Control de acceso

Control de acceso a los sistemas

El uso cotidiano de las tecnologías de la información y las comunicaciones (TIC), se ha convertido en algo habitual para las personas, y a la par, con su uso se incorporan al lenguaje frecuente nuevos términos relacionados con ellas. Nuevas palabras van abriéndose paso, unas más rápido que otras, hasta llegar a imponerse definitivamente, y a resultar imprescindibles a la hora de hablar sobre determinados temas, o intentar alcanzar sobre estos cierta comprensión. 

Al día de hoy, es muy raro encontrar a alguien que no tenga una noción medianamente exacta del término password o contraseña, para referirse a la clave de acceso para disponer, en términos generales, de determinada información.

En una sociedad conectada, con cientos de millones de equipos enlazados a redes de datos, información descentralizada, voluminosa y variada, y sistemas multiusuarios concurrentes, la necesidad de controlar de alguna manera el acceso a la información se hace una necesidad evidente, donde el password o contraseña es imprescindible para muchos contextos.

Como regla, los mecanismos de control de acceso a los sistemas informáticos se componen de dos etapas vinculadas entre sí. Una primera etapa, llamada de identificación, y una segunda, conocida como autenticación. 

El proceso de identificación consiste en otorgarle a cada usuario legalmente reconocido, un código o nombre que lo identifica ante el sistema; este identificador puede ser, por ejemplo, su propio nombre o una derivación de él. Generalmente los nombres de usuarios son conocidos por otros usuarios, o sea, no tienen que ser secretos y, por supuesto, no pueden existir dos con el mismo identificador. 
La etapa de autenticación, consistente en utilizar algún método que le brinde al usuario la posibilidad de demostrar que es quien dice ser y no un usurpador. En los sistemas actuales se utilizan tres métodos para resolver este problema y se basan en algo que solo el usuario sabe, tiene o es.

El más sencillo de estos métodos y también el más empleado, pero menos seguro, es el primero. Se basa en algo que presumiblemente solo conoce el usuario y que se asocia con su identificador, por ejemplo, una contraseña. Evidentemente toda la efectividad de este método descansa en que ese “conocimiento” sea exclusivo de ese usuario.

Lo más común es la utilización de un conjunto de caracteres alfanuméricos (una cadena combinada de letras y dígitos) que se emplea cada vez que es necesario autentificarse. Si se quiere lograr una mayor seguridad, pueden emplearse las llamadas contraseñas “de una sola vez”, también conocidas como contraseñas desechables, que garantizan que en cada acceso sea utilizada una distinta, a partir de una lista previamente definida o algún dispositivo diseñado para su generación. 

El segundo método se basa en algún objeto que posee el usuario y nadie más que él, que demuestra su identidad; por ejemplo, una tarjeta inteligente o algún otro dispositivo que le garantice al sistema que quien lo está empleando es el usuario correcto. Al igual que en el método anterior su utilidad descansa en evitar que el medio de autenticación caiga en poder de otra persona.

En el tercer método se utiliza alguna característica física “única” del usuario para proceder a su autenticación. Por ejemplo, las huellas digitales, la configuración de la palma de la mano, patrones de la voz, patrones retinares, entre otros. Estas características suelen denominarse biométricas, son propias de cada individuo y por tanto lo diferencian del resto. Este método es más seguro, pero requiere un equipamiento que lo hace más costoso.

El empleo de uno de esos métodos se denomina autenticación simple y la combinación de dos o más de ellos autenticación reforzada o de dos factores

Así, en entornos en los que se requiere un mayor grado de seguridad es usual el empleo de alguna combinación de estos métodos, como es el caso de las tarjetas utilizadas para acceder a los cajeros automáticos o para adquirir combustible, que combinan algo que se tiene (la propia tarjeta) con algo que se sabe (el número de identificación personal o PIN). Si alguien logra hacerse de la tarjeta no podrá hacer nada pues le falta el PIN, e igual sucede si conoce el PIN, pero no tiene la tarjeta.

