{"id":1705,"date":"2020-01-25T19:18:14","date_gmt":"2020-01-25T18:18:14","guid":{"rendered":"https:\/\/intervia.com\/doc\/?p=1705"},"modified":"2022-06-29T12:00:12","modified_gmt":"2022-06-29T10:00:12","slug":"seguridad-de-las-contrasenas","status":"publish","type":"post","link":"https:\/\/intervia.com\/doc\/seguridad-de-las-contrasenas\/","title":{"rendered":"Seguridad de las contrase\u00f1as"},"content":{"rendered":"

En muchos sitios nos obligan a poner contrase\u00f1as cada vez m\u00e1s largas, con caracteres, may\u00fasculas y n\u00fameros por \u00abnuestra seguridad\u00bb.<\/p>\n

\u00bfEs esto realmente \u00fatil?<\/h3>\n

TL;DR;<\/strong> Esto no aumenta la seguridad de los usuarios y no sirve para mejorar la resistencia de nuestra contrase\u00f1a contra ataques a las cuentas, sino para excusar la incompetencia de algunos CISO<\/a>.<\/p>\n


\nPor ejemplo, nuestro asistente para crear cuentas de correo electr\u00f3nico genera contrase\u00f1as alfanum\u00e9ricas de 6 caracteres (por ejemplo: xp54na<\/em>), \u00bfEs insegura esta contrase\u00f1a?<\/p>\n

Al mirar esa contrase\u00f1a parece f\u00e1cil de adivinar \u00bfverdad?<\/p>\n

Pues no, dicen que las apariencias enga\u00f1an y este es el caso.<\/p>\n

Una contrase\u00f1a de 6 caracteres (sin contar las de 1 a 5 caracteres), usando n\u00fameros y letras min\u00fasculas (sin acentos ni e\u00f1es), nos dar\u00eda 36 diferentes caracteres y n\u00fameros, que serian 36^6-36^5-36^4-36^3-36^2-36. Las posibles combinaciones son 2.114.588.556<\/strong> (unos 2000 millones).<\/p><\/blockquote>\n

Si incluy\u00e9ramos may\u00fasculas las posibles combinaciones con 6 caracteres llegar\u00edan a los 55.000 millones (por ejemplo: Xp54nA<\/em>), y si a\u00f1adimos 26 s\u00edmbolos m\u00e1s llegar\u00edan a 459.000 millones (por ejemplo: Xp5$n@<\/em>). Un atacante nunca sabr\u00e1 qu\u00e9 tipo de contrase\u00f1a hemos usado, ni cuantos caracteres o s\u00edmbolos tiene, as\u00ed que la dificultad es extrema si no usamos contrase\u00f1as predecibles.<\/p>\n

En cualquier caso las combinaciones son muchas m\u00e1s de las que parece a simple vista, incluso cuando eliminemos todas las palabras que puedan encontrarse en un diccionario de cualquier idioma.<\/p>\n

 <\/p>\n

\u00bfPor qu\u00e9 dicen entonces que una contrase\u00f1a de 6 caracteres es insegura?<\/h3>\n

\"\"Es porque con los procesadores modernos es posible introducir miles de contrase\u00f1as por segundo, por lo que podr\u00edamos saltar contrase\u00f1as de ese tama\u00f1o posiblemente en unas horas, d\u00edas o semanas, dependiendo de la potencia del ordenador. As\u00ed que de aqu\u00ed viene la idea, la contrase\u00f1a se puede obtener probando todas las combinaciones, pero hay un peque\u00f1o detalle que se nos escapa en este razonamiento.<\/p>\n

 <\/p>\n

\u00bfPor qu\u00e9 no se puede saltar por fuerza bruta una contrase\u00f1a de 6 caracteres?<\/h3>\n

\"\"Si esto fuera as\u00ed, en un rato cualquiera podr\u00eda averiguar el PIN de la SIM de nuestro m\u00f3vil, despu\u00e9s de todo es un n\u00famero de 4 d\u00edgitos que nos dar\u00eda 10.000 combinaciones.<\/p>\n

Se podr\u00edan meter a mano en un rato, pero todos sabemos que no es posible porque al tercer intento el tel\u00e9fono se bloquea, por tanto, las probabilidades de conseguirlo son de 3 entre 10.000, es decir, un 0,03%, lo suficientemente dif\u00edcil como para que sea casi imposible saltar el PIN de un m\u00f3vil.<\/p>\n

En nuestros servidores de correo ocurre lo mismo, al tercer intento se bloquea la IP.<\/p>\n

