Guardar tus passwords en la nube es como esconder la llave de tu casa bajo el felpudo
Hace muchos años, tuve un compañero de piso que un día, cuando llegó después de pasar el fin de semana en su pueblo, vino diciendo que había perdido la llave. Durante esa noche apenas pude dormir, a la mañana siguiente llamé al casero para cambiar el bombín de la cerradura, me sentía expuesto, indefenso y no estaba agusto. Mi casero se lo tomó con calma y no apareció casi hasta el fin de semana siguiente. Una semana, en la que a cualquier ruido, desataba mi estado de alerta.
Si quieres escuchar el podcast, puedes hacerlo desde aquí:
Lo que vemos en este post, es una transcripción del podcast, casi casi palabra por palabra, por si te gusta leer mientras escuchas
Buenos días, porque seguro que en alguna parte del mundo es de día ahora mismo; y bienvenidos a mi rincón podcastero donde despotrico, halago y hablo de los temas que me interesan.
Como habéis podido observar, no soy de los que guardarían la llave de su casa en el felpudo. Y, mucho tengo que confiar en alguien para dejarle mis llaves. Por ejemplo cuando invitas a alguien a tu casa unos días y sale un momento. Me acuerdo cuando estaba en la Universidad, la verdad es que yo salía poco. A veces, venían amigos a mi piso y me pedían las llaves para no despertarme cuando vinieran de fiesta y siempre salía con alguna excusa.
Y, ¿qué tiene que ver esto con las contraseñas? Bueno, a día de hoy, casi para acceder a cualquier servicio necesitamos una contraseña. Ya sabéis, contraseñas largas y complicadas, con mayúsculas, minúsculas, números, símbolos y cualquier carácter raro que nos parezca. El objetivo de esto es demostrar nuestra identidad en diferentes servicios, y así que no pueda venir cualquiera a nuestra cuenta de Twitter, de Facebook o del banco y hacer cosas en nuestro nombre.
Y claro que este sistema no es perfecto, estamos reduciendo nuestra identidad a unos cuantos millones de combinaciones de caracteres, para una persona es un trabajo horrible, pero para un ordenador, o para 10000 ordenadores zombies puede ser un trabajo más fácil, sobre todo si nuestra contraseña es sencilla, una palabra, como nuestro nombre, o el nombre de nuestra pareja o hijos, un número, en serio, ¡todavía hay gente que utiliza 123456 como contraseña! O escriben miclave36 sintiéndose verdaderos hackers, cuando esa contraseña puede estar dentro de los primeros miles a probar.
Y, claro, por nuestra propia seguridad, no está bien utilizar la misma contraseña para varios servicios. Imaginad que me registro en una red social y le pongo una contraseña, me lo curro un montón, de esas veces que te inventas una frase, como “un día vi una vaca sin rabo vestida de uniforme”, luego metemos números en la frase, le quitamos los espacios y cambiamos algunas letras “1di4v1bksinr4b0vest1duniform3”, como ha salido muy larga, vamos a acortarla, metemos mayúsculas y algún símbolo: “1d4V1bk-$BstDf0rm3”, bueno, es bastante larga, y no creo que ningún ciberdelincuente me la quite. Así que voy a utilizarla en Facebook, Twitter, Amazon, mi correo y en alguna web más. Bueno, todo funciona bien, y estás muy contento con tu clave súper segura. Pasado un tiempo, hay un robo de contraseñas en Twitter, por poner un ejemplo, sabemos que Twitter es de lo más seguro que existe, al menos, ellos parece que se lo toman muy en serio. Pero imaginad, han robado millones de contraseñas de Twitter, en principio, Twitter como empresa, seguramente nos enviaría un correo diciendo que han restablecido mi contraseña, así que para entrar pulse en recordar contraseña, me enviarán un nuevo e-mail con un enlace, y pulsando ese enlace podré introducir una nueva contraseña. Bueno, no es mucho trabajo, y es por mi seguridad, así que lo hago con una sonrisa. En estos casos, es como si pierdo las llaves de casa, o me las