Si el usuario medio no sabe crear o gestionar contraseñas de forma segura, al menos le queda el consuelo de saber que también algunas entidades con muchos más recursos y conocimientos fallan estrepitosamente en ocasiones. Recuerdo hace años haber visto un anuncio televisado de una conocida empresa de sistemas de seguridad (no les diré cuál). Entre imágenes de casas idílicas con niños jugando en el suelo, nos intentan convencer de lo seguro que dormiremos con un buen sistema de alarma. El padre, sonriente y confiado, teclea la contraseña del sistema de alarma. ¿Y cuál es el número que escoge? ¡La fecha de cumpleaños de su hijo! Evidentemente el usuario no tiene el monopolio de la tontería. Ni mucho menos.
Comencemos con un guión típico de película de acción. ¿Qué tal si envenenamos el suministro de agua de una gran ciudad? En septiembre de 2009 se descubrió que cualquier persona con un móvil y conexión Bluetooth podía haber obtenido acceso al sistema de control y suministro de agua potable de Oslo. La contraseña no era problema, ya que había sido fijada como 0000[79].
Sigamos con los argumentos de película. ¿Qué le parece si nos atrevemos a controlar un sistema de comunicaciones militares? Podría pensarse que los hombres y mujeres de uniforme conocen mejor que nadie el valor que se debe otorgar a la seguridad en las comunicaciones, pero no siempre se aplican su propia medicina. Los motivos pueden ser muchos, como por ejemplo las limitaciones presupuestarias, pero en más de una ocasión se trata de un viejo y obsceno pecado que los militares cometen una y otra vez: minusvalorar al enemigo. Los norteamericanos, empeñados en una guerra continua que se extiende por varios países musulmanes, parecen creer que sus adversarios apenas son capaces de usar el mando a distancia del televisor.
Sólo eso puede explicar que, por ejemplo, los famosos aviones sin piloto (los “drones”) envíen a la base información no cifrada sobre lo que captan y graban. Esta vulnerabilidad se conoce desde los años noventa, cuando se hizo patente durante la guerra de Bosnia. Un enemigo vigilado por estos pájaros metálicos podría utilizar la propia grabación de video que están emitiendo para saber cuáles serán sus próximos objetivos y evitar el ataque; una transmisión de un dron podría incluso revelar información sobre las unidades propias. No es una posibilidad remota: en julio de 2009, las fuerzas norteamericanas en Irak detuvieron a un militante chií que almacenaba videograbaciones captadas por vehículos no tripulados[80].
¿Nos vamos al espacio? Apuesto a que piensa que hackear satélites militares es algo que un civil solamente puede ver en las películas de James Bond. Pues agárrense, porque vienen curvas. Durante los años ochenta, la armada de EEUU utilizó un sistema llamado FLTSATCOM (Fleet Satellite Communications System) para comunicarse con buques y submarinos por todo el mundo en frecuencias de UHF. Seis satélites desplegados en órbita geoestacionaria lo hacían posible (otros dos quedaron dañados durante el lanzamiento). Durante los años noventa, fueron reemplazados por otra generación de satélites, pero a pesar de que se diseñaron con una vida útil de cinco años algunos de ellos siguen funcionando.
El problema es que los transpondedores de los FLTSATCOMs carecían de protocolos de autenticación o cifrado. Como consecuencia, cualquiera con conocimientos y equipo técnico adecuado puede acceder a ellos y utilizar sus canales como si de un satélite de comunicaciones se tratase. Un lugar donde se aprovecharon particularmente de ello es Brasil, un vasto país en expansión donde la cobertura de las redes telefónicas móviles deja mucho que desear. A comienzos de la década del dos mil, se comenzó a ofertar estos servicios piratas a usuarios de todo tipo, desde camioneros a leñadores ilegales, por no hablar de traficantes de droga. Una operación conjunta de las autoridades brasileña y norteamericana atajó el problema temporalmente en 2009, pero para entonces miles de personas sabían cómo construir sus propios transpondedores[81].
Podría darles más ejemplos de ese tipo, pero si quiero asustarles con historias sobre mensajes transmitidos sin cifrado, creo que lo haré mejor tocándoles el bolsillo, en la zona donde guarda el móvil. Un famoso FAIL tuvo como protagonista el popular servicio de mensajes WhatsApp. El protocolo usado para enviar información entre usuarios se llama XMPP, que incluye el protocolo de seguridad TLS para transacciones electrónicas seguras. El problema radica en que estaba configurado por defecto para NO utilizar cifrado, con lo que todos los datos intercambiados estaban en texto llano, accesibles a cualquiera con programas para capturar paquetes de datos[82].
