El doctor House, célebre personaje de televisión, se hizo famoso por su carácter áspero y sus malos modales. Paradójicamente, es un modelo perfecto para muchos BOFHs y administradores informáticos, para los que el comportamiento de algunos usuarios solamente se puede entender con una de las máximas de House: el paciente es idiota. Veamos el “principio de House” en algunos de los casos que hemos ya mencionado.
El ataque contra la web de Sony Pictures en junio de 2011 permitió analizar las contraseñas que se habían filtrado[67]. ¿Adivinan cuáles eran las más habituales? Ahí van: seinfeld, winner, purple. Palabras fáciles de obtener, así como el inevitable password (contraseña, en inglés) y nuestros eternos amigos los seis dígitos 123456.
Podríamos pensar que los usuarios de Stratfor Global Intelligence lo hicieron mejor. Los datos nos cuentan una historia muy distinta. Tras desvelarse el robo de datos, diversos grupos se pusieron a trabajar, y volvieron a desvelar lo que a estas alturas ya se puede usted imaginar: incluso usuarios de sistemas de inteligencia, supuestamente concienciados en el campo de la seguridad, usaban contraseñas débiles. Por su parte, Stratfor no solamente no comprobaba la fortaleza de las contraseñas, sino que ni siquiera ponía un límite inferior a su longitud: en teoría, un usuario podía introducir una clave de una sola letra. Que se sepa, ningún usuario llegó a hacerlo, aunque hay muchos usuarios que utilizaron contraseñas de cuatro caracteres.
Un análisis del diario online The Tech Herald utilizó un conjunto de diccionarios y una lista de contraseñas reveladas en anteriores ataques informáticos, y los combinó con el programa hashcat, similar al ya mencionado Jack The Ripper. El resultado es demoledor: de los 860 160 hashes que obtuvieron para estudio, consiguieron recuperar casi 82 000 contraseñas en algo menos de cinco horas, usando un sencillo ordenador de trescientos euros. Algunas contraseñas eran tan absurdas como ****** (seis asteriscos). Hubo usuarios que utilizaron contraseñas largas, pero luego lo estropearon escogiendo términos como 111222333444, qwerty123456, lawenforcement, surveillance4u o intelligence.
También se vio cómo algunos usuarios, en un intento por aumentar su seguridad, utilizaban sustituciones de caracteres fácilmente adivinables, como cambiar O por 0, o poner @ en lugar de a. Eso es algo desaconsejado porque proporciona solamente una sensación de seguridad, no seguridad en sí misma. Una de las contraseñas de seis caracteres más utilizadas en el caso Stratfor era ¡@#$%^… que no es más el resultado de pulsar 123456 con el bloqueo de mayúsculas activado. Otras elecciones poco inteligentes incluían $intel, @gn0st!c [agnóstico], @irF0rce [airforce] y @tt0rn3y [attorney]. Por supuesto, la cadena de cinco dígitos más utilizada fue nuestra conocida 12345, con 55555 en segundo lugar[68].
¿Qué hay de LinkedIn? ¿Podemos esperar que una de las redes sociales más extendidas del mundo haya hecho bien los deberes? Según un estudio de Ars Technica, los usuarios de LinkedIn no son muy distintos de los demás a la hora de escoger malas contraseñas. La campeona, 12345, no aparecía en la lista, pero solamente porque LinkedIn exigía contraseñas de al menos seis caracteres. Por supuesto, no les sorprenderá encontrar cadenas como 123456, 1234567 o 12345678, junto con otras creaciones más originales como ihatemyjob (“odio mi trabajo”) o LinkedIn. Hay quien, ante la sugerencia de escoger una contraseña fuerte (“strong password”) hizo caso literal y optó por strongpassword[69].
Si ha salido algo bueno en esta larga lista de robos de información, es que al menos los investigadores han conseguido información sobre el tipo de contraseñas que utiliza el usuario medio, lo que ha propiciado diversos estudios. Por ejemplo, en 2006, más de cien mil nombres de usuarios y contraseñas correspondientes a MySpace fueron robados mediante el procedimiento de phishing (crear una web falsa para hacer creer a los usuarios que están haciendo login en la página auténtica).
Bruce Schneier consiguió datos sobre 36 000 de ellos y procedió a hacer un análisis. Más de la mitad de las contraseñas tenían ocho caracteres o menos (casi el 1% no pasaba de cuatro). Más del 80% de las contraseñas estaban formadas por caracteres alfanuméricos (letras y números). De ellas, el 28% eran una combinación de letras minúsculas seguidas por un número, la mayoría de las veces un uno. Por ejemplo, password1 (que fue la contraseña más utilizada), monkey1, myspace1, football1, baseball1 o qwerty1.
