"The age of the password is over. We just haven’t realized it yet"[i].
Mat Honan - Wired, 11/2012
En el principio ...
Diciendo las palabras entrecomilladas que forman parte del título de este artículo, se abría la puerta de la cueva donde los ladrones del cuento "Alí Babá y los 40 ladrones" guardaban su botín. Creían que esta contraseña era segura dado que sólo la conocían ellos, craso error, no pensaron que alguien los estuviera espiando y la escuchara, con lo cual, como no la cambiaban después de su uso, esa persona -Alí Babá- podía franquear la entrada cuando quisiera y apoderarse de parte del botín.
Las contraseñas son tan viejas como la civilización y al mismo tiempo siempre ha habido personas dispuestas a hacerse con ellas o, en el caso digital, a "crakearlas". Por una parte, éstas se colocan con el fin de proteger un bien de la vista o acceso público, y así prevenir un daño que la revelación o el robo pudiera causar al bien en sí, a una organización o a las personas; y por otra, los atacantes quieren obtener algún beneficio que el acceso a ese bien les proporcione, normalmente en contra de los intereses de los atacados.
Cuando se llegó al mundo de los ordenadores y se quiso controlar el acceso a estos, se crearon unas pequeñas aplicaciones de acceso para capturar una identificación de usuario (UserID) que quería entrar y una contraseña asociada, la cual validaba al usuario, a diferencia del caso del cuento, en el que la contraseña era la llave de la puerta, independientemente de quién la tuviera.
Uno de los primeros ordenadores con control de acceso fue, allá por 1961, el "Compatible Time-Sharing System" del MIT, usando un login -usuario y contraseña, que conformaban un proceso de autenticación- con el fin de repartir y controlar el tiempo de uso del mismo. Sin embargo, en 1962 un estudiante de doctorado llamado Allan Scherr quiso conseguir más tiempo del autorizado, para lo cual engañó al login con un simple ataque -hack-: localizó el fichero que contenía las contraseñas y las imprimió, con lo que consiguió tanto tiempo como deseara.
... Y llegó internet
En el caso de la ciberseguridad, lo que se quiere proteger es la información, entendida esta tanto como el código que define lo que la máquina puede hacer como los datos que residen en ellas o que están en tránsito por redes y otros elementos que intervienen en las comunicaciones, así como la identidad de todo ello: tipo de máquina, sistema operativo y su versión, protocolo, etc. Para ello se instrumentan controles de acceso a las máquinas y redes, inspecciones de lo que circula por ellas, y, como los sistemas son vulnerables en mayor o menor grado, se cifra toda la información -o sería conveniente hacerlo-.
En su inicio las redes de ordenadores de las empresas eran privadas y sin acceso desde el exterior. Para buscar los usuarios y contraseñas de acceso, había que hacerlo desde dentro.
En los primeros años de desarrollo de la web, eran pocas las aplicaciones que estaban en la nube, una de las cuales fue el correo electrónico. Para el acceso se tenía un usuario -la propia dirección de correo- y una contraseña, usuario que serviría más adelante a otras aplicaciones, y práctica que se conserva en muchos casos, haciendo crecer la vulnerabilidad de la información: con un único usuario -y quizás la misma contraseña del correo- se accede a más sitios.
Un ejemplo sería el uso en las redes sociales del correo corporativo, susceptible al envío de phising a los empleados a través de las mismas, indetectable por los antivirus de correo, y creando un vector de ataque para desplegar malware, tal y como contaba Yelena Osin el pasado julio de 2015 [ii] sobre el ataque sufrido por W.W.Grainger, proveedor industrial de EEUU.
Con la generalización del uso de Internet, no sólo se tenía acceso al correo, también al banco, a la Administración del Estado, a diversas tiendas para realizar compras, a las redes sociales, y así un largo etcétera, y los tipos de dispositivos desde los cuales se podía acceder también se multiplicaron y se hicieron móviles, siendo utilizados profusamente para la vida cotidiana.
En cuanto a las empresas, en lugar de conectar sus ordenadores vía redes privadas, se conectaron vía Internet, facilitando la entrada desde el exterior de la organización. A esto hay que añadir que, al igual que en el ámbito privado, el terminal desde el cual se accedía a las aplicaciones y datos de la empresa también se hizo móvil y ya no estaba encuadrado dentro de unas paredes, pudiendo estar siempre conectados desde cualquier sitio y en cualquier momento. Los límites de la empresa dejaron de ser físicos, como eran las puertas, pudiendo ahora servir de 'puerta' cualquier dispositivo que tuviera una conexión a la empresa, no necesariamente por cable.