Tras una serie de críticas acerca de su seguridad, la red de mensajes WhatsApp anunció que en lo sucesivo los mensajes de sus usuarios estarían cifrados[83]. Ahora bien, surgió el problema de siempre: ¿qué claves utilizar, y sobre todo, cómo repartirlas entre todos los clientes? La solución de WhatsApp para los móviles con sistema operativo Android fue tomar el IMEI (un código de identificación único para cada teléfono), invertirlo y aplicarle la función hash MD5; en el caso de otros dispositivos, utiliza la dirección MAC (identificativa del router). El resultado es la clave de cifrado. En cuanto al nombre de usuario, es sencillamente el número de teléfono[84].
Con un sistema tan sencillo, WhatsApp permite generar tráfico cifrado y evitar los problemas derivados de diseminar millones de contraseñas. Por supuesto, al lector no se le escapará que el sistema de generación de claves es altamente inseguro. Cualquier persona con acceso a un teléfono ajeno puede obtener su IMEI sin más que pulsar la secuencia *#06#. Un atacante más sigiloso puede crear una aplicación que filtre ese dato, o bien atacar directamente a la empresa telefónica y robarle su base de datos de usuarios.
Las desgracias criptográficas de WhatsApp no acaban aquí. El programa almacena en el dispositivo del usuario gran cantidad de información de forma insegura. Datos como los “logs” de todos los mensajes enviados y recibidos, la información de los contactos y hasta las coordenadas de geolocalización (si el GPS está activado) se guardan en dos archivos sin cifrado en absoluto[85].
Para rematar la faena, la versión para Android guarda un fichero adicional que funciona como copia de seguridad (backup). Se supone que ese fichero está cifrado con el algoritmo AES mediante una clave de 192 bits. Sólo hay dos problemillas. El primero es que la clave está insertada en el propio paquete de software de WhatsApp. Y el segundo es que todos los móviles Android del mundo utilizan la misma clave. Ni siquiera añaden algún factor dependiente del móvil[86]. Esta es la clave:
346a23652a46392b4d73257c67317e352e3372482177652c
Evidentemente, no es una contraseña fácil de adivinar, pero ahí la tiene. A partir de ahora, la seguridad que proporciona es la misma que la de toda contraseña una vez descubierta y revelada: cero. Que conste que yo soy un usuario —hasta ahora satisfecho— de WhatsApp, pero a la vista de los garrafales fallos de seguridad que han perpetrado últimamente soy muy cauto a la hora de utilizarlo. Si usted transmite información mínimamente confidencial por WhatsApp, cruce los dedos.
Tampoco el gigante informático Apple ha permanecido inmune a los problemas de contraseñas y códigos de identificación. Justo unos días después de que WhatsApp anunciase su nuevo servicio de cifrado, Apple anunció que le habían robado más de un millón de números UIUD, que son unos códigos que identifican de forma única cada iPhone e iPod[87]. El grupo hacker que los robó afirmó que los había extraído del ordenador de un agente del FBI[88], algo que fue prontamente desmentido por la agencia federal. La fuente real de la filtración fue la editora digital Blue Toad, quien reconoció el robo de la información[89].
¿Por qué Blue Toad tenía esos datos? Yo también me lo pregunté. Por lo visto, uno de los servicios que proporciona es “soluciones de contenido digital y aplicaciones a editores y creadores de contenido”. Cuando una aplicación se instala en el móvil o la tablet, suele requerir ciertos permisos. Algunos de ellos incluyen la conexión a Internet y la recopilación de ciertos datos, que para los vendedores representan una verdadera mina de oro. En cierto modo, esas bonitas aplicaciones “gratuitas” que nos descargamos ya las estamos pagando con nuestros datos.
Por añadidura, en mayo de 2012 se anunció la existencia de un fallo en el sistema Filevault de Apple, un sistema de cifrado para proteger la información del ordenador. Al parecer, cuando la compañía de la manzana lanzó la versión del sistema operativo MacOX Lion 10.7.3, cometió un error de programación en virtud del cual se guardaba una copia de la contraseña en el disco duro, en un archivo de registro (log) sin proteger[90]. Apple reconoció el error y lo corrigió en la siguiente versión de Lion, la 10.7.4[91].
Peor incluso lo tuvo Yahoo! En mayo de 2012, presentó al mundo su programa Axis, un navegador para dispositivos móviles que también incluye extensiones para poder ser utilizado como buscador en los navegadores tradicionales. Cuando un investigador instaló la extensión Axis correspondientes al navegador Chrome, descubrió que Yahoo! había cometido un error de novato. Se supone que en su interior habría una clave pública que permitiría verificar la autenticidad del paquete de software; pero en lugar de ello, lo que aparecía era la clave privada, ¡la que se utiliza para crear la firma! Con esa clave privada, cualquiera podría firmar una aplicación maliciosa[92]. Es un perfecto ejemplo de EPIC FAIL, que podemos traducir como “cagada cum laude”. Yahoo! tardó muy poco en reconocer el error y cambiar la extensión Axis. El servicio de alertas de INTECO-CERT clasificó este fallo de seguridad como de “importancia 2-baja”[93], piadosamente baja, opino yo; el ridículo que hizo Yahoo! será algo que van a tardar en olvidar.
