Este blog pretende servir de soporte para el usuario dedicado a la informática. Sean bienvenidos y gracias por la visita. (PARA UN MEJOR RENDIMIENTO Y VISUALIZACION DE ESTE BLOG, USE MOZILLA FIREFOX)
Queramos o no, un número, una palabra, una simple sucesión de caracteres, al fin y al cabo, es la que protege nuestros intereses, tanto en Internet como en el mundo físico. Y no hablo de un "sí" o un "no", hablo de las contraseñas, lo PINs y las claves. En un mundo cada vez más comunicado y con más aparatos electrónicos, todo el mundo maneja alguna contraseña para proteger sus intereses. ¿Elegimos bien?
| Tres de cada cuatro usuarios utilizan siempre la misma clave cuando se registran en portales de Internet. |
No suele ser lo habitual encontrar personas que guarden con celo su contraseña. Es más, se despreocupan del todo de la importancia de que sea una clave única y complicada de averiguar para terceras personas. Las contraseñas más habituales que manejamos a diario son el código de la tarjeta de crédito, el PIN del teléfono móvil, la contraseña de nuestra cuenta de correo, la contraseña de nuestra cuenta de banco online, el foro que visitamos a diario, y todas las páginas de Internet que requieren registro. Son demasiadas contraseñas para retenerlas en la memoria, y por eso tendemos a repetir un patrón, o a usar números o palabras repetidas. Pero desde luego, el que use su fecha de nacimiento como PIN del móvil o código de su tarjeta de crédito, debería saber que es cuestión de tiempo que se lleve un buen susto al comprobar el balance de sus ahorros. Cuando están en juego datos vitales, esto no se puede permitir, pues existe un número finito de posibilidades que con el tiempo suficiente pueden ser probadas.
Una vez alguien ha averiguado una clave, y consigue suplantar la personalidad de la persona afectada por el robo de su contraseña, el ataque puede llevarse limpia y discretamente, sin dañar ni forzar ninguna estructura, por lo que pasa inadvertido por cualquier sistema de seguridad que se posea.
Según desprenden varios estudios, tres de cada cuatro usuarios utilizan siempre la misma clave cuando se registran en portales de Internet, ya sea para realizar compras en
Si alguien realmente se lo propone, podría sacar la contraseña de la mayoría de las personas que se marcara como objetivo, a no ser, que hayan reflexionado un poco sobre el problema. No es tan difícil elegir una buena contraseña. No es que deba ser algo así: €&&5"3oopp&4, pues es necesario encontrar un compromiso entre la facilidad para recordarla y su efectividad. Si eligiésemos contraseñas de este tipo, acabaríamos apuntándolas en un papelito colgado del monitor, y esto puede resultar incluso más peligroso.
Existen técnicas mejores para elegir claves, por ejemplo: mi.Clave@paraPortal-mundos.COM Esta clave tiene muchas más letras que la anterior, lo que se lo pone complicado a una máquina que intente usar la fuerza bruta, mantiene un par de símbolos y otros tantos números, siendo muchísimo más fácil de recordar. Por supuesto, es necesario aplicar un baremo de complejidad de la contraseña y los datos que protege. No será lo mismo un foro que una gestión de compra on-line.
Lo importante pues, es la estructura de la contraseña, más que la posible complejidad. Combinar una estructura fácil de recordar, la longitud adecuada, con caracteres simbólicos y números puede ser lo más apropiado.
Lo mejor es utilizar reglas memotécnicas para relacionar la clave con el lugar en el que la usamos, y añadirle un toque personal. Pero con toque personal, no me refiero a ningún "dato personal" como fecha de nacimiento ni lugar de residencia, sino algo más exótico que sólo nosotros conozcamos de nosotros mismos.
Existen programas que gestionan claves y las almacenan en el disco duro, volviéndolas accesibles como si de una base de datos se tratara. Estos programas están bien, pueden resultar útiles, pero nunca es bueno concentrar la seguridad en un punto, y si este software o el ordenador donde se almacena queda expuesto, de nada servirá haber inventado claves distintas para todos nuestros usos. Las contraseñas, en la medida de lo posible, nunca deben permanecer en otro lugar que no sea nuestra memoria. Si manejamos una cantidad tal que nos obligue a recurrir a algún tipo de ayuda, es preferible almacenarlas en un disquete cifrado, comprimido con contraseña, o en ficheros ocultos... como siempre digo, todo dependerá de la importancia que le demos a esta información.
| No es tan difícil elegir una buena contraseña. |
Aunque, quizás pensemos que nadie quiere robarnos, y que es bastante improbable que alguien desee conocer nuestros secretos, hay que pensar que precisamente este puede ser un motivo para volverse blanco de ladrones cibernéticos. En principio eres una persona anónima, hasta que se descubre que en realidad, eres un blanco fácil. A veces las víctimas son escogidas al azar, según su nivel de preocupación por el tema, a menor preocupación, más posibilidades de éxito para el ladrón.
El sistema criptográfico debe garantizar ciertas cualidades de la información de una manera sencilla. Hasta ahora, la criptografía compuesta por una clave para cifrar y descifrar datos no satisface este ideal. Esto implicaría que cada persona debe compartir una clave con todas las otras con las que quiera enviar mensajes, para cifrar su canal de comunicación y que nadie excepto ellos dos puedan descifrar su contenido.
