Seguridad de las claves en Internet

¿Son seguras tus claves de Internet?

Hace pocos días , Twitter comunicó que había sufrido un ataque hacker muy sofisticado y que más de 250.000 claves de sus usuarios, podían “correr peligro”. Elegante modo, por cierto, de decir que no tienen las medidas de seguridad necesarias para preservar la identidad de sus clientes, no tienen ni idea de cuales han sido vulneradas y no aportan más solución que la de que "recomiendan reforzar la seguridad de las claves". ¿Reforzar? ¿ Como, quien?.

Este verano, Linkediin reconoció que 6,5 millones de contraseñas usadas en esa red, se habían publicado en un foro ruso. Parece por tanto, que ni muchísimo menos, estamos protegidos por aquellas empresas que obtienen beneficios millonarios con nuestra presencia. Pero ¿ y nosotros? ¿ Realmente tomamos todas las medidas a nuestro alcance para que nadie se nos cuele y haga pasar por nosotros?Hay un dato demoledor: el porcentaje más alto de contraseñas robadas a Twitter, era “123456”

¿Que medidas debemos adoptar para tener claves seguras?

Partamos de la base de que la clave inviolable NO EXISTE. Todas, absolutamente todas las claves son descifrables. Y no es necesario ser un experto en criptografía, ni miembro del Mossad. Calculemos que un ordenador potente, con el software adecuado se estima que tardaría 5,5 horas en descifrar una clave alfanumérica de OCHO POSICIONES. Pensemos en grupos de hackers uniendo sus máquinas en fines oscuros y tendremos la respuesta a lo vulnerables que somos. Sin embargo hay comportamientos que deberíamos considerar a la hora de diseñar nuestras “supercontraseñas”.

1. Nunca uses como tal, datos que puedan ser fácilmente conocidos y vinculados a ti. El número del DNI, las fechas de nacimiento, los nombres de hijos, padres, cónyuges, matriculas de coches etc, es lo primero que alguien que quiere usar tu identidad va a probar
2. Usa contraseñas alfanuméricas. Si un ordenador precisa un tiempo determinado para “encontrar” tu clave, ese tiempo no es otra cosa que el que necesita para llevar a cabo todas las combinaciones posibles. Si usas solo digitos, deberá probar las combinaciones de 10 elementos. Si añades letras, la cosa se incrementa enormemente.
3. Amplia todavía más tus herramientas. Ya tienes números y letras. Usa también símbolos. Y alterna mayúsculas y minúsculas. De ese modo multiplicas por millones las combinaciones posibles.
4. Ten en cuenta este dato: casi todo el mundo usa el primer carácter alfabético en mayúscula y el resto en minúscula. Se imaginativo, tienes muchas combinaciones posibles
5. No me digas porque, no hay más razón que la falta de originalidad humana: un altísimo porcentaje de quienes usan símbolos, lo hacen con “%” y “@”. Tienes montones de símbolos, ¡diferenciate por Dios!
6. No uses claves importantes o “sensibles” en un ciber-café. Hay mil razones para que no lo hagas: no entraré aquí en detalle, pero tomalo como un dogma de fé.
7. Nunca, jamás, guardes tus claves en la red, ni tu pc, mucho menos en tu smartphone. Si alguien te los violenta..estás muert@

Con estos simples consejos, mejorarás sobremanera tu nivel de seguridad. Siempre recordando el axioma del principio. Toda clave es vulnerable de un modo u otro. Algunas con dificultad, tiempo y tecnología; otras “con la gorra”. Que la tuya no sea de estas últimas.

Algo que sería el ideal , es tener una clave para cada cosa. Si, se que eso es imposible, te volverías loco y tu mente humana no sería capaz de retenerlas. Hagamos una cosa create un algoritmo. ¿Que, que es eso? Bueno es en realidad un conjunto de reglas a seguir que traen un resultado esperado.

