Seguridad online: ¿Estamos seguros con nuestras contraseñas?

El caso que enfrenta al FBI con Apple por el iPhone 5 utilizado por el terrorista de San Bernardino ha reabierto el debate sobre la seguridad en internet y hasta qué punto las nuevas tecnologías son capaces de garantizar la privacidad individual.

La mayoría de las personas disponen de cuentas en diversas redes sociales, utilizan Whatsapp y escriben mensajes sms y emails en una comunicación que, pese a ser personal, podría no ser tan privada como se piensa.

Según publica Splash Data, las 25 contraseñas más populares en 2015 no cumplían con ningún criterio de seguridad: las cinco más usadas fueron “123456”, “password”, “12345678”, “qwerty” y “12345”. Palabras y dígitos que, como se observa, no hay que ser ningún genio para adivinar.

Inconscientes del riesgo

Este comportamiento indica una clara falta de conciencia por parte del usuario a la hora evaluar el riesgo que supone internet para su privacidad. Si se observa el listado de contraseñas más populares en 2013 y 2014 apenas varían con respecto a 2015. Es por esta razón que los gigantes tecnológicos han desarrollado mecanismos para corregir la tendencia habitual de las personas de elegir combinaciones fáciles para sus dispositivos electrónicos.

Apple, por ejemplo, genera una contraseña aleatoria muy larga y la combina con la que el usuario elige (de 4-6 dígitos) para que a un eventual intruso le resulte menos fácil adivinar la consigna. La compañía, además, limita las tentativas de acceso en el dispositivo a diez intentos con tal de que un potencial usurpador no pueda probar las 25 o más contraseñas más comunes hasta dar con la buena.

Contenido no encriptado

Los centenares de mensajes que enviamos diariamente a través de whatsapp, email o sms no están protegidos ni de los servicios de comunicación ni de la seguridad nacional y supranacional.

El informático e investigador en la Universidad Tecnológica de Delft (Holanda), Elric Milon, explica a Crónica Global que los sms “solo están cifrados entre el teléfono y la torre de control”, lo que significa que tanto “la compañía telefónica, como la torre de comunicaciones y sus técnicos o los servicios de inteligencia” pueden ver el contenido de los mensajes que enviamos.

Esta ausencia de protección, sin embargo, parece no haber sido muy útil para combatir el terrorismo. Sin ir más lejos, los terroristas yihadistas que atentaron en París el pasado noviembre se comunicaron a través de mensajes de texto y no sirvió para evitar la tragedia. Los detractores de la medida de la FBI se sirven de este ejemplo para señalar que el problema no se resuelve implementando una “backdoor” (también llamada “puerta de atrás”) en el sistema de seguridad de los teléfonos móviles.

Privacidad y la seguridad nacional

Paradojicamente, las mayores cotas de privacidad alcanzadas con la tecnología han ido en detrimento de la seguridad nacional. El caso del iPhone del terrorista de San Bernardino da fe de ello: Apple desarrolla un sistema --para desmarcarse de sus competidores-- en el que ni siquiera ellos pueden acceder y que, al mismo tiempo, pone en seria dificultad la investigación policial a la hora de recabar pruebas e informaciones que ayuden a esclarecer lo sucedido.

Bruce Schneier, uno de los mayores especialistas en temas de seguridad tecnológica a nivel mundial, explica en su célebre blog Schneier on Security (Scheneir sobre seguridad, en español) que crear una “backdoor” es añadir un elemento de “vulnerabilidad a la seguridad del iPhone que puede ser explotado por cualquiera”, no solo por el FBI.

El caso fallido de la TSA

Existe un caso alejado del ámbito tecnológico que sirve para ilustrar lo que explican Schneider y Milon, respectivamente, sobre el "precedente" que podría causar el Gobierno estadounidense cuando trata de controlar y tener acceso a la información privada de los usuarios.

Es el caso de la seguridad aeroportuaria de Estados Unidos, la TSA, que forzó la promulgación de una ley en 2003 para fabricar una suerte de “llave maestra” para que todas las maletas que entraban en territorio americano --con cerradura y candados-- pudieran ser registradas por la misma agencia de seguridad estatal a través de esta llave maestra.

Poco tiempo después de que todas las firmas de maletas hubieran incorporado este cambio en sus modelos se filtró una copia de la llave que provocó que otras personas --más allá del Estado-- pudiera acceder a la información privada de los pasajeros.

¿Una llave para dispositivos móviles?

Entre la ausencia de encriptado y la creación de una llave maestra para los teléfonos móviles hay margen para implementar medidas intermedias que puedan ayudar en el eterno debate que enfrenta a la privacidad con la seguridad.

Milon, que es escéptico sobre los beneficios que generaría a nivel de seguridad incorporar un “backdoor” en los iPhones, informa sobre otras alternativas que se están debatiendo. Una de ellas sería una “actualización del firmware” que solo funcionara en el modelo de iPhone usado por el terrorista para desactivar el borrado automático tras diez intentos de contraseña y así la policía pudiera acceder al dispositivo en cuestión.

Este método, sin embargo, también muestra inconveniencias, como el tiempo en que se tardaría en descifrar la contraseña. “Cada intento de descifrar tarda unas 80 milésimas de segundos, y una contraseña de 12 caracteres que tenga letras, números y símbolos de puntación puede tener 246990403565262140303521 combinaciones posibles, lo que significa que para tener un 50% de posibilidades de encontrar la contraseña necesitas intentarlo durante 10442685758 milenios”, zanja el investigador.

Los expertos no se ponen aún de acuerdo sobre cómo afrontar los nuevos peligros que trae consigo la evolución tecnológica. No obstante, todos coinciden en la importancia de proteger nuestra privacidad a través de pequeños hábitos que dependen solo de nosotros como, por ejemplo, la elección de contraseñas.