseñas y otros datos personales. Por eso, muchos proveedores se aferran a tecnologías criptográficas de la década de 1990, aunque están obsoletas, dice Scarlata.
Consejos para los proveedores y los usuarios
El equipo tiene una propuesta de compromiso. Por ejemplo, los proveedores podrían actualizar criptográficamente los sistemas para los nuevos clientes. Los clientes existentes podrían elegir si migrar al nuevo sistema más seguro y transferir sus contraseñas allí, o permanecer en el sistema anterior, con conocimiento de las vulnerabilidades existentes, según Ethz.ch.
El equipo recomienda a los usuarios de gestores de contraseñas los siguientes puntos:
- … elegir un gestor que informe abiertamente sobre posibles vulnerabilidades.
- … que sea auditado externamente.
- … que tenga el cifrado de extremo a extremo habilitado por defecto.
Suscríbete a las notificaciones del canal de conocimiento en la aplicación 20 Minutos. Recibirás información sobre descubrimientos e innovaciones revolucionarias en la investigación, explicaciones de eventos actuales y noticias curiosas del vasto mundo de la ciencia. También recibirás respuestas a preguntas cotidianas y consejos para una vida mejor.
Así es como: Instala la última versión de la aplicación 20 Minutos. Toca «Perfil» en la parte inferior, luego el icono de engranaje «Configuración» y, finalmente, «Notificaciones push». Selecciona los temas deseados aquí.