Parece como si los usuarios pensasen que, con añadir un número a la contraseña, eso la convierte automáticamente en segura. Otros intentaron subir la apuesta usando más números, no por ello menos predecibles. Había ejemplos como blink182 (alusión a una banda de música llamada Blink 182) o jordan23 (referencia al jugador de baloncesto Michael Jordan, que llevaba el número 23 en los Chicago Bulls), así como contraseñas sencillas del tipo abc123 o 123abc[70].
En mayo de 2012, Joseph Bonneau, de la Universidad de Cambridge, publicó el que probablemente sea el mayor estudio sobre contraseñas hasta la fecha[71]. Este investigador consiguió la colaboración de Yahoo!, y durante los días 23 y 25 de mayo de 2011 observó y guardó más de 69 millones de contraseñas de usuarios de Yahoo! Para preservar la confidencialidad de las contraseñas, éstas fueron sometidas a un hash utilizando una clave especial; de ese modo, incluso sin conocer las contraseñas directamente, se pueden hacer estudios estadísticos sobre los hábitos de los usuarios. Algunas de las conclusiones son bastante interesantes. Entre ellas podemos destacar que:
—En general, las personas de edad tienden a escoger mejores contraseñas que los jóvenes.
—Si un usuario con una cuenta comprometida (hackeada o robada) ha completado un cambio de contraseña basado en email, tenderá a escoger una contraseña más débil; si el cambio lo hace vía página web, no suele escoger una contraseña mejor que la anterior.
—Los usuarios que cambian con frecuencia de contraseñas, así como los que se conectan desde ubicaciones distintas, suelen escoger mejores contraseñas.
—No parece haber grandes diferencias entre idiomas en lo que respecta a la elección de contraseñas fuertes o débiles.
—En general, el usuario medio escoge contraseñas demasiado débiles para proporcionar seguridad.
Una cosa que las masivas filtraciones de datos nos han dejado es una enorme lista de contraseñas. Cualquier persona interesada, sea un investigador legítimo o un hacker, puede compilar un gran diccionario de contraseñas probables. Además de las filtraciones habituales, hay muchas otras formas de conseguir diccionarios de palabras probables. Un hacker nos dio recientemente un curioso ejemplo de la utilización de Twitter para obtener términos utilizables en un ataque de diccionario[72]. El consultor de seguridad Mark Burnett utiliza Google y otros mecanismos de búsqueda para recuperar grandes cantidades de contraseñas[73]. En combinación con los diccionarios de términos comunes (con sus variantes habituales, como sustituir la O por un cero), un experto en seguridad puede utilizarlas para bloquear contraseñas débiles. Por supuesto, también en este caso el hacker podrá aprovechar para montar un ataque con mayores probabilidades de éxito.
Como puede verse, el robo de la base de datos con las contraseñas es algo cada vez más común, no diría yo inevitable pero sí lo bastante frecuente como para que tengamos que acostumbrarnos a ello. Desde el punto de vista del administrador del sistema, el uso de trucos como el uso de funciones hash y sal ya no son opcionales, sino imprescindibles.
Otras herramientas al alcance del defensor incluyen la aplicación de técnicas para evitar ataques de inyección SQL, la protección del archivo de hashes en archivos sin permisos de lectura, la aplicación de la función hash repetidas veces para ralentizar un ataque (o bien el uso de funciones hash deliberadamente lentas como bcrypt), el uso de caracteres raros… y por supuesto la exigencia de que el usuario no utilice contraseñas fáciles; entendiendo como “fáciles” aquellas que sean cortas, fácilmente adivinables, conocidas o contengan solamente letras o números. Nada mejor que un buen diccionario de contraseñas para comprobarlo[74].
No hay que olvidar un elemento muy importante en la cadena de seguridad: las preguntas de autenticación. Cuando una persona pierde u olvida su contraseña para un servicio online (por ejemplo, correo webmail), se le suele ofrecer la oportunidad de recuperarla o bien crear una nueva. Para autenticarse, el usuario debe responder a una pregunta de seguridad que solamente él sabría responder. Por ejemplo, Google Mail permite introducir cualquier tipo de pregunta, pero también proporciona preguntas de seguridad estándar como el nombre del mejor amigo de la infancia, el primer jefe, el número de la matrícula del coche o el primer profesor.
En teoría, nadie debería saber el nombre de mi primer jefe; en la práctica, el número de posibles respuestas es grande pero limitado, y basta con que yo haya comentado su nombre siquiera una vez en Internet para que la información esté a dos clics de distancia. En el caso de personas famosas, la cantidad de información pública disponible es mucho mayor. Eso es lo que facilitó el robo de fotografías de Scarlett Johansson en 2011. Según la nota de prensa del FBI[75]:
“Los investigadores creen que [el detenido] usó fuentes públicas para obtener datos sobre sus víctimas… una vez hubo accedido, obtuvo información privada como correos electrónicos y archivos adjuntos”.
El culpable fue finalmente detenido y se enfrenta a más de un siglo de prisión por sus delitos, pero las fotos han dado la vuelta al mundo y no hay forma de detener el daño ya hecho. Un desliz puede dar al traste con su vida personal.
