Lo hemos vuelto a hacer. De acuerdo con el listado de las peores contraseñas de 2015 publicado recientemente por la desarrolladora de software de seguridad SplashData, hemos vuelto a colocar "123456" en el número 1 de las contraseñas más usadas, en una lista recopilada de entre más de dos millones de contraseñas.
A primera vista dan ganas de tomarse el listado a risa, porque realmente cuesta creer que a estas alturas todavía haya gente que usa "123456" o "password" como contraseña para proteger cosas tan importantes como su correo electrónico o el acceso online al banco. Pero si repasamos los informes de SplashData de otros años y analizamos un poco la tendencia, vemos el asunto es bastante serio.
Cómo se elabora el listado
SplashData, creadora del gestor de contraseñas SplashID, lleva cinco años elaborando este informe anual. Y no falla: cada año demuestra que la gente, a pesar de los peligros que ello conlleva, sigue usando contraseñas que comprometen su seguridad online.
Para hacernos una idea, en un documento elaborado a partir de los resultados de esos cinco informes, SplashData enumera algunas de las tendencias en contraseñas. Por ejemplo, solamente en EE.UU., las empresas perdieron 37.000 millones de dólares en temas relacionados con filtraciones de datos en 2015. Mientras, tanto, un tercio de los usuarios usa la misma contraseña en diferentes webs, y hasta un 10% usa la misma para todos los servicios online donde se registra.
A la hora de crear su informe, SplashData obtiene los datos a partir de dumps de texto que encuentra en foros y otras webs durante los últimos doce meses, obtenidos mediante ataques o a través de brechas de seguridad en servidores. A partir de esos datos, elabora un listado de las 25 contraseñas más comunes - que, por ende, son también las peores, porque nunca es buena idea usar una contraseña "conocida".
El objetivo último de SplashData con estos informes anuales es concienciar a los usuarios de la importancia de escoger una contraseña segura, y de usar una diferente para cada sitio para evitar el "efecto cascada" en caso de que uno de los servicios que usamos sea objeto de un ataque. Pero a tenor de los resultados, todavía queda camino por recorrer.
Por qué seguimos usando "123456"
El informe de este año incluye a "123456", "password" y "12345678" como las tres peores contraseñas de 2015. Las dos primeras ni siquiera han cambiado desde el año pasado, donde repitieron clasificación con "12345" como tercera clasificada, y en 2013 las tres volvieron a ocupar exactamente los tres mismos puestos que este año. En 2012 y 2011, por último, "123456" y "password" simplemente intercambiaron posiciones entre sí como primera y segunda contraseña de la lista.
Es decir, durante cinco años estas dos contraseñas han sido constantemente las dos más usadas, lo que no deja de ser preocupante porque no se aprecia una tendencia hacia la mejora. Año tras año, seguimos usando las mismas, igual de fáciles, igual de peligrosas. Y con la cantidad de noticias sobre ataques, filtraciones de contraseñas, vulnerabilidades, phishing y demás, ¿cómo es posible que estas personas no se tomen sus contraseñas en serio?
Carlos Roberto y Guillermo Julián, dos redactores con amplia experiencia en estos temas, responden con algunas pistas: "La mayoría de los usuarios lo único que buscan es la comodidad de una contraseña fácil de recordar. Además, muchos sitios web piden una contraseña de mínimo 6 u 8 caracteres, y ahí '123456' o 'password' encajan perfectamente", dice Carlos. Guillermo añade que "no hay una conciencia de seguridad, la gente sigue pensando que a ellos no les va a pasar".
Por su parte, Pablo González, Technical Business Manager de Eleven Paths, coincide en el factor comodidad: "Para muchos usuarios, cuando un sistema le hace poner una contraseña para proteger su identidad digital, le están poniendo en un compromiso. Por esta razón, muchos usuarios buscan contraseñas sencillas y fáciles de recordar"
Un experto en cibercrimen de los cuerpos de seguridad del Estado con el que hemos contactado también defiende la teoría de que la mayoría de la población carece de suficiente concienciación en cuanto a su seguridad en Internet:
Como la gente usa habitualmente el ordenador, el móvil o la tableta en casa o en espacios que considera seguros, por extensión cree que por usarlos en ese contexto también son seguros. Si a eso le unimos el desconocimiento (de la mayor parte) de los usuarios de Internet de cómo funciona la red, esto hace que la gente no se tome tan en serio la seguridad de sus dispositivos y servicios informáticos como la de otros ámbitos de su vida.
