(dpa) – Los programas gestores de contraseñas alivian la memoria cerebral
y, si son bien empleados, proporcionan mayor seguridad. El usuario debe pensar
muy bien en qué solución confiar para guardar la clave de su vida en la
computadora.
La navegación en Internet es una verdadera gimnasia para la memoria. Sea el
correo, la dirección de amigos en Facebook o la cuenta
bancaria: para cada cosa hay que acordarse del número de cliente, de la
clave de entrada o de la contraseña.
Muchos se ayudan mediante una nota en el bolsillo o una contraseña única para
todo. Lo primero no es demasiado cómodo, lo segundo tampoco es especialmente
seguro. Lo que verdaderamente ayuda son los programas gestores de
contraseñas: guardan los datos de acceso en una especie de caja fuerte
virtual que el usuario puede abrir con una sola contraseña.
Toda una serie de productos viene ahora en apoyo a la memoria: gratuitos o de
pago, desde el simple banco de datos hasta el complejo gestor de varias
identidades. “Las propias necesidades determinan cuál es la elección
correcta”, señala Marit Hansen, especialista del Centro de Protección
de Datos ULD, en el estado alemán de Schleswig-Holstein. Los productos
gratuitos no son necesariamente los peores, y es por ello que aconseja,
antes de instalar un programa, informarse primero de los tests en revistas
especializadas o en Internet.
Algunos programas funcionan sólo en la computadora local. Hay otros con
versión en memoria USB, de modo que el usuario pueda llevar consigo sus datos de
acceso en el bolsillo. Si el software puede administrar varias identidades, ello
facilita la separación entre el trabajo y la vida privada. Y algunos programas
gestores sirven no sólo de caja fuerte sino que además ayudan a la
creación de contraseñas más complicadas y, por ello, más seguras.
Pese a todo, esta comodidad tiene sus riesgos. “No todos los
navegadores tienen una contraseña para el administrador del sistema”,
dice Ruben Wolf, del