Con todo esto, el número de ataques a los sistemas aumentó, tanto por la facilidad de acceso como porque lo que se podía encontrar buceando por dispositivos y redes también devolvía más réditos.
Las intenciones de aquellos que entraban sin permiso cambiaron. Lo que al principio eran meros ataques con la intención de curiosear, de hacerse para uso propio con algún material para, como en el caso de Allan Scherr, obtener un beneficio personal, se transformó en delitos organizados de robos de información para terceros, robo de dinero, daños a instalaciones, y todo un glosario de delitos cuya novedad principal era -y es- la forma de llevarlos a cabo, desde cualquier sitio del planeta, sentado tranquilamente en una habitación, realizado de forma anónima en la medida de lo posible -en internet todo deja rastro-, y desde países distintos del del objetivo del ataque, dificultando con ello su persecución -Internet es global pero las leyes son locales.
Según un informe de Symantec publicado en abril del 2014, en el año 2012 se produjeron 156 violaciones de seguridad con 93 millones de identidades divulgadas, en el año 2013 el número aument hasta 253 -62% más- con 552 millones de identidades divulgadas -493 % más-.
Las violaciones de seguridad en las empresas en el 2014 aumentaron un 46% con respecto al 2013, según Gemalto en su "Breach Level Index 2014". Éstas ocasionan pérdidas monetarias, robo o destrucción de datos y daños a la imagen de la empresa, por citar algunas consecuencias no deseadas. Según un informe de "Kaspersky Lab" de septiembre de 2015, la media del presupuesto requerido para recobrarse de uno de estos incidentes de seguridad es de 551.000 $ para empresas grandes, y para pequeñas y medianas empresas es de 38.000 $.
Las contraseñas se fortifican: ¿y sirve de algo?
A pesar de que el sistema de contraseñas parecía ser un poco débil, no se ha abandonado esta forma de control de acceso nacido en una época antes de Internet, más bien se ha querido reforzar con las llamadas "contraseñas fuertes", contraseñas de al menos 8 caracteres sin significado, combinando letras, números y símbolos tipográficos, mayúsculas y minúsculas.
Pero tanto débiles como fuertes, las maneras de obtener ilícitamente dichas contraseñas se han revelado bastantes efectivas. Entre ellas podemos citar: la fuerza bruta -ir probando contraseñas extraídas de los llamados diccionarios o listas de las mismas recopiladas a través de los años-; los programas keylogger -recogen códigos de las teclas pulsadas-; el uso de los procesos habilitados para, en caso de olvido, poder dar de alta una contraseña sin conocer la anterior, utilizados por los atacantes, que, suplantando al propietario del "UserID", consiguen unas nuevas credenciales asociadas al usuario; o los ataques de phising.
Es cierto que las empresas han adoptado la medida de seguridad de cifrar las contraseñas, sin embargo millones de hashes -contraseñas cifradas- más o menos crakeables, se descargan en los ataques a empresas como Linkedin, Yahoo, eHarmony o Ashley Madison y, los "buenos" las publican, los "malos" las venden, con lo que la práctica de reutilizar usuarios y contraseñas para distintos sitios de la web no es nada recomendable.
¡Ay! Somos humanos y lo de recordar largas contraseñas que no respondan a patrones, que no signifiquen nada, que mezclen distintos tipos de caracteres en mayúsculas y minúsculas, y, además distintas para cada sitio al cual se acceda, y además tener que cambiarlas periódicamente, es una tarea poco menos que imposible.
Para poder cargar con esta pesada carga se han creado programas de gestión de contraseñas, los cuales se supone que con una sola que conozcamos que nos permita ejecutar dicho programa para editar las demás, éstas permanecerán, cifradas, a buen recaudo. Claro, que esto tiene el peligro de que al "poner todos los huevos en la misma cesta", si se rompe la cesta nos quedamos sin nada. Esto es lo que le pasó al gestor de contraseñas "LastPass", en el que el pasado 15 de junio de 2015 la empresa que lo administra detectó una intrusión en sus servidores. Aunque parece que se consiguió mantener en secreto las contraseñas de los usuarios, se filtraron detalles importantes como direcciones de correos de usuarios y correos recordando contraseñas olvidadas.