quitan, o si se las dejo a alguien y al cabo del tiempo descubro que no es de confianza; lo inmediato es cambiar el bombín, porque no quiero que nadie entre en mi casa cuando no esté, y casi casi que estando yo tampoco. Eso sí, la llave que uso para casa es distinta a la del trastero, y ninguna de las dos coincide con la llave del trabajo. Y es que si ya es un fastidio cambiar el bombín de la puerta de casa, imaginaos la de casa, la del trastero donde guardo mi proyecto con el que voy a dominar el mundo y la del trabajo y lo que supone movilizar a todos los compañeros de trabajo para darles una llave nueva y todo porque es la misma que la de casa. Del mismo modo, si alguien averigua la clave de una persona, no se limita sólo al servicio del que la sacó, sino que esa misma clave de Twitter que averiguó antes la va a probar en Facebook, en Amazon y en Google, a ver si suena la flauta y accede a tus contactos, con suerte podrá pedir cosas en Amazon a tu nombre y pagarlas con tu tarjeta y bueno, si te quita Google y tienes el correo con ellos podrá restablecer las claves de otros servicios, y bueno, hacértelo pasar un poco mal.
Visto este caso hipotético, ficticio e imaginario. Cuando alguno de vosotros esté pensando en cómo le van a poder quitar contraseñas ¡a Twitter! Bueno, hace muchos años MySpace era la red social por excelencia, antes de que se llamaran redes sociales y se filtraron muchas contraseñas, incluso empresas como LinkedIn, Badoo, Tumblr, Adobe, Dropbox y muchas más. Bueno, también es cierto que en algunos casos, sobre todo si alguien consigue acceso a la base de datos, lo único que tiene son contraseñas cifradas, y si todos en la empresa han hecho bien su trabajo, esas contraseñas serán muy difíciles de descifrar (de hecho, para verificar si hemos metido la contraseña correcta, se cifra la contraseña que acabamos de meter y se comparan las dos claves cifradas), así que para obtenerla, necesitaremos muchísima potencia de cálculo, por lo que es poco probable que consigan una contraseña si es robusta. Eso sí, ¿quién nos dice que una empresa X ha hecho bien su trabajo? Aún hoy, existen empresas que guardan las claves de sus usuarios en texto plano, o con un cifrado débil. Si hemos utilizado nuestra contraseña maestra en alguno de esos servicios, y por casualidad se filtra estando disponible a un montón de ciberdelincuentes dispuestos a probar esa clave en todos lados, no hay que descifrarla, o el trabajo ha sido rápido. Espero que a partir de ahora más de uno se piense el utilizar la misma clave para todo.
A ver, seamos sinceros, en mi día a día, tengo varios tipos de contraseña para varios tipos de servicios. Como en Internet te registras en mil cosas, yo tengo un juego de contraseñas típicas que puedo poner en varios servicios, que no son muy críticos. Eso sí, si el servicio es importante, genero una contraseña nueva para el servicio. Y ahí es donde entran los gestores de contraseñas. Estos gestores no son más que programas que se encargan de almacenar todas las contraseñas que utilizas. Las guardan cifradas bajo una clave maestra, esta clave puede ser una contraseña de estas típicas, o un fichero. En dicho programa encontraremos correspondencias entre servicios y los nombres de usuario, contraseñas y otros datos que queramos meter. El caso es que esos programas guardan esa información en el ordenador o el dispositivo móvil desde el que los utilizas. Hasta aquí bien. A ver, desde el punto de vista paranoico, puede ser inseguro, quien sea capaz de robar mi ordenador y conozca la clave maestra tendrá acceso a todas las claves, aunque esto ya es más seguro que colocar un post-it con mis contraseñas y pegarlo al monitor o tenerlo en un cuaderno junto al ordenador, porque normalmente estas cosas no las ciframos, puede que tengamos letra de médico y no se entienda bien, aunque a lo mejor luego nosotros tampoco lo entendemos…