Incluso si una empresa tiene experiencia y determinación en el campo de la seguridad, algunas veces las prácticas que imponen a sus clientes rozan lo absurdo. Cualquier sistema de seguridad que se precie debería rechazar las contraseñas débiles, sea porque son conocidas o porque tienen pocos caracteres. Bien, digamos que usted está concienciado con la seguridad. Escoge una contraseña fuerte y larga, se dispone a utilizarla, y resulta que el sistema la rechaza ¡por ser demasiado larga!
Parece increíble, pero así es. Gmail impone un límite de 200 caracteres, lo que puede parecer razonable dado que se trata de introducir una contraseña, no de escribir un libro. Yahoo! tiene unos límites de entre 6 y 32 caracteres. Vale, aunque pienso que 6 caracteres es demasiado corto. Outlook prohíbe contraseñas de más de 16 caracteres[94]. Los usuarios del antiguo servicio de Microsoft Hotmail se enteraron entonces de que sus contraseñas, fuesen de la longitud que fuesen, eran secretamente “podadas” si superaban los 16 caracteres de longitud[95].
No fue la única metedura de pata de Microsoft. Las versiones de Windows anteriores a Windows NT utilizaban un sistema llamado Lan Manager (LM) para almacenar las contraseñas de los usuarios en forma de hash. El problema es que la contraseña, cualquiera que fuese su longitud, se truncaba y solamente se tomaban sus primeros 14 bytes. Es decir, la longitud máxima de la contraseña era de 14 caracteres; si era menor, se rellenaba el resto con caracteres nulos. Para calcular los hashes, las letras minúsculas de la contraseña se convertían en mayúsculas. Luego se dividía la contraseña en dos segmentos de 7 caracteres de longitud, y se aplicaba la función hash a cada segmento por separado.
¿Qué quiere todo esto decir? Pues que una contraseña como “EStoYdisfrUTANndoEsteLIbro” se convertía en “ESTOYDI” y “SFRUTAN”. La seguridad de una ristra de 25 letras mayúsculas y minúsculas pasa a ser la de dos grupos de 7 letras minúsculas. Peor aún, si escogemos “quieroleer” el sistema lo Internet como “QUIEROL” y “EER “lo que hace que la segunda contraseña (tres letras y cuatro espacios nulos) sea extremadamente fácil de extraer por fuerza bruta. Personalmente, me resulta increíble que durante varios años las mejores y más actualizadas versiones de Windows hayan incluido un sistema tan ridículamente debilitado. Afortunadamente, Microsoft deshabilitó esta opción y posteriormente sustituyó Lan Manager por el sistema de protocolos NTLM (NT Lan Manager), pero a la vista de la cantidad y tamaño de las tablas arcoíris para NTLM que circular por la Red, yo tendería a mostrarme cauto.
Microsoft volvió a meter la pata en el asunto de las contraseñas a finales de 2012, en un entorno diferente. La empresa de Redmond decidió regalar a sus clientes de Windows 8 el paquete informático multimedia Microsoft Media Center. El usuario descargaba el paquete y pedía a Microsoft una clave, que recibía a vuelta de correo electrónico. Algunos usuarios, que solamente tenían una copia temporal de evaluación del sistema operativo, descubrieron que esa clave no solamente activaba el Media Center, ¡sino todo Windows 8! De ese modo, quienes se descargasen una versión de evaluación de Windows 8 podía registrarlo con la clave de Media Center.
Se da la circunstancia de que para aprovechar este fallo, el usuario debe tener ya instalado Windows 8; y puesto que Microsoft no concede el período de gracia habitual con fines de evaluación, el truco de Media Center no es en teoría posible. Sin embargo, el usuario puede activar Windows 8 temporalmente gracias a un sistema denominado Servicio de Administración de Claves (KMS), creado para entornos empresariales[96].
Volviendo a España, me surge una duda: ¿por qué El Corte Inglés solamente acepta contraseñas de entre 6 y 8 caracteres? Sí, ha leído bien, 6 a 8[97]; eso a pesar de que la web de El Corte Inglés afirma estar preocupada por la seguridad:
“Conforme a nuestra garantía de seguridad y confidencialidad, en El Corte Inglés estamos especialmente interesados en ofrecer a nuestros clientes el más alto nivel de seguridad y proteger la confidencialidad de los datos que nos aportan. Por ello, las transacciones comercialesson realizadas en un entorno de servidor seguro bajo protocolo SSL (Secure Socket Layer) y todas las comunicaciones se transmiten encriptadas bajo un cifrado de 128 bits,que asegura el mayor nivel de protección a las comunicaciones …”[98].