El sistema de contraseña, que se ha visto ineficaz, se basa en el factor de autenticación de lo que el usuario sabe. Pero hay otros factores de autenticación como "lo que se posee", un token, por ejemplo, que no hay que recordar nada pero se puede perder o se puede robar; o "lo que se es", es decir, la autenticación biométrica, aunque ésta, más que constituir una contraseña es más bien el UserID; o incluso "lo que se hace", llamado factor de comportamiento.
La autenticación biométrica: ¿tendremos que "resetearnos"?
Aparentemente el factor de autenticación por "lo que se es" tiene muchas ventajas ya que no hay que llevar nada adicional encima con lo que no se puede perder ni nos lo pueden robar -ya veremos-, no hay que recordar nada con lo que no se puede olvidar, y no se puede repudiar una acción que se haya realizado ya que es algo que nos define físicamente de forma única, y es muy difícil de falsificar.
Sin embargo, los sistemas biométricos no son perfectos y se caracterizan por unas tasas de falsos positivos o FAR (False Accept Rate), que indican la frecuencia de reconocimiento de un usuario cuando no debería serlo, y de falsos negativos o FRR (False Reject Rate), que indican la frecuencia de no reconocimiento del usuario, cuando debería haberlo sido. Según la Agencia de Seguridad Nacional de EEUU, la NSA, la mayoría de los sistemas biométricos declaran un FAR que está en un rango de 1 entre 10.000 a 1 entre 1.000.000. Esto no pasa con las contraseñas habituales.
Por otro lado, todo tiene dos caras, y las características que en principio pueden suponer una ventaja, por su propia definición también pueden suponer una desventaja.
Pongamos como ejemplo el atributo de que nos definen "de forma única", el cual, por definición, se puede considerar como una invasión de la privacidad y crear resistencia a la cesión de dicha información, ya que las características biométricas que se vayan a utilizar de cara a una autenticación hay que digitalizarlas y almacenarlas en un servidor, lo que conduce a otra desventaja, que paso a explicar.
Apunté anteriormente que las características biométricas no se podían robar, a lo que habría que añadir no se puede robar el objeto físico, como un dedo, en el caso de la huella dactilar o el iris del ojo; pero después de que dichas características estén digitalizadas, ya tienen la misma vulnerabilidad que cualquier otro dato virtual en una máquina, como tal susceptible de ser hackeada. No nos roban el iris del ojo pero sí sus características en forma de ceros y unos, que, para el caso, es lo mismo ya que es precisamente esto lo que interesa a la máquina que verifica la identidad del usuario.
Llegados a este punto y volviendo al hecho de que son una característica física, suponen una clara desventaja frente a las contraseñas o los token ya estos se pueden resetear si se roban o revelan, pero con aquellas no es posible hacer esto sin pasar por la mutilación.
En el "Black Hat" de Amsterdam del año 2008, Matthew Lewis, un investigador de seguridad británico, realizó una demostración de un sistema -un biologger- para interceptar datos de autenticación biométricos que el scanner enviaba al servidor de procesamiento. Matthew puso de relieve la importancia de que los datos enviados deberían estar cifrados, cosa que, según él en ese momento -año 2008- la mayoría de los sistemas biométricos no cumplían.
Sin llegar a sofisticaciones ni herramientas especiales, un elemento biométrico fácil de copiar son las huellas dactilares ya que continuamente estamos tocando cosas donde se quedan las huellas como una mancha y se pueden obtener de ahí, sin enterarse el propietario de las mismas. Al fin y al cabo eso es lo que la policía científica viene haciendo en la escena del delito, desde tiempos de Sherlock Holmes.
Por consiguiente, se puede concluir, que la teórica seguridad de este tipo de autenticación no lo es tanto.
El último factor : Lo que se hace, el comportamiento
Realmente lo que hacemos responde a unos patrones, patrones que aprovechan muy bien los departamentos de marketing para inundarnos con información de cosas que nos pueden gustar o amigos que podríamos hacer, o dependiendo de nuestros gustos y de dónde nos encontremos, lo que podemos hacer y visitar.
