El dolor de cabeza de poner una clave

-
Tiempo de lectura: 9 minutos
Para todos ingresar al portal de un banco y que nos pida cambiar la clave es una labor tediosa, nos da pereza y hasta estrés.
Y bueno, no es para menos, la complejidad de cada portal bancario es diferente y en ocasiones cambio sin previo aviso.
Además, ya es toda una lata este tema de las claves porque debemos recordar muchas de diversos portales y sitios que son diferentes en su importancia y formación a la del banco.
Se dice que una persona promedio podría estar administrando al menos cinco claves de uso personal, vamos a ver: una clave del  banco, una clave del correo, una clave para la red social, la clave del teléfono y la clave del portal de películas. ¿Cinco claves es el mínimo?  creo que estoy siendo muy reservado, porque en realidad se llega a más, veamos un poco más desglosado:
  1. Tu dinero: dos bancos donde te pagan y dónde tenés deudas o ahorros.
  2. Tu vida social digital: tres redes sociales al menos, típicamente son Facebook, Twitter e Instagram. Pero no podemos olvidar otras como LinkedIn.
  3. Tus comunicaciones: ahora bien tenemos al menos dos cuentas de correo, la personal y la del trabajo. También somos usuarios de Skype o algo para videoconferencia y/o llamadas por la red como Zoom, Webex o Jitsi.
  4. Tus dispositivos: luego le ponemos clave o seguridad al teléfono celular y por supuesto a las aplicaciones como de mesnajería como   Signal, Telegram y WhatsApp. Pero también se tiene tabletas, relojes o lectores digitales... Y apenas vamos por el punto 4 de 9.
  5. Tus archivos en la “nube”: si, la cosa sigue, allí tenemos por ejemplo DropBox, Google Drive y demás soluciones como la de Microsoft o un servicio de Nextcloud.
  6. Tus compras en línea: Para las compras, normalmente se tiene un usuario en Amazon, Wish y Alibaba además claro de un casillero o mecanismo de importación, esto para las internacionales. Pero con la pandemia, las compras en línea local aumentaron drásticamente, por ejemplo ahora tenemos usuario en PriceSmart, MasxMenos, MaxiPali, Walmart, automercado... sólo por mencionar los almacenes y no otros locales.
  7. El entretenimiento: Vamos con el kit de entretenimiento donde existe Netflix, HBO, AmazonPrime, Disney+ y Spotify, Deezer o iTunes y hay otros muchos otros, sin descartar otros tipos de entretenimiento como juegos en línea y vainas así.
  8. Redes: La red WiFi de la casa, del vecino, de los suegros, hermanos y el trabajo, ahh  y la soda/restaurante donde vamos en ocaciones a reunirnos.
  9. El trabajo: Esa es una nebulosa increíble ya que depende de la organización, sus plataformas y tu rol, pero pensemos por un momento que sólo es una clave más. Sólo una.
¿Cuantas tenés entonces?

Tremenda labor de tratar de equilibrar y equiparar las contraseñas, es una tarea titánica.
Por eso es que algunas de las aplicaciones permiten que te autentiques a partir de otra, es decir, utilices el usuario y clave de otros portales o aplicaciones típicamente los de Facebook y Google; con esto nos ahorramos algunas claves pero cuando cambiamos esta "clave maestra" se desata un caos en nuestra "cibervida" y los dispositivos. Sin profundizar en los riesgos que esto implica.

Y atención, no he mencionado los controles de dos pasos para asegurar alguno de esos sitios o aplicaciones, esos que te envían un código a tu teléfono o correo electrónico. Caos... Caos... Y más aún si estas fuera del país ya que el número de teléfono no te sirve de nada como segundo factor.

La seguridad por la propia seguridad no tiene sentido cuando te deja fuera.

https://commons.wikimedia.org/wiki/File:Old_chain.jpg
Tomado de https://commons.wikimedia.org/wiki/File:Old_chain.jpg

En medio de este caos podrian surgir malas prácticas y/o preocupaciones, y bueno, pero no todo es achacable a cantidad de plataformas y sus pasos de seguridad o algunas estratégias que utilizan como ya famosa pregunta de “No soy un robot”; a todo esto se le suman  las malas costumbres nuestras y  la variabilidad de requisitos para cada clave que debemos colocar, allí es donde usualmente tratamos de tener sólo una clave para todo o simplemnete apuntamos las claves debajo del adorno que está al lado del monitor (lo he visto, lo juro).