Un sub-apartado interesante del mundo de las contraseñas se refiere a los números de cuatro dígitos PIN, utilizados habitualmente en teléfonos móviles, cajeros automáticos y sistemas de acceso. No hay estadísticas al respecto, pero una empresa de “minería de datos” llamada DataGenetics tuvo una brillante idea: ¿y si recurrimos a las bases de datos ya filtradas y escogemos las contraseñas con cuatro dígitos? Eso hicieron, y los resultados son interesantes.
Antes, sin embargo, un punto de precaución. Los datos utilizados provienen de bases de datos con contraseñas usadas en servicios web, y no hay garantía de que los usuarios las utilicen como números PIN con la misma frecuencia. Sin embargo, nos proporciona una muestra significativa. Se da la circunstancia de que muchos usuarios (demasiados, me temo) utilizan la misma contraseña en diversos servicios, así que resulta verosímil que la misma contraseña de cuatro dígitos sea usada en sistemas con PIN. Por otro lado, los bancos y compañías telefónicas proporcionan números PIN aleatorios. El usuario, por supuesto, puede cambiarlo, pero habrá muchos usuarios tipo “1234” que utilicen una contraseña más aleatoria por simple dejadez o ignorancia. Por otro lado, si un usuario quiere escoger una contraseña boba, lo hará de un modo u otro. En cualquier caso, veamos lo que DataGenetics tiene que decirnos[76].
La muestra fue de 3,4 millones de números de cuatro dígitos, y como cabía esperar a estas alturas, los números escogidos son de todo menos aleatorios. Seguro que ya se lo espera, pero se lo diré de todos modos: el PIN más frecuente es 1234. Lo que resulta sorprendente es la cantidad de usuarios que escogieron este número: uno de cada nueve. Me parece sencillamente asombroso, aunque visto lo visto, quizá no tanto. Las siguientes elecciones populares son 1111 (6% de los usuarios), 0000 (2%), 1212 (1,2%) y 7777 (0,75%). Esto quiere decir que un ladrón que solamente dispusiese de tres intentos tendría una probabilidad de éxito de casi el 18%.
La vagancia se impone, ya que los diez números PIN con los cuatro dígitos repetidos aparecen entre los veinte más usados. También hay otras combinaciones sencillas de recordar, como 4321, 1122, 6969 y similares. Los pares de números repetidos, del tipo abab, representan casi el 18% del total de elecciones. En el fondo de la lista, el PIN menos escogido fue el 8068, seguido por 8093 y 9629. Aparentemente sucede como con los números de la lotería, los hay bonitos y feos, y por algún motivo al pobre 8068 le ha tocado hacer de feo.
Hay números que no parecen tener un origen sencillo. Es el caso del 2580, que aparece el 22º en la lista. No parece ser de los facilones, pero busque un teclado de cajero o de teléfono y se dará cuenta del motivo: los dígitos 2, 5, 8 y 0 forman una línea vertical en el teclado. También es un misterio el 1004, que aparece en sexta posición. Hay quien afirma que el motivo es cultural: en coreano, 1004 suena similar a la palabra cheonsa (ángel).
Es interesante comprobar que los números cuyas dos primeras cifras sean 19 son bastante más probables que otros. Eso se debe a que la gente que los usa los asocia a años. Incluso se pueden intentar extraer datos demográficos: los “años” más utilizados como PIN son 1984, 1985 y 1986. Parece que la gente en los veintitantos tiene mucho que aprender en cuanto a seguridad informática. También son bastante frecuentes los números que representan una fecha en formato mes-día (habitual en los países anglosajones). Otra observación: por lo general, los usuarios prefieren números que comiencen por cero o uno.
Si quiere un consuelo, piense que ni siquiera los usuarios expertos se libran de meter la pata. En septiembre de 2012, se filtraron los nombres y contraseñas de más de 100 000 miembros del IEEE, una de las mayores organizaciones de ingenieros electrónicos del mundo: empleados de Apple, Google, la NASA, Oracle, Samsung, los mejores de los mejores[77]. Los datos estaban en un servidor FTP accesible a todo el mundo, y las contraseñas estaban en texto llano, lo que ya es malo de por sí.
Lo peor vino cuando se efectuó un análisis de las contraseñas usadas. La ganadora fue 123456, usada 271 veces, seguida por ieee2012, 12345678, 123456789 y password. La octava más popular era 123, ¡una contraseña de tres dígitos! La situación era tan embarazosa que la IEEE, en el mismo comunicado en que admitía el error y pedía disculpas, se vio obligada a recordar a sus afiliados la necesidad de crear contraseñas fuertes y no reutilizarlas en otros lugares[78].
Decididamente, no podemos confiar en el usuario. Veamos ahora el otro lado. Porque seguro que las empresas lo hacen mejor, ¿verdad?