Estos patrones se podrían aprovechar para verificar nuestra identidad, para en caso de encontrar inconsistencias, solicitar algún dato más. Para ello se necesitaría un sistema que hiciera uso de lo que la nube ya tiene acerca de nosotros, qué sistema estamos utilizando, desde qué servidor, quienes somos, con quién hablamos, dónde vamos y qué hacemos ahí, de qué somos propietarios y qué nos gusta, lo que decimos, cómo lo decimos y nuestro tono de voz, y hasta cómo pensamos [iii].
¡Uff! ¿Hasta qué punto queremos ceder nuestra privacidad -si es que no lo hemos hecho ya- para conseguir en teoría, más seguridad?
El sistema de múltiple autenticación
Como todas por separado tienen más o menos debilidades, se están implantando nuevas formas de autenticación basadas en la combinación de al menos dos claves de distintos factores, llamado el sistema de doble autenticación. Un ejemplo de esto sería cuando después de autenticarnos con un usuario y contraseña al uso (lo que sabemos), nos envían al móvil (lo que tenemos) un código para confirmar una operación; otro ejemplo sería la propia tarjeta de crédito, que sería lo que tenemos, y el PIN, lo que sabemos.
Especulando un poco y viendo los avances en Inteligencia Artificial, es posible que en un futuro cercano las máquinas nos reconozcan de manera análoga a como nosotros reconocemos a otras personas, simplemente con presentarnos y tendiendo una mano, con lo que somos y con lo que hacemos, confiando en que también habrán aprendido a tomar medidas de seguridad para no dejarse "hackear".
* *
La ciberseguridad en la cumbre
De lo que hay que ser conscientes es de que la seguridad nunca está garantizada al 100%. En cada organización, alineados con la política de riesgos y la política de seguridad definidas, tendrán que existir unos umbrales de aceptación de falta de seguridad, de lo que pueda suponer de freno al negocio por lo que pueda constreñir, o de cambio de costumbres, según el activo, y establecer cuánto dinero se está dispuesto a gastar en su protección.
Estos límites y normas relacionados con los riesgos en el uso de las TI son responsabilidad, en última instancia del órgano de gobierno de cada organización y debería formar parte de la agenda de dicho órgano de gobierno. Según la Organización Internacional de Normalización (ISO, International Organization for Standardization), el Gobierno Corporativo de las TI es “el sistema mediante el cual se dirige y controla el uso actual y futuro de las TI. [...] ... y es un subconjunto del gobierno de la organización o del gobierno corporativo.”[iv].
Del 20 al 23 de enero se ha celebrado la reunión del Foro de Davos y que, de acuerdo con Fortune y la propia página del "Word Economic Forum", este año han dominado los temas tecnológicos frente a los bancarios de otras convocatorias, concretamente el de la Industria 4.0 y el de la ciberseguridad. Con esto parece que la tecnología va a estar muy presente a partir de ahora en los consejos de administración. !Por fin¡
* * *
Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", marzo-2016, nº 309, pg.82, Ciberseguridad – "El «Ábrete sésamo» digital" – María José de la Calle.
-------------------------
[i] "La era de la contraseña ha terminado. Solo que aún no nos hemos dado cuenta de ello". Honan, Mat (11-15-2012) "Kill the Password: A String of Characters Won’t Protect You", Ed. Wired. url [a 02-02-2016] http://www.wired.com/2012/11/ff-mat-honan-password-hacker/
[ii] Osin, Yelena (07-15-2015) "The Problem With Corporate Email Addresses on Social Networks". blog SecuryScorecard. url [a 02- 02-2016] http://blog.securityscorecard.com/2015/07/17/grainger-breach-social-engineering/?utm_content=17987083&utm_medium=social&utm_source=twitter
[iii] Honan, Mat (11-15-2012) "Kill the Password: A String of Characters Won’t Protect You", Ed. Wired. url [a 02-02-2016] http://www.wired.com/2012/11/ff-mat-honan-password-hacker/
[iv] "ISO/IEC 38500:2015 applies to the governance of the organization's current and future use of IT including management processes and decisions related to the current and future use of IT. [...] ... defines the governance of IT as a subset or domain of organizational governance, or in the case of a corporation, corporate governance." url [a 02-02-2016]: http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=62816