Por fin, llego al problema de este podcast. Gestores de contraseñas en la nube. Y es que actualmente tenemos muchos dispositivos conectados, desde los que accedemos a servicios, desde el móvil, el ordenador, una tablet, lo mismo un día necesitamos acceder a algo en un ordenador que no es el nuestro y, bueno, tenemos un problema: hemos generado contraseñas demasiado complicadas como para aprendérnoslas y no somos capaces de decirle a una página web que realmente somos nosotros. ¿Solución? Guardar nuestras contraseñas en la nube. Pues mira, no pinta mal, tendremos un gestor de contraseñas que se sincroniza con un servidor remoto, por Internet, donde una empresa, que no sabemos seguro si ha hecho bien su trabajo, no solo está guardando una contraseña en su sistema de manera que no se pueda descifrar, sino que almacenan todas nuestras contraseñas, de tal forma que sí se puedan descifrar, porque para poder escribirla en una web, nuestro ordenador debe tenerla descifrada; y eso, si tenemos suerte y la empresa que gestiona nuestras contraseñas está cifrando la información. Eso a mí no me parece muy seguro.
Aunque seamos justos, hay personas que lo piensan muy bien, y servicios que son capaces de cifrar la información de forma que sólo tú puedas descifrarla, porque tienes la clave de cifrado. Así que ellos en sus servidores almacenan todo cifrado y no podrán ver nada aunque quieran. Vamos, imagínate que con lo pequeño que es el mundo, aquel niño al que una vez le quitaste el bocadillo en el colegio trabaja para la empresa que gestiona tus contraseñas y por casualidad ve que te has registrado. Pues no pasa nada, porque no podrá ver tus claves, ya que sólo tú tienes la clave de cifrado. Todo es fantástico y maravilloso, ¿no?
Aquí entra en juego mi parte paranoica, porque hay muchos libros de contraseñas gestionados por una misma entidad. A priori, no pueden ser descifrados, pero con paciencia y máquinas potentes todo termina siendo posible, tal vez no hoy, o mañana tampoco, pero quizás en un par de años el cifrado utilizado por estos programas sea relativamente sencillo de tirar. Puede que varias decenas de personas pasen junto a tu puerta y no se paren, de hecho es muy sospechoso que alguien se ponga a mirar la puerta de otro, a mí me da corte, ¿y si alguien está mirando por la mirilla? Eso sí, sólo hace falta una persona con poca vergüenza que levante el felpudo y encuentre tu llave y ya no habrá vuelta atrás.
Foto principal: 贝莉儿 NG
Muy buen artículo. Es cierto lo que dices durante el artículo y el mismísimo título, pero menos mal al día de hoy tenemos herramientas creadas por paranoicos como nosotros (hablando de gestores de contraseña para no salirme del tema), gestores que están destinados a esa seguridad extra. Otra cosa que me llamo mucho la atención fue lo que dijiste al final del artículo “quizás en un par de años el cifrado utilizado por estos programas sea relativamente sencillo de tira”, lo bueno es que a medida que crecen las vulnerabilidades salen los parches así que en teoría se puede reforzar, pero lógicamente saldrán nuevas formas de cifrado más novedosas y seguras. PD: solo quería comentar algo relacionado con tu interesante artículo, me gusta bastante el tema. Saludos.
Gracias por tu comentario !! Aquí y en bloguers. Con lo del cifrado sencillo de tirar, lo último del post, aunque no lo mencioné, también quería referirme a problemas como el de hace un par de años de openssl que nos obligó a todos los usuarios a cambiar los passwords, o incluso fallos que por diseño no pueden ser solventados con un parche, e implican que los usuarios tomemos medidas, cambiando passwords, renovando claves de cifrado, etc. Seguro que en esos procesos también hay muchos usuarios que no renuevan sus claves, por lo que serán totalmente vulnerables.