Sería bastante complicado mantener una clave distinta por cada persona con la que uno se quiera comunicar, y prácticamente imposible establecer comunicación con personas a las que no se conoce. La criptografía asimétrica resuelve uno de los grandes problemas del cifrado en general con la introducción de los conceptos de clave pública y clave privada.
Como señala Simon Singh en su libro "The Code Book", "a medida que la información se convierte en uno de los bienes más valiosos, el destino político, económico y militar de las naciones dependerá de la seguridad de los criptosistemas". Así, en 1976, Diffie y Hellman idearon la criptografía asimétrica. Se basa en la posesión de dos llaves o claves por persona. Una a disposición de todo el mundo, y otra privada. Las dos son complementarias y lo que una cifre, sólo podrá ser descifrado por la otra. Si se desea cifrar un mensaje para que sólo Ana pueda leerlo, todo el mundo puede tomar su clave pública y aplicarla al mensaje, seguro de que sólo Ana con su clave privada podrá descifrarlo. Si PUA es la clave pública de Ana, PRA es la clave privada de Ana, y M es el mensaje, PUA (M) sería equivalente a cifrar el mensaje M. Ana tendría que hacer PRA (PUA (M))= M para poder leerlo.
Ana usará su clave privada para firmar sus documentos. Cuando se pase por un algoritmo esa clave y su mensaje, quedará codificado de manera que todo el mundo que desee, podrá aplicar la clave pública de Ana, decodificarlo, y así sabrá que ha sido escrito indudablemente por Ana, pues su clave pública ha sido la única capaz de interactuar con su privada. Gráficamente PUA (PRA (M))= M.
Si se combinan estas dos técnicas, un mensaje puede quedar firmado y cifrado a la vez para que lo reciba por ejemplo, Berta. Ana tendría que aplicar su clave privada en el mensaje, lo que equivaldría a firmarlo. Luego podría tomar la clave pública de Berta, disponible para todos, y aplicarla al mensaje. Tendríamos PUB (PRA (M)). Ahora, sólo Berta es capaz, con su clave privada, de descifrar el mensaje, que aparecerá firmado. Tendríamos PRB (PUB (PRA (M))= (PRA (M)). Si le aplica la clave pública de Ana, comprobará que efectivamente es un mensaje de Ana y lo obtendrá en texto plano. PUA (PRA (M))=M.
Cualquiera con la clave pública puede cifrar un mensaje, pero no descifrarlo. Sólo la persona con la clave privada puede descifrar el mensaje. Cifrar el mensaje con la clave pública es como poner el correo en un buzón (todo el mundo puede hacerlo.) Descifrar el mensaje con la clave privada es como coger el correo del buzón (sólo el que tiene la llave del buzón puede hacerlo).
Esta técnica, aunque resulta complicada en un principio, se automatiza fácilmente con software específico, y es muy usada en el mundo de la seguridad. Por ejemplo, existen programas que se integran completamente en los clientes de correo y permiten cifrar y firmar mensajes con claves públicas y privadas. Para obtener un par de estas llaves, es necesario, por ejemplo, usar un programa basado en este tipo de criptografía llamado PGP (Pretty Good Privacy) disponible para todas las plataformas y que integra en una sola aplicación, todas las utilidades necesarias para manejar claves y cifrar información.
Las claves no son más que números desorbitantemente altos con ciertas propiedades y relaciones entre ellos, normalmente primos. Matemáticamente, estos algoritmos se basan en la facilidad de realizar operaciones complementarias en un sentido y en la dificultad de realizarlas en sentido contrario. Por ejemplo, se juega con la facilidad de elevar un número a otro (esto se subdivide en rápidas sumas), y la dificultad para calcular raíces de números extremadamente altos (que necesita de muchas más operaciones complejas para ser calculada).
Y muchos pensarán que esto no es necesario, que es demasiado problemático si lo único que queremos es consultar nuestro saldo en Internet o escribir correos a los amigos. Este pensamiento empobrece el sistema de la privacidad en general, porque su verdadera potencia está en la popularidad. Cuántas más personas lo usen, más útil será. Pocos saben que el artículo 18 de
Tenemos derecho a las comunicaciones cifradas, y debemos ejercerlo como nos venga en gana, utilizando sistemas seguros que garanticen que nosotros y sólo nosotros podemos decidir quién consulta nuestros mensajes enviados. La firma digital, que se consigue de forma sencilla usando el programa PGP, tiene una utilidad incluso mayor. Hoy en día la suplantación de identidad supone uno de los mayores problemas de seguridad para todos los internautas, que responden confiados a correos que dicen ser quienes representan, pero no lo confirman de ninguna manera. El uso popular del cifrado para firmar documentos acabaría con este tipo de problemas.
Quizás es que no sabemos apreciar los derechos que nos amparan. Todavía tenemos la suerte de no llegar a los extremos de Estados Unidos, donde las comunicaciones cifradas están permitidas, pero no las más seguras, digamos que sólo son legales las de "gama baja". No puedes cifrar tus documentos de manera que queden completamente blindados, sino que debes usar una clave de menor longitud "por si acaso" el Gobierno Norteamericano necesita espiar esa comunicación. ¿Qué garantía es esta?