El uso de una simple contraseña no es la única vía de autenticación existente, ni tampoco la más segura. No obstante, teniendo en cuenta que en la práctica es la forma más utilizada, no es despreciable profundizar en las características que debe poseer una buena contraseña, cuáles no deben ser empleadas, cómo deben ser protegidas y cómo deben gestionarse correctamente.

Personas y contraseñas

Muchas personas consideran el empleo de contraseñas en los sistemas de gestión de información, como algo formal e intrascendente que se cumple, en última instancia, por una cuestión de disciplina; sin embargo, consideran completamente normal ponerle una cerradura a la puerta de la casa o la oficina, a la gaveta del buró o la taquilla, o bien un candado a la bicicleta. 

Esta forma de pensar es hasta cierto punto comprensible, a partir de que la relación entre humanos y las tecnologías es relativamente joven, y mientras que para muchos (ya sea un empresario o un desempleado, un profesor universitario o un analfabeto) son evidentes los riesgos derivados de una puerta sin llave, no todas las personas comprenden las implicaciones de un acceso no autorizado a un sistema de información.

Muchas de las personas que interactúan con las tecnologías, realizan elecciones de contraseñas típicas, que facilitan la acción de los intrusos. Una buena contraseña debe garantizar que solamente el propietario de la información pueda acceder a los datos y programas a los que tiene acceso.

Algunas de las malas decisiones al momento de elegir una contraseña de acceso a sistemas de información pueden ser:

  • No elegir contraseña, o continuar empleando la proporcionada por defecto por desarrolladores o fabricantes.
  • Utilizar información personal en la contraseña: nombre y apellidos del usuario, de familiares o conocidos, personajes de ficción o lugares frecuentados, fecha de nacimiento, números del DNI, teléfono o matrícula del auto, entre otros.
  • Emplear secuencias básicas de teclado (Ej.: “qwerty”, “asdf” o las típicas en numeración: “12345” o “09876”)
  • Escribir la contraseña en un papel o documento donde quede constancia de la misma, o guardarla en documentos de texto dentro del propio ordenador o dispositivo móvil (Ej.: guardar las contraseñas de las tarjetas de débito/crédito o las contraseñas de los correos en el móvil o el ordenador).
  • Utilizar palabras comunes y con sentido; lo que facilita que estén contenidas en un diccionario, y con ello que aplicaciones para descifrar contraseñas, que basan su ataque en probar una a una las palabras que extraen de diccionarios (de cualquier idioma), la puedan descifrar. Este método se conoce como “ataque por diccionario”.
  • Utilizar la misma contraseña siempre en todos los sistemas o servicios.
  • Enviar la contraseña por correo electrónico o en un SMS, o mencionarla en una conversación o comunicación de cualquier tipo.
  • Escribir las contraseñas en ordenadores en los que se desconoce su nivel de seguridad, y puedan estar monitoreados.

La razón de que estos tipos de contraseñas se utilicen con tanta frecuencia se explica por el denominado dilema de la contraseña: “Cuanto más fácil de recordar es una contraseña, más fácil es de adivinar, mientras que cuanto más difícil es de descubrir, más difícil es de recordar”.

La manifestación práctica de este dilema conduce por una parte a la tendencia de elegir contraseñas triviales que son blanco fácil de potenciales intrusos y, por la otra, que ante el empleo de contraseñas de una gran fortaleza, cambiadas con una frecuencia muy alta, se termine escribiendo la misma en un papel cerca del teclado debido a la dificultad de recordarla, anulando con ello la seguridad concebida.

Por ello lo más aconsejable es hacer corresponder estos dos parámetros (fortaleza y frecuencia de cambio) a la importancia de los bienes a proteger y a las potenciales amenazas en cada lugar, al tiempo que se apliquen medidas adecuadas para su protección. 

Es oportuno resaltar, que además de los riesgos vinculados con la pérdida o modificación de información valiosa, existe un problema de responsabilidad pues las acciones de esta forma cometidas por otra persona pueden ser imputadas al verdadero propietario, ya que por definición él es el único que conoce la contraseña.

Métodos para exponer contraseñas

Los métodos para descubrir las contraseñas de un usuario son variados. En primer lugar, se basan en la utilización de la “ingeniería social”, por ejemplo, utilizando el teléfono o un correo electrónico para engañar al usuario para que éste revele sus contraseñas.

