Cuando los hackers se infiltraron en los servidores de Sony Pictures en junio, llamaron la atención sobre uno de los problemas de seguridad más extendidos en Internet: las contraseñas. Después de descubrir que un millón de contraseñas de usuarios de tres sitios de Sony estaban almacenadas sin cifrado, los intrusos las publicaron en línea para que cualquiera pudiese verlas.

El investigador de seguridad Troy Hunt estudió minuciosamente el archivo y encontró que la mitad de las contraseñas podían considerarse débiles, puesto que poseían un bajo grado de aleatoriedad: sólo había letras en minúscula, sólo letras en mayúsculas, o sólo números. Más de un tercio de las contraseñas se podrían haber encontrado en el diccionario y adivinado fácilmente por un averiguador de contraseñas: una herramienta que rápidamente trata diferentes combinaciones de palabras secretas. La mitad de las claves eran de siete caracteres o menos. Por último, el investigador encontró 90 cuentas de correo electrónico que también habían aparecido en otro archivo de contraseñas filtrado, de Gawker.com, y descubrió que cerca de dos tercios de los usuarios tenían la misma contraseña en ambos sitios. "Esto me indica que el hecho de que la gente use la misma contraseña en sus cuentas es una práctica normal", señala Hunt, arquitecto de software dedicado al estudio de la seguridad.

Internet se basa en contraseñas, y cada persona suele tener docenas de cuentas que las requieren. Sin embargo, tal y como revelan los episodios de Sony y Gawker, la gente suele utilizar claves fáciles de adivinar o forzar, y luego las repiten en varios sitios. Eso es mejor que tratar de recordar decenas de cadenas de caracteres complejos. Y sin embargo, los investigadores que estudian las contraseñas están igual de perdidos.

"Realmente me gustaría que existiese una lista simple, preceptiva, constructiva y específica de dos o tres cosas que los usuarios pudieran hacer", afirma Cormac Herley, experto en informática en Microsoft Research. "Desafortunadamente, no creo que ni yo ni nadie tengamos esa lista ahora mismo. Durante los últimos 10 años, mucha gente dentro del campo de la seguridad ha estado asumiendo que las contraseñas desaparecerían. Sin embargo, ha pasado el tiempo y eso no ha sucedido".

En cambio, las cuentas protegidas por claves se han multiplicado. El software para la gestión de contraseñas puede ser una solución, pero confiar en este tipo de aplicación tiene sus desventajas propias. Un intruso que infecte el PC de su víctima consigue el mayor de los premios: la clave para cada cuenta que el usuario posee.

La situación es peor si tenemos en cuenta que incluso nuestra comprensión de lo que constituye una contraseña segura o débil puede tener defectos. En un artículo reciente, investigadores de la Universidad Estatal de Florida, RedJack y Cisco Systems, descubrieron que una medida típica de la fuerza de una contraseña (asta qué punto los caracteres elegidos muestran azar o entropía) no posee una gran carga de significado. Los averiguadores de contraseñas siguen ciertas estrategias: primero buscan a través de ciertos términos del diccionario, añadiendo números a las conjeturas y las combinaciones de palabras. Más tarde, los investigadores encontraron que las herramientas de averiguación utilizadas por los ciberdelincuentes son en general muy buenas a la hora de adivinar una pequeña pero significativa fracción de las contraseñas—hasta un 20 por ciento o más de las contraseñas de siete caracteres o más en cerca de 10.000 intentos.

Los investigadores sostienen que el análisis de las contraseñas por su nivel de entropía sobreestima la facilidad con que los hackers pueden atacar algunas claves y subestima otras situaciones, dependiendo de la cantidad de tiempo que un atacante esté dispuesto a emplear en el asalto. Como resultado, afirma el investigador Matt Weir, uno de los autores del trabajo, una organización que analice la aleatoriedad de sus claves podría tener "una visión demasiado optimista de la seguridad proporcionada por sus políticas de creación de contraseñas".

También significa que obligar a los empleados a cambiar sus claves cada cierto tiempo no puede resolver cualquier problema significativo. En cambio, es más probable que los empleados vuelvan a usar una contraseña en múltiples sitios, lo que significa que un ataque puede poner en peligro las cuentas en otros lugares. Y a pesar de que las redes corporativas y servicios web para consumidores a menudo bloquean a los atacantes que intentan contraseñas múltiples repetidas veces, los hackers no encuentran tales limitaciones si logran tener acceso interno al fichero donde las claves de usuario son "convertidas en una función hash" criptográficamente antes de ser almacenadas. En ese caso, el averiguador de contraseñas puede seguir intentando versiones "hash" de estas.

Debido a estos defectos, los investigadores de seguridad afirman que las compañías que se tomen en serio este problema no deben depender sólo de las contraseñas. El uso de dispositivos o software que genere claves de un solo uso, por ejemplo, fuerza a un atacante a robar el dispositivo o a ejecutar una operación en tiempo real, conocida como 'ataque del hombre intermediario', en la que el atacante modifica la relación entre una víctima y un proveedor de servicios durante una transacción. Estos ataques no son poco frecuentes -los delincuentes han utilizado troyanos bancarios, como Zeus, para robar millones de dólares de pequeñas empresas y organizaciones utilizando estas técnicas- aunque la tecnología exige a los atacantes mucho más esfuerzo. "Es un ataque más caro", afirma Herley desde Microsoft.