Curioso como soy en estos casos, pregunté a la empresa por los motivos. Después de dos semanas, recibí respuesta. No puedo incluírsela, ya que venía acompañada de la típica advertencia de confidencialidad que prohíbe su divulgación no autorizada. Aun así, creo que no les sorprenderé si les digo que no me aclaró mis dudas. Volví a preguntar. No entendía por qué poner un límite superior tan bajo a la longitud de las contraseñas, e impedir el uso de símbolos no alfanuméricos, era considerado un buen compromiso de seguridad. Mi petición fue enviada “al departamento correspondiente”. A fecha de hoy, sigo esperando respuesta.
El Corte Inglés puede al menos consolarse: la operadora norteamericana de telefonía móvil Virgin Mobile USA les ha superado en tontería. Estos genios de la seguridad no solamente han fijado la longitud de las contraseñas a seis, sino que los caracteres han de ser necesariamente dígitos[99]. La única concesión a la seguridad por su parte era que no se admitían más de tres dígitos iguales o consecutivos, es decir, nada de 222 o 678.
Aun así, probar casi un millón de contraseñas impunemente ha de ser difícil, ¿no? No solamente será lento, sino que seguro que nos detectarán en seguida. Puede que tras un número de intentos, el sistema se cierre, como es el caso de los cajeros automáticos. No serán tan tonos, ¿verdad?
Preguntemos a Kevin Burke, suscriptor de Virgin Mobile USA y experto en comunicaciones. Para demostrar lo fácil que es entrar en el sistema, Burke efectuó un ataque de fuerza bruta. Nada de cracks, tablas de contraseñas o técnicas sofisticadas: se limitó a crear un pequeño programa (script) que probaba una contraseña por segundo. El propio Burke fijó ese límite tan lento para no sobrecargar los servidores de Virgin USA. Cuando encontró la contraseña correcta, se limitó a introducirla y entrar en su propia cuenta sin problemas.
Burke nos cuenta en su web lo que sucedió después. Tras lograr el éxito el 16 de agosto, intentó contactar con representantes de Virgin Mobile USA, ¡para lo cual le exigían su número de identificación secreto! Tras un mes de intentos infructuosos, se hartó y publicó todo el asunto en Internet[100]. Finalmente, la empresa adoptó la decisión de limitar el número de intentos antes de bloquearse. Buena idea… que no sirve de nada, porque se basa en el uso de cookies, fáciles de borrar. Ahora el sistema se cierra tras 20 intentos fallidos. Eso sí, son veinte intentos por dirección IP. Un atacante con una IP dinámica podría irla cambiando cada 19 intentos, lo que ralentizaría el ataque pero no lo detendría.
Podemos terminar esta sección con un apartado que podríamos denominar “contraseñas que se dejan encima del piano”. En 1983, una película llamada Juegos de Guerra acercó el mundo de la informática y el hacking al gran público. Una de las actividades favoritas del protagonista era cambiar sus notas. ¿Cómo lo conseguía? Fácil: cada vez que lo llamaban al despacho del director, se pasaba por la mesa de la secretaria… que guardaba una copia de la contraseña de acceso en un post-it bajo la mesa. Les sorprendería saber cuántas veces esta resulta ser la mejor vía de acceso a un sistema protegido por contraseñas.
El Reino Unido fue testigo de un ejemplo así, de la mano de nada menos que el Príncipe Guillermo, Duque de Cambridge y segundo en la línea de sucesión al trono de Inglaterra. En noviembre de 2012, su página web incluyó fotografías de su trabajo como teniente de vuelo en el Servicio Aéreo de Rescate de Gales, en la base de la RAF de Anglesey. Una de ellas muestra a Guillermo y un sonriente grupo de pilotos descansando; en la pared del fondo, una hoja de papel muestra los datos de acceso de un sistema militar, incluidos nombre de usuario y contraseña. Las imágenes fueron prontamente “saneadas,” pero no antes de que un reportero del diario The Guardian publicase la noticia[101].
Durante varios días, las imágenes oficiales resultaron inaccesibles (“debido a la demanda popular”), y cuando volvieron a ser visibles la hoja con la contraseña había sido modificada para que no revelase información confidencial[102]. Los diarios, por su parte, tuvieron la sensatez de borrar los datos confidenciales de la fotografía publicada. Según el periodista del Guardian, “me decepcionó descubrir que la contraseña era extremadamente obvia, fácil de adivinar y —francamente— un tanto diabólica”[103]. Por cierto, que no es la primera vez que se desvelan de esta forma contraseñas fotografiadas accidentalmente[104], ni tampoco la segunda[105]. Moraleja: si quiere mantener un secreto, comience por no dejar que lo fotografíen.