Claves débiles abren la puerta a hackers

El principal método que utilizan los hackers para entrar a sistemas protegidos no es una complicada proeza técnica, es adivinando la contraseña.

Adivinarla no es nada difícil, considerando que la contraseña o clave más común en los sistemas empresariales es "Password1."

Existe una razón técnica para la popularidad de esa contraseña: tiene una letra en mayúscula, un número y nueve caracteres. Eso satisface las reglas de complejidad de muchos sistemas, incluyendo la configuración de serie del muy usado software de gestión de identidad Active Directory, de Microsoft.

La firma de servicios de seguridad Trustwave subrayó el problema del "Password1" en su informe más reciente "2012 Global Security Report", que compendia los hallazgos de la firma en casi 2 millones de revisiones de vulnerabilidad de redes y 300 investigaciones de violaciones a la seguridad.

Alrededor del 5% de las contraseñas involucraba una variación de la palabra "password", descubrieron los investigadores de la compañía. La subcampeona fue la palabra "welcome", usada en más del 1% de los casos.

Contraseñas fácilmente adivinables o en blanco fueron las debilidades más frecuentes descubiertas por la unidad SpiderLabs de Trustwave el año pasado, luego de aplicar pruebas de penetración en los sistemas de sus clientes. La firma aplicó una variedad de herramientas de descifrado de contraseñas sobre 2.5 millones de claves , y pudo decodificar con éxito más de 200,000.

Verizon ofreció resultados parecidos en su reporte anual "2012 Data Breach Investigations Report", uno de los estudios más comprensivos de la industria de la seguridad. El informe completo será difundido dentro de unos meses, pero Verizon adelantó algunos de sus descubrimientos en la conferencia RSA celebrada la semana pasada en San Francisco.

El año pasado, aprovechar las contraseñas adivinables o poco complejas fue el principal método usado por los atacantes para acceder a los sistemas. Esa estrategia jugó un papel en el 29% de las violaciones de seguridad investigadas por el equipo de Verizon.

El hallazgo más aterrador hecho por Verizon es que los atacantes suelen estar dentro de las redes de las víctimas por meses o años antes de ser descubiertos. Menos del 20% de las intrusiones investigadas por la empresa fueron detectadas en días, ya no digamos horas.

Más aterrador aún es que pocas compañías detectaron por su cuenta la violación de seguridad . Más de dos tercios supieron que habían sido atacadas luego de que un tercero se los notificara (por ejemplo, una autoridad judicial). Las conclusiones del reporte de Trustwave son casi idénticas: solamente el 16% de los casos estudiados el año pasado se detectaron de forma interna.

Entonces, si la contraseña es algo que puede adivinarse, ¿cuál es la mejor manera de hacerla más segura? Alargarla.

Hacerla más compleja (por ejemplo, sustituir "password" por "p@S$w0rd") protege contra los llamados ataques de diccionario, que introducen automáticamente una lista de palabras estándar. Pero dado que los atacantes usan cada vez más recursos para explorar cualquier combinación de caracteres posible... la longitud es la única protección efectiva. Una contraseña de siete caracteres tiene 70 billones de combinaciones posibles; una de ocho tiene más de 6 trillones.

Con todo, las opciones de varios trillones no asustan a las máquinas modernas. Trustwave usó una computadora de 1,500 dólares hecha de partes ensambladas, y tardó sólo 10 horas para cosechar 200,000 contraseñas descifradas.

"Tenemos que usar cosas que superen la capacidad de la memoria humana," señaló el experto en seguridad Dan Kaminsky durante su ponencia en la conferencia RSA. Reconoció que es una dura batalla. La autenticación biométrica, las tarjetas inteligentes, los generadores de claves de una única vez y otras soluciones pueden aumentar la seguridad, pero a costa de incrementar la complejidad.

"La ventaja fundamental de la contraseña sobre cualquier otra tecnología de autenticación es su absoluta simplicidad sobre cualquier dispositivo. Desde luego, esa es también su falla fundamental," resumió Kaminsky.