Esto es todo un dolor de cabeza para los intendentes de seguridad en las organizaciones ya que estas costumbres las llevamos al trabajo colocando en riesgo a toda la organización, ya que "una cadena es tan fuerte como su eslabón más débil" en este caso tus malas constumbres y falta de malicia pueden traer abajo millones invertidos por la organización donde trabajas o puede ser algo más personal como dejarte con las cuentas bancarias vacias. 

 Con este escenario hacemos algunas de las siguientes cosas:
  1. Usamos la misma clave en todo lado.
  2. La estrategia favorita de muchas personas, anotamos las claves y usuarios. He visto esto, en muchas ocasiones, un papelito con la clave al costado del monitor o pegado debajo de un adorno.
  3. Utilizamos el nombre de la esposa o esposo. Combinaciones... Los hijos son una gran opción siempre.
  4. Y si, la base de la clave son datos personales como fechas de nacimiento, matrimonio, nombre de los hijos, marido y todas las posibles variantes relacionadas a lo que marcó o ama el usuario. El nombre del hotel de un paseo romántico idílico en tu vida por ejemplo "barceloplayatambor" o bien el año de matrimonio “2016mayo15” pero también los nombres de tus hijos “ricardojavierclaudia” o simplemente un consecutivo “clavenueva2018”.
  5. No podemos olvidar las claves numéricas como las cédulas o teléfonos... todas accesibles para los extraños. Ahhh y los nombres de las mascotas como “lagatitaolga”.
  6. Tenemos las claves muy parecidas pero la diferencia son las siglas del servicio, portal o aplicación. Hay variantes de esto pero con la misma esencia, algo como la opción 1 pero más "sofis" como por ejemplo "barceloplayatambor.fb" o "clavenueva2018.correo". Este tipo de claves tienen un nivel de sofisticación más alto, pero son usuales y funcionan hasta cierto punto.
  7. Para los más laboriosos y hartos de intentarlo se inventan palabras como “gorripepo”, “jesusiluminameconesto” o “cualquiervara” como base para sus claves. Y acá también se incorporan malas palabras producto de la frustración y enojo hacia las plataformas. También lo  he visto.

Cualquiera de las situaciones anteriores nos genera problemas, frustración y confusión en el tiempo, si no creamos nuestro sistema para este capítulo ineludible en nuestra vida moderna, la vamos a pasar mal cuando más nos urge alguna transacción o urgencia de ver el nuevo capítulo de la serie en curso.

La pregunta entonces es ¿Qué hacemos para no llegar a ese caos? ¿qué hacemos para no utilizar las dos claves más comunes tal como lo son “Password” o “qwerty”?

Una buena alternativa es crear un sistema de claves para nuestros servicios no básicos o momentos de alguna transición ya que no tenemos un gestor de claves a mano o algo así.

 Le recomiendo utilizar una canción, por ejemplo:

Con mi burrito sabanero voy camino de Belén

Esto se puede convertir fácilmente en las siguientes opciones:
  1. cmbsvcdb - Es decir: con mi burrito sabanero voy camino de belén
  2. CmbsvcdB - Es decir: Con mi burrito sabanero voy camino de Belén
  3. cmbsvcdB - Es decir: con mi burrito sabanero voy camino de Belén
  4. Cmbsvcdb - Es decir: Con mi burrito sabanero voy camino de belén
Notese los pequeños cambios al utilizar letras mayúsculas.

