Brian Green experimentó en si mismo las consecuencias de usar preguntas no tan secretas cuando, el pasado mes de marzo, accedió a su cuenta de World of Warcraft y vio que todos sus personajes estaban en ropa interior. Alguien le había robado la cuenta y había vendido todo el equipamiento virtual de los personajes.

“Lo primero que pensé es que tenía instalado en mi ordenador un programa para capturar claves,” escribió Green al describir el suceso. Sin embargo, la investigación que él mismo emprendió—y la capacidad del atacante para cambiar las palabras claves de su cuenta varias veces—hicieron que Green, que a su vez es programador de videojuegos, llegara a una conclusión distinta. “Mi ‘pregunta secreta’ tiene una respuesta demasiado común. ... Esto es algo en lo que no pensé cuando elegí el tipo de pregunta por primera vez.”

Este incidente se parece al caso de alto nivel ocurrido entre la gobernadora de Alaska y ex-candidata a vice-presidenta Sarah Palin. En septiembre de 2008, unos hackers utilizaron el nombre del lugar donde Palin y su marido se conocieron para poder acceder a su cuenta de correo electrónico de Yahoo, utilizando el mecanismo de recuperación de claves basado en la “pregunta secreta.”

Palin y Green no están solos en todo esto. En un estudio que se presentará en el Simposio sobre Seguridad y Privacidad IEEE esta semana, grupos de investigadores de Microsoft y la Universidad Carnegie Melon tienen previsto demostrar que las preguntas secretas utilizadas para asegurar los mecanismos de reinicialización de claves de acceso son muy inseguras. Durante un estudio en el que participaron 130 personas, los investigadores descubrieron que un 28 por ciento de la gente que conocían a los participantes y en las que los participantes confiaban, pudieron averiguar correctamente las respuestas a las preguntas secretas de los participantes. Incluso aquellos que no poseían la confianza de los participantes lograron descifrar un 17 por ciento de las respuestas a este tipo de preguntas.

“Las preguntas secretas de por sí no son tan seguras como lo debería ser el procedimiento de apoyo de autenticación,” afirma Stuart Schechter, investigador que trabaja para el gigante del software Microsoft, así como uno de los autores del estudio. “No se puede confiar en ellas exclusivamente para asegurarse de que los usuarios puedan recuperar sus cuentas cuando se olvidan de las claves de acceso.”

Según los investigadores, las preguntas menos seguras son aquellas que se pueden adivinar sin tener conocimientos acerca del sujeto. Por ejemplo, las respuestas a preguntas como “¿Cuál es tu ciudad favorita?” y “¿Cuál es tu equipo favorito?” fueron relativamente fáciles de adivinar. Respectivamente, un 30 por ciento y un 57 por ciento de las respuestas correctas aparecieron en la lista de las 5 preguntas más adivinadas.

Sin embargo, los investigadores advierten que aquellas respuestas para las que se necesita saber datos personales del sujeto tampoco se pueden considerar seguras. De las personas en las que los participantes no confiarían para darles sus claves de acceso, un 45 por ciento fue capaz de responder preguntas acerca del lugar de nacimiento, y un 40 por ciento pudo averiguar correctamente el nombre de la mascota, según informan los investigadores.

Los esquemas de apoyo de autenticación deberían tener dos características importantes, afirma Schechter. Deberían ser fiables, permitiendo que los usuarios legítimos tengan acceso a su cuenta, y deberían ser seguros, previniendo el acceso no autorizado de otros usuarios.

A través de este estudio se descubrió que las preguntas secretas se quedan cortas en ambos sentidos. Incluso con aquellas preguntas más fáciles de recordar—las de Yahoo, casualmente—los participantes olvidaron las respuestas en un 16 por ciento de los casos a los tres o seis meses. En general, los investigadores descubrieron que una de cada cinco personas olvidó todas las respuestas a sus preguntas secretas.

 “La gente no sabe lo fácil que es olvidar esa técnica tan elaborada o esas respuestas tan aparentemente simples,” afirma Schechter.

Durante más de una década, el experto en seguridad Bruce Schneier ha criticado las preguntas secretas debido a su vulnerabilidad ante un ataque. En 2005, Scheneier escribió, “Quiero creer que si se me olvida la clave de acceso, debería ser tremendamente difícil poder acceder mi cuenta. Quiero que sea tan complicado que cualquier atacante no sea capaz de hacerlo.”

Sin embargo, aquellas compañías a las que les preocupa reducir los costes de atención al cliente han creado una puerta trasera con entrada directa hacia las cuentas de los usuarios. Abrir esta puerta es más fácil de abrir que intentar adivinar la clave de acceso, afirma. “Lo extraño es que hay una forma de reiniciar la clave de acceso que es menos segura que el sistema al que en teoría está protegiendo,” afirma Schneier.

Schechter está de acuerdo en que los investigadores tendrán que encontrar un mecanismo totalmente distinto para el apoyo de autenticación—las preguntas de seguridad por si mismas no son suficientes. “Me gustaría que este tipo de preguntas acabaran por desaparecer,” afirma. “Desafortunadamente, y puesto que no hemos logrado encontrar preguntas que fueran realmente buenas, no resulta difícil recomendar que únicamente se cambien las preguntas [para así aumentar la seguridad.]”

Schechter recomienda que no se usen preguntas cuyas respuestas sean comunes. Schneier va más allá y afiram que a menudo lo que él hace es escribir una respuesta totalmente aleatoria; si necesita recuperar la clave de acceso, afirma, lo que hace es llamar a la compañía.

Green, cuya pregunta secreta era el nombre de su instituto, tiene previsto usar un correo electrónico más seguro en el futuro. Y quizá eso conlleve la incapacidad de recuperar claves de acceso. “Está muy bien lo de poder recuperar las claves si se me olvidan, pero cuando ves que otra persona es capaz de hacerlo sin tu permiso, entonces no me gusta tanto,” afirma.