La educación es la clave
Decíamos antes que el objetivo de SplashData con la publicación de este informe es crear conciencia, y de educar de alguna forma a la gente en el uso de contraseñas seguras. Y precisamente ahí, en la educación, es donde está la clave. Carlos Roberto habla incluso de empezar desde niños, en el colegio, y Guillermo Julián menciona cursillos de formación e incluso campañas publicitarias.
El problema está en la resistencia natural del ser humano al cambio, y en que el usuario, como dice Carlos, "prefiere vivir en la comodidad de la falsa seguridad de Internet a saber que su contraseña se puede descifrar en menos de diez segundos" (algo que, por otro lado, seguramente desconozca).
De hecho, según Pablo González, "el usuario sólo ve el peligro cuando un incidente de seguridad, como puede ser un robo de identidad digital, se traduce en algo que le afecta directamente". Es cuestión, por tanto, de ser hacerles conscientes de que gran parte de su información personal (nombre, documentos, datos sanitarios y financieros...) está a un solo clic, y cualquiera que pueda conseguir su contraseña podrá acceder a ella. Una buena de hacerlo, como dice Pablo, es mostrarles ejemplos reales de casos de este tipo.
Otro aspecto importante a tener en cuenta es el tipo de usuario. Con el acceso a Internet cada vez más fácil, y la proliferación de dispositivos con conexión, encontramos todo tipo de personas al otro lado del teclado, desde niños hasta octogenarios.
Precisamente los usuarios de más de 60 años y los adolescentes están en los grupos de más riesgo según los datos de SplashData, algo en lo que coincide el experto en cibercrimen que hemos consultado: "Ahora hay mucha gente mayor y niños pequeños usando la red, y suelen ser mucho más confiados que otros usuarios. También están menos preocupados por la seguridad y por tanto pueden convertirse en víctimas potenciales de todo tipo de delitos informáticos". Ellos deberían ser, por tanto, los primeros en recibir esa más que necesaria formación en temas básicos de seguridad.
¿Hay perspectivas de mejora?
Si repasamos los cinco informes de SplashData, la primera conclusión es bastante negativa. Pero hay pequeños detalles que alimentan la esperanza de una creciente conciencia de seguridad.
Para empezar, es importante tener en cuenta el porcentaje de usuarios que utilizan esas contraseñas. De acuerdo con los datos que maneja SplashData, de los más de dos millones de usuarios y contraseñas usados para la elaboración del listado de las peores contraseñas, sólo un 3% de las cuentas filtradas usaban esas 25 contraseñas del listado. El porcentaje es coherente con las cifras de otros años, pero la tendencia general es a la baja - es decir, cada vez más personas se pasan a las contraseñas seguras.
Por otro lado, ciertos datos del listado de este año hacen pensar que la gente empieza a tomar conciencia de su seguridad online. Por ejemplo, algunas contraseñas más largas que la media (10 caracteres) debutan en la lista, pero son simplemente versiones alargadas de las claves más simples ("1234567890" y "qwertyuiop"). En palabras del CEO de SplashData, Morgan Slain: "Hemos visto el esfuerzo de la gente por usar contraseñas más seguras haciéndolas más largas, pero están basadas en patrones tan simples que siguen siendo igual de peligrosas".
Hablando de nuevo con Carlos Roberto y Guillermo Julián, las conclusiones son claras: hay mejoras en cuanto a la tecnología, pero hace falta algo más. "Los sistemas de autentificación en dos pasos son un paso adelante", dice Carlos. "El problema es que hay un choque de intereses, donde a los servicios les interesa que el acceso sea fácil, (no tanto seguro) y a los usuarios les da igual".
Guillermo también menciona la importancia de desarrollar nuevos métodos de identificación más seguros, a la vez que se mejoran los procesos para detectar intrusiones y paliar sus consecuencias. En ese aspecto, Carlos habla de un punto importante: el de hacer los sistemas de seguridad accesibles para todos, incluso los usuarios de nivel más básico: "Muchos de los sistemas de seguridad se tienen que repensar para que los puedan utilizar todo tipo de usuarios de forma fácil, pero también con todas las medidas de seguridad necesarias. En este aspecto se ha trabajado muy poco y parece que los sistemas de seguridad se diseñan para usuario expertos, no para todo el mundo."
Al final, la mejor solución será la que combine un mínimo de formación en el usuario con las herramientas más adecuadas para proteger los datos a ambos lados: tanto en el servidor donde se alojan, como en el acceso a los mismos desde nuestros dispositivos. De momento llevamos cinco años usando "123456"; veremos qué nos depara 2016.
En Genbeta | Frases en lugar de palabras: así es la contraseña perfecta según Snowden
Ver 21 comentarios