Una de las cosas buenas de este método es que sólo el que lo define puede encontrarle lógica fácilmente y cumple con la regla de oro en seguridad que indica que las claves no deben poder pronunciarse. Por lo que eliminamos las vocales.
Pero, ¿qué pasa con las vocales si son parte fundamental de la estratégia? Veamos este otro ejemplo:

Dale a tu cuerpo alegría Macarena

Esto se puede convertir fácilmente en, varias de las siguientes opciones:
  1. DatcaM -  Es decir: Dale a tu cuerpo alegría Macarena
  2. datcam -  Es decir: dale a tu cuerpo alegría macarena
  3. Datcam -  Es decir: Dale a tu cuerpo alegría macarena
  4. datcaM -  Es decir: dale a tu cuerpo alegría Macarena
De igual forma, el "jugar" con las letras mayúsculas y minúsculas nos ayuda mucho en subir el nivel de seguridad, ya que para el sistema son claves diferentes. Sin embargo, hay vocales y se podria pronunciar algo... Mejor evitarlo, para esto se puede sugerir el reemplazo de las vocales por números, una sugerencia es hacerlo de la siguiente forma:
  1. D1tc1M -  Es decir: Dale a tu cuerpo alegría Macarena
  2. d4tc4m -  Es decir: dale a tu cuerpo alegría macarena
Como vió, en un caso se reemplazó con el número uno (1) y en otro con el cuatro (4) ¿Cómo?:
  • En el primer caso por posición, a decir: a =1, e= 2, i= 3, o=4, u=5
  • En el segundo caso por algún grado de similitud entre la letra y el número, como se muestra acá: a=4, e=3, i=1, o=0, u=5
Ese orden pareado de números y vocales también lo puede definir usted. Así el resultado es más personal.

Además, podríamos agregar varios signos de puntuación, por ejemplo !.@$, el resultado es mucho más robusto en términos de seguridad. Por ejemplo:
  1. D4tc4M$@!
  2. CmbsvcdB.!@
Esto donde $@! o .!@  añaden lógitud a la clave sumando complejidad pero con símbolos se incrementa aún más la complejidad. La situación engorrosa es que no todos los servicios aceptan símbolos, de allí tener cuidado.

Ahora bien, si podemos crear estas claves un poco más largas, como dos estrofas de una canción la clave será mucho más robusta y difícil de "romper" o incluso adivinar. Esto eleva la seguridad, pero atención, esto dependerá también de nuestras costumbres de conectividad ya que no sería la primera vez que alguien con una buena clave es víctima de un ataque por utilizar un computador o una red no segura, lo he visto incluso en profesionales de las TIC con mucha experiencia.

La solución es tener una receta buena. Pero ser muy malicioso con donde las usamos y desde donde nos conectamos.

Es claro que el tema no es sólo la técnica entonces o de la composición más la longitud de la clave, si no, que también desde donde te conectas hacia Internet representa un riesgo (Este punto lo abordaré en otro momento). El mayor riesgo es la costumbre, volvemos la caso del "adorno - papelito", si, ese sitio que resguarda la claves, allí el cómo y dónde guardas las claves cobra valor.

Existen aplicaciones que guardan en una pequeña base de datos las claves, y las cifran, es decir una especie de encriptación básica y suficiente para que no sea fácil de abrir por otra persona o sistema convencional; de este modo sólo nos es importante recordar una clave, la que precisamente abre la base de datos. Ya que allí tenemos todas las demás guardadas y las podemos utilizar copiandolas. Un ejemplo clásico es el software KeePassX (https://www.keepassx.org/downloads). Recomiendo buscar otras alternativas y leer sobre sus características. 

Entonces, se podría tener este software, gestor de claves, con la base de datos en nuestro computador de uso exclusivo y personal además de una copia en nuestro celular la mismo tiempo sincronizando la base de datos en tiempo real con alguna solución "nube".
El KeePassX y sus homólogos, tienen además la facilidad de generar llaves de seguridad lo cual nos garatiza el cifrado de la base de datos, ya que sin esa llave y una clave no se puede abrir. Es decir, con una clave y una llave podemos acceder a la base de datos, esto simplifica mucho la vida ya que no debemos perder tiempo en pensar una clave en específico cuando se requiere cambiar. Más si respaldar y guardar bien la base de datos. Es decir, se atiende un riesgo, pero siempre hay que estar atentos.