Dentro de este grupo destaca el fraude conocido como “phishing”. En este tipo de estafa online el objetivo consiste en obtener las contraseñas o número de la tarjeta de un usuario, mediante un e-mail, SMS, o fax, que suplanta la personalidad de una entidad de confianza y donde se le insta al usuario que introduzca sus contraseñas de acceso. 

También es posible que el usuario se la comunique o ceda a un tercero y, por accidente o descuido, quede expuesta al delincuente, por ejemplo, al teclearla delante de otras personas.

Puede ser que el atacante conozca los hábitos del usuario y deduzca el sistema que éste tiene para crear contraseñas (por ejemplo, que elige personajes de su libro favorito, el nombre de algún familiar o el suyo propio) o que asigne la misma contraseña a varios servicios (correo electrónico, código PIN de las tarjetas de crédito o teléfono móvil, contraseña de usuario en su PC, entre otros). 

Otro método, consiste en que el atacante pruebe contraseñas sucesivas hasta encontrar la que accede al sistema, lo que comúnmente se conoce por “ataque de fuerza bruta”. Hoy en día un atacante, con un equipo informático potente, podría probar miles contraseñas por segundo, lo que significa que una contraseña de 6 caracteres y solo letras minúsculas tardaría muy poco tiempo en ser descubierta.

Igualmente, se aplican técnicas más sofisticadas para realizar la intrusión. Se trata de métodos avanzados que consiguen averiguar la contraseña cifrada atacándola con un programa informático (“crackeador”) que la descodifica y deja al descubierto. 

Un último grupo de técnicas se basan en la previa infección del equipo mediante código malicioso: con programas “sniffer” o “keylogger”.

Un programa “sniffer” o “monitor de red” espía las comunicaciones del ordenador que tiene residente dicho malware, a través de la red, y de ellas obtiene los datos de las claves. 

El “keylogger” o “capturador de pulsaciones de teclado” es un programa que se instala en el ordenador del usuario de modo fraudulento, y almacena en un archivo toda aquella información que se teclea en el ordenador; más adelante dicho archivo puede ser enviado al atacante sin conocimiento ni consentimiento del usuario y, con ello, el intruso puede obtener las distintas contraseñas que el usuario ha utilizado en el acceso a los servicios online o que ha podido incluir en correos electrónicos.

Recomendaciones para contraseñas seguras

Para gestionar correctamente la seguridad de las contraseñas, se recomienda a los usuarios, de forma general, tener en cuenta algunas pautas para la creación y establecimiento de contraseñas seguras:

  • Se deben utilizar al menos 8 caracteres para crear la contraseña.
  • Elegir contraseñas que no sean palabras (incluso en otro idioma), o nombres (especialmente el del usuario, personajes de ficción, miembros de la familia, mascota, marca del auto o matrícula, fecha o lugar de nacimiento, teléfono, DNI, entre otros).
  • Se recomienda utilizar en una misma contraseña letras mayúsculas y minúsculas, números, y símbolos de caracteres especiales como: ! » # $ % & ‘ ( ) * + , – . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
  • Es recomendable que las letras alternen aleatoriamente mayúsculas y minúsculas, recordando siempre cuales serán de un tipo y de otro.
  • Las contraseñas deben ser cambiarlas con una cierta regularidad, y a la vez, procurar no generar reglas secuenciales de cambio, evitando con ello que la nueva contraseña sea un incremento de un valor numérico de la anterior (Ej.: pasar de “JuitnX01” a “JuitnX02”). 
  • Elegir contraseñas diferentes en sistemas o servicios diferentes.

Existen algunos trucos para plantear una contraseña que no sea débil y se pueda recordar más fácilmente: se pueden combinar palabras sin sentido pero que sean pronunciables, o simplemente elegir la primera letra de cada una de las palabras que componen una frase conocida, y con ello, es más sencillo recordarla.   

Una expresión muy conocida resume algunas de las reglas básicas de uso para una clave de acceso segura: “Una contraseña debe ser como un cepillo de dientes: se usa cada día, se cambia regularmente, y no se comparte con nadie”.