Si el atacante dispusiera de muchas IPs (por ejemplo si dispone de una netbot formada por sistemas comprometidos), podr\u00eda intentar nuevas combinaciones mientras le queden IPs sin bloquear, pero el servidor no verifica las contrase\u00f1as de forma instant\u00e1nea como si fuera una consulta a un archivo local, suele tardar 1s o m\u00e1s, as\u00ed que aun en el mejor de los casos, conociendo el tama\u00f1o y tipo de contrase\u00f1a, disponiendo de millones de IPs, suponiendo que se conoce el nombre de usuario con certeza y que ning\u00fan otro mecanismo de seguridad le va a bloquear, necesitar\u00eda cientos de millones de IPs en el mejor de los casos (las netbots m\u00e1s grandes que se han visto ten\u00edan unos pocos millones).<\/p>\n

Un atacante necesitar\u00e1 probablemente unos 200 millones de IPs y unos 100 a\u00f1os para saltar una contrase\u00f1a aleatoria de 6 caracteres de un servidor de correo<\/p><\/blockquote>\n

\"\"En la pr\u00e1ctica es aun peor para el atacante. Hemos visto que en todos los intentos de ataque por fuerza bruta a nuestros servidores tratan de saltar la contrase\u00f1a poniendo como nombre de usuario el email, pero nuestro sistema no permite usarlo, es decir, los atacantes intentan contrase\u00f1as sobre usuarios inexistentes, por lo que realmente nunca conseguir\u00e1n saltar una sola contrase\u00f1a, a menos que sean capaces de averiguar tambi\u00e9n el usuario.<\/p>\n

 <\/p>\n

\u00bfY por qu\u00e9 lo intentan si no lo van a conseguir?<\/h3>\n

\"\"Es que no lo intentan realmente, o al menos no como la gente piensa que es, probando contrase\u00f1as hasta adivinarla.<\/p>\n

La mayor\u00eda de ataques que se hacen para saltar contrase\u00f1as son a partir de bases de datos que se han filtrado en Internet (robos de bases de datos), o \"\"mediante ataques de diccionario<\/a>, que s\u00f3lo funcionan si se usan contrase\u00f1as muy simples, por ejemplo secuencias como 1234 o qwerty, o palabras comunes que se puedan encontrar en un diccionario, por eso, se deben usar contrase\u00f1as aleatorias o imposibles de predecir<\/strong>.<\/p>\n

Si a alguien que ten\u00eda nuestros datos le han robado la base de datos de usuarios (nuestros datos est\u00e1n en bases de datos que ni sabemos, y muchas de esas las han robado y filtrado en la deep web), es muy posible que haya atacantes que tienen nuestro email, usuario y contrase\u00f1a usados en otros servicios (por eso es tan mala idea reutilizar contrase\u00f1as).<\/p>\n

Si quieres saber si alguna vez han robado tus datos, pon tu email aqu\u00ed: ‘;–have i been pwned?<\/a> y pulsa el bot\u00f3n \u00abpwned?\u00bb<\/p><\/blockquote>\n

En estos casos, lo que pasa es que alguien ha obtenido la contrase\u00f1a que has usado en otro servicio, al que le han robado tus datos, por tanto, si reutilizas la misma contrase\u00f1a (algo que mucha gente hace), pueden probar a acceder a tu correo o tus cuentas en redes sociales.<\/p>\n

Nosotros para evitar esto (cuando configuramos un servidor de correo para un cliente), impedimos que se pueda usar el email como usuario. El usuario final podr\u00e1 reutilizar su contrase\u00f1a, pero no el usuario si se lo generamos nosotros, lo que hace que un atacante no tenga forma f\u00e1cil de obtener ese dato y por tanto, intentar acceder al servicio.<\/p>\n

 <\/p>\n

\u00bfPor qu\u00e9 no obligar a usar una contrase\u00f1a larga si no cuesta nada?<\/h3>\n

\"\"Es por una cuesti\u00f3n pr\u00e1ctica y porque puede llegar a ser m\u00e1s insegura (debajo lo explico).<\/p>\n

Es menos complejo manejar contrase\u00f1as cortas y es igual de seguro (si se generan aleatoriamente).<\/p>\n