Este texto fue un acercamiento al tema de las claves, las cuales son el eslabón más sensible y posiblemente débil de la seguridad digital personal y de una organización. Hay que cuidarlas y sobre todo cuidarnos de donde las aplicamos, es decir, desde cuál red, cuál computador o dispositivo y sobre qué aplicación estamos brindando permisos de acceso.

En la organización donde laboro, el Centro de Informática de la UCR, existe un grupo que está trabajando poco a poco en la comunicación y formalización de consejos de seguridad en las TIC, les recomiendo leer de acá https://ci.ucr.ac.cr/ciberseguridad  e iniciarse en las buenas costumbres TIC para esta vida moderna donde no debemos tomarnos los temas de seguridad y privacidad a la ligera. Más aún hoy que la pandemia nos empujo de lleno a la llamada transformación digital o cuarta revolución.

Lea, busqué y defina su norte en estos temas.

Comentarios

Publicar un comentario

Hola,
Gracias por comentar, le agradezco establecer una comunicación respetuosa y con datos, conceptos e información veraz que se pueda corroborar, en todo caso compartir las ideas y el conocimiento desde las fuentes.

Entradas más populares de este blog

DNS seguro ¿Qué es? ¿Pa´que sirve?

-
Imagen
Lectura 10 minutos. Protegiendo tu red en el hogar En el mundo digital, la seguridad y la privacidad son aspectos fundamentales no solo para las empresas, sino para el hogar.  En la navegación por internet,  normalmente confiamos en los sitios web que visitamos son legítimos y que nuestra información personal está protegida. Sin embargo, no es así. Los hackers maliciosos y los sitios web infectados están en constante evolución, buscando nuevas formas de infiltrarse y obtener nuestros datos. Pero entonces, ¿Cómo nos protegemos? Se requieren varias herramientas, donde los filtros en la navegación se vuelen indispensables, como los DNS seguros. ¿Qué son los DNS seguros? Primero, debemos conocer que los DNS (Domain Name System) o servidores de nombres, son como los  « directorios o lista de contactos telefónicos »  para la navegación en internet; entonces c uando se escribe un nombre de dominio en el navegador, como  « https://sitioweb.com/ » ,   el comput...
Leer más

Bulos y las mentiras que compartimos

-
Imagen
Tiempo de lectura: 13 minutos El primero que recuerdo con gran cariño, si uno puede encariñarse con una mentira, es el famoso y también olvidado " Gato Bonsai " si como dicen ahora: Old... Muy old. Para ese momento no existían redes sociales, lo "social" eran las páginas web de noticias, los foros, los sitios de chat, el difunto Messenger de Microsoft y uno que otro sitio que llamaríamos hoy blog, pero el "rey" de la socialización en la época era el correo electrónico; a él llegaban las pesadas y virulentas presentaciones de Power Point que nos hacían perder horas de horas en descargarlas como en verlas... muchos eran los temas, tales como la amistad, chistes de suegras, fotos de playas paradisíacas y por supuesto también con gatitos, y a través del correo electrónico también se iniciaron las cadenas de oración y maldición. Habló de los años 2000's, desde esa época tengo una herencia sin reclamar y un señor africano me pide dinero para enviarme una fo...
Leer más

Privacidad Digital, investigación base desde mi labor en la UCR.

-
Imagen
Tiempo de lectura: 1 minuto. Como parte de las labores desarrolladas en el Área de Investigación y Desarrollo del Centro de Informática, UCR, se generó una serie de exposiciones a partir de investigaciones de temas considerados como vitales, críticos y/o innovadores. En mi caso en el primer track de investigaciones, seleccioné el tema de privacidad digital, el cual me es esencial en el contexto universitario, país e internacional. Hay mucho que leer, discutir ya que las aristas de abordaje son importantes, por ejemplo: privacidad de datos infantiles, bancarios, políticos... ¿Qué pasa con la legislación nacional? ¿Qué hay de esto en la DeepWeb? En fin, son muchos los posibles puntos de abordaje. Así que esta presentación pretende acercarse un poco al tema desde algunas perspectivas con el objetivo de sensibilizar así como dar a conocer el contexto normativo nacional. Acá la presentación de Privacidad Digital realizada, así como los vínculos del material utilizado. Es una prese...
Leer más