'123456', '0000'... Ha quedado claro que no nos esmeramos en exceso
a la hora de escoger las contraseñas y que, pese a las recomendaciones
de los expertos, el usuario medio sigue optando por fórmulas sencillas
de recordar. Es el complejo equilibrio entre la seguridad y la comodidad
de uso: si se utilizaran siempre sofisticadas combinaciones de
caracteres, resultaría más complejo para los hackers acceder a
una cuenta... pero también para el propio usuario. Esta debilidad ha
sido puesta en evidencia una vez más pero en esta ocasión ha sido un
sistema creado por unos investigadores que adivina la gran mayoría de
las contraseñas conociendo algunos datos de su víctima.
Investigadores de las universidades Lancaster, Peking y
la Fujian Normal University han trabajado de forma coordinada para dar
con un sistema que es capaz de acertar las contraseñas con un 73% de
posibilidades de éxito. Este sistema ha sido bautizado como TarGuess y
basa su eficacia en llevar a efecto de manera automatizada lo que los hackers
hacen de forma manual cuando intentan acceder a una cuenta on-line:
investigar la actividad de su víctima en la red. Cómo se llaman sus
familiares, su mascota, dónde ha pasado sus vacaciones... Combinando
estos datos comienza el juego de las adivinaciones y con él se elevan
las posibilidades de acertar.
El estudio hace de manera automatizada lo que los hackers hacen de forma manual: investigar la actividad de su víctima en la red
El equipo ha replicado esta sistemática empleando
modelos matemáticos con los que se ponen cifras a su eficacia: 73% de
éxito en contraseñas convencionales, y un llamativo 32% en aquellos
casos en los que el usuario se ha esforzado por lograr una contraseña
sofisticada. El gran reto al que se enfrentó el equipo fue lograr dar
con las combinaciones adecuadas antes de que el servidor bloquee la
cuenta (como medida de seguridad ante los ataques por fuerza bruta).
Pero es aquí donde entran en juego los algoritmos de TarGuess.
El sistema trabaja con escenarios en los que se
repiten los patrones y hasta siete modelos matemáticos que emplean a su
vez la información de la que se dispone de la víctima. Los
investigadores trabajaron además con los datos filtrados en los ataques a
cuentas como Yahoo!
para luego dejar a TarGuess poner a prueba su efectividad en otros
sitios. La principal conclusión de este proyecto por parte del equipo es
que los sistemas de seguridad empleados en la actualidad no son
suficientes ante un ataque organizado basado en algoritmos y esperan
concienciar a los usuarios acerca de la importancia de escoger
contraseñas sofisticadas.