La mayor\u00eda de usuarios que necesita acceder por el webmail o introducir su contrase\u00f1a son capaces de recordar una secuencia aleatoria de 6 caracteres, pero si les das una contrase\u00f1a aleatoria m\u00e1s compleja, necesitar\u00e1n apuntarla o guardarla en alg\u00fan sitio, lo que finalmente puede hacer que sea m\u00e1s insegura. Por ejemplo, porque termine apuntada en un documento de texto en el escritorio.<\/p>\n

Para los t\u00e9cnicos que dan soporte es tambi\u00e9n mucho m\u00e1s c\u00f3modo cuando configuran equipos introducir contrase\u00f1as m\u00e1s cortas, especialmente cuando hay muchos usuarios, poner contrase\u00f1as complejas puede dar lugar a muchos errores y problemas al introducirlas, salvo si se pasan copiando y pegando, que implica que probablemente las est\u00e1s dejando en un email o documento f\u00e1cilmente accesible por terceros.<\/p>\n

Por eso, nosotros configuramos los asistentes de contrase\u00f1as para generar 6 caracteres por una cuesti\u00f3n pr\u00e1ctica, que no s\u00f3lo no compromete la seguridad de ninguna forma, sino que probablemente hace que sea m\u00e1s seguro.<\/p>\n

Imag\u00ednese que cada vez que se quiera configurar un cliente de correo o acceder al webmail haya que escribir una contrase\u00f1a como esta: L4hk4Vxbr8hFRAj23cHw<\/em>, en vez de esta: fa82xp<\/em>, para finalmente no obtener ninguna ventaja pr\u00e1ctica en la seguridad.<\/p><\/blockquote>\n

Claro que para acceder al webmail (o p\u00e1ginas web), podr\u00edamos guardar las contrase\u00f1as en el navegador, pero eso de por si facilita tambi\u00e9n que la puedan robar por otros medios (porque se almacena sin cifrar, igual que si guardan en alg\u00fan email o documento), as\u00ed que podr\u00eda ser mucho peor que la seguridad adicional que ofrecer\u00eda te\u00f3ricamente una contrase\u00f1a m\u00e1s larga.<\/p>\n

 <\/p>\n

\u00bfEst\u00e1 mal usar contrase\u00f1as largas?<\/h3>\n

No est\u00e1 mal, yo lo hago, genero contrase\u00f1as aleatorias distintas para cada servicio y tambi\u00e9n emails distintos y los guardo en Keepass<\/a> (un gestor de contrase\u00f1as), pero siempre puede haber problemas, por ejemplo, podr\u00edan robar la contrase\u00f1a maestra y hacerse con todas las dem\u00e1s credenciales.<\/p>\n

Usar contrase\u00f1as de m\u00e1s de 6 caracteres no aumenta la seguridad para impedir el acceso no autorizado a nuestras cuentas. Acertar una contrase\u00f1a con 2000 millones o 2000 trillones de combinaciones, es en la pr\u00e1ctica lo mismo, ya que en ambos casos es sencillamente imposible.<\/p>\n

Es decir, no es tan sencillo como \u00abcontrase\u00f1a m\u00e1s larga\u00bb = \u00abm\u00e1s seguridad\u00bb, esta es una simplificaci\u00f3n falaz.<\/p>\n

La seguridad depende de m\u00faltiples factores que adem\u00e1s son mucho m\u00e1s complejos de lo que nos quieren hacer creer.<\/p><\/blockquote>\n

Por ejemplo, en los accesos a nuestras p\u00e1ginas webs usamos t\u00e9cnicas que impiden el acceso de un atacante aun cuando consiguiera averiguar el usuario y la contrase\u00f1a. Si podemos hacer esto \u00bfImporta realmente si la contrase\u00f1a es m\u00e1s larga o m\u00e1s corta?<\/strong><\/p>\n

\"\"Es por esto que los bancos han implementado sistemas 2FA (segundo factor de autentificaci\u00f3n)<\/a>, o el uso de datos biom\u00e9tricos<\/a>. Estos sistemas (y otros que no se ven pero est\u00e1 ah\u00ed), hacen que la contrase\u00f1a no sea tan importante.<\/p>\n

Personalmente utilizo como 2FA un token U2F Hypersecu Mini<\/a> (Universal 2nd Factor de FIDO), que he comprado por 5\u20ac (han subido mucho, deber\u00eda haber comprado m\u00e1s), adem\u00e1s de un generador de claves TOTP<\/a> que tengo instalado en el m\u00f3vil con la app Aegis<\/a> que tiene acceso biom\u00e9trico. Podr\u00eda tener como contrase\u00f1a 1234 y nadie podr\u00eda acceder a mis cuentas.<\/p>\n