Te pongo un ejemplo 12 DE OCTUBRE DE 1492 ¿es fácil de recordar verdad? Supongamos que tu algortimo1 es para los correos, por ejemplo la secuencia DIA-MES.AÑO . Tu resultado es 12101492. Pero si tu algoritmo2 lo cambias por AÑO-MES-DIA, el resultado ahora es. 14921012. Complícalo más y asume que para el algortimo1 usarás 2 letras y 2 simbolos. Estos los situarás siempre en el centro de la combinación númérica y estarán compuestos por una minúscula “a” una mayúscula ”B” y los símbolos “<” y “>”, precediendo a las letras según que sea minúscula < o mayúscula >.

Así pues, tendrías que el algortimo1 te daría resultado de 1210<a>B1492. El algoritmo 2 solo cambiaría el orden DIA -MES-AÑO por el de AÑO-MES-DIA. Todavía tienes el MES-DIA-AÑO, MES-AÑO-DIA etc...Si alguna vez no estás segur@, solo debes probar el orden de esas posiciones y ya lo tendrás.¿Ves? Ya tienes un algoritmo. Create el tuyo propio con aquellas cosas que recuerdes fácilmente y te sirvan de base

Otro aspecto a considerar, es el de que siempre tendemos a tener claves sencillas o complejas según de que se trate. No nos preocupa mucho, por ejemplo que nos asalten el acceso a un site para escribir poesía, pongamos por caso. Por ese motivo, nos hacemos vagos y usamos 1352 que es la clave del banco y recordamos fácilmente Los sistemas de seguridad de un banco, no son igual obviamente que los de la web de poesía. Pero...¿y si te asaltan esta y tu usas la misma clave para tu cuenta corriente?. Estás muert@...y arruinad@.

Te parece que la clave QaZWsX147 ¿ puede ser segura?. En principio, mezcla dígitos y letras y estas son mayúsculas y minúsculas. Y tiene 9 posiciones. ¿ No está mal no?. Pues escríbela de nuevo y fijate en el movimiento de tu mano al hacerlo. Que, ¿es fácil “verla”? Los movimientos de tu mano, la estarían cantando para alguien “observador”.

Sin embargo, todos pensamos que las claves de nuestras tarjetas bancarias son pobres: solo tienen 4 posiciones numéricas. eso significa que “solo” hay 10.000 posibles combinaciones, las comprendidas entre 0000 y 9999. Eso es cierto, pero...tienes tres intentos o se bloquea el sistema. Estadísticamente, la probabilidad de acertar es despreciable

Cuando te regsitras en un site, eliges un usuario y una clave, que solo tú debes de conocer. Para ello, al escribir tu combinación elegida, SI EL SITE ES DE CONFIANZA Y SERIO, debería usar un sistema de encriptación tipo MD-5 o similar. Eso significa que en la base de datos donde quedan registrados los tuyos, los relativos al acceso no son “traducibles” a simple vista. Así de ese modo, si yo elijo como usuario “puturrudefuá”, en la BBDD, lo que el administrador o las personas que tengan acceso podrán ver es, este “chorizo” : 19009e21c37af12948697cec6499a10f . Todo eso, en realidad es el resultado de lo que denominamos “semilla”y que se convierte en esa cadena.

Estas medidas, se adoptan para que tus datos no estén expuestos a aquellas personas, que por muy administradores que sean del site, no tienen porque conocerlas. Por ese motivo, cuando olvidas tu contraseña y solicitas te sea reactivada, el sistema te lleva a un link, donde lo que haces es volver a elegir la nueva contraseña. Que será encriptada en MD-5 y por tanto no entendible por un humano. Aquellos sites a los que les solicitas tu contraseña y te envían un correo con tus datos registrados son...PE-LI-GRO-SI-SI-MOS. Todos aceptan que sus datos los tenga el administrador. ¿Y si este es un “bandarra”? O sin serlo se convierte?. O tiene un amigo que lo es y a quien le permite acceder a la BBDD?. ¿O si un hacker entra por alguna puerta?.Recuerda, tus claves SIEMPRE ENCRIPTADAS; si no, huye de ese site, “pon pies en polvorosa”

Espero que estos consejos te resulten de utilidad. En todo caso, recuerda lo que escribí al principio: ninguna clave es inviolable. Así es que si tienes un tesoro...compártelo con la humanidad. Te hace sentir bien y no se te queda cara de idiota si te lo roban. Por cierto, mis algoritmos no son los que te conté...ni de coña, claro