Como se ve, aumentar la longitud y complejidad de la contrase\u00f1a s\u00f3lo produce molestias a los usuarios sin aumentar la seguridad, incitando adem\u00e1s a pr\u00e1cticas aun peores, como pegar la contrase\u00f1a en un postit sobre el monitor o a usar contrase\u00f1as absurdas, por ejemplo, esta de 16 caracteres con may\u00fasculas, min\u00fasculas, n\u00fameros y s\u00edmbolos (pasar\u00eda cualquier sistema de verificaci\u00f3n de contrase\u00f1as): Qwerty,123456789<\/em><\/p>\n

 <\/p>\n

\u00bfPor qu\u00e9 entonces en muchas webs o asistentes de seguridad fuerzan o recomiendan usar contrase\u00f1as m\u00e1s largas?<\/h3>\n

Esto no es porque se pueda ganar acceso por tener una contrase\u00f1a de 6 caracteres alfanum\u00e9rica, en vez de una de, por ejemplo, 16 caracteres (2000 millones contra 140K trillones de combinaciones), si fuera tan f\u00e1cil, a los delincuentes les resultar\u00eda veinte veces m\u00e1s f\u00e1cil ganar el Euromillones o la Primitiva (una entre 100 millones aprox), que saltar una contrase\u00f1a aleatoria de 6 caracteres.<\/p>\n

\"\"Esto se hace \u00abs\u00f3lo\u00bb para evitar que se puedan saltar las contrase\u00f1as si un delincuente accede al servidor y roba la base de datos. Pero si eso sucediera, el menor de los problemas ser\u00eda que pudieran saltar las contrase\u00f1as.<\/p>\n\"\"\n

Adem\u00e1s, basta con que en una base de datos de millones de registros haya unas pocas contrase\u00f1as d\u00e9biles para obtener la clave privada y descifrar todas las dem\u00e1s, aun cuando se usen algoritmos de alto coste matem\u00e1tico como bcrypt<\/a>, por lo que tampoco suele importar en estos casos el tama\u00f1o o la seguridad de las contrase\u00f1as.<\/p>\n

Al final la exigencia de usar contrase\u00f1as \u00abfuertes\u00bb, como vemos ahora en todas partes, es una medida que obliga a los usuarios a poner contrase\u00f1as complejas por si acaso a la empresa responsable le roban la base de datos. Y aun as\u00ed, no suele servir para nada.<\/p>\n

Esto es como pedirte que te pongas paraca\u00eddas al subir a un vuelo comercial, por si el avi\u00f3n se cae.<\/strong><\/p>\n

No se vosotros, pero yo no me subir\u00eda a ese avi\u00f3n.<\/p><\/blockquote>\n

 <\/p>\n

\u00bfDe verdad roban informaci\u00f3n de millones de usuarios?<\/h3>\n

\"\"Esto, que suena impensable, ha sucedido y lamentablemente sigue sucediendo a diario.<\/p>\n

Y no suelen ser peque\u00f1as empresas, sino todo lo contrario, entre las mayores brechas de seguridad con p\u00e9rdida de datos est\u00e1n empresas como Adobe, eBay, Equifax, Facebook, LinkedIn, Marriott, Microsoft, MySpace o Yahoo. Los datos comprometidos se cuentan por miles de millones.<\/a><\/p>\n

Luego son los mismos responsables de estos sitios, incapaces de mantener sus bases de datos a salvo, los que nos piden que usemos contrase\u00f1as estramb\u00f3ticas \u00abpor nuestra seguridad\u00bb, cuando en realidad es por si acaso a ellos les roban la base de datos.<\/p>\n

Es lamentable que muchos responsables de seguridad terminen \u00abcopiando\u00bb estas pol\u00edticas sin pensar lo que hacen. Ven que otros piden contrase\u00f1as m\u00e1s largas y por mera inercia hacen lo mismo, sin pararse a pensar si eso tiene sentido o si tratar de culpar a los usuarios de sus errores es lo correcto.<\/p>\n

Hemos perdido cientos de millones de datos de usuarios \u00bfQu\u00e9 hacemos? Pedir a los usuarios que usen contrase\u00f1as m\u00e1s largas \u00bfEn serio?<\/strong><\/p><\/blockquote>\n

Las cosas no son como en las pel\u00edculas donde un delincuente trata de adivinar que contrase\u00f1a puso alguien escribiendo el nombre de su mascota. M\u00e1s bien son cosas, entre otras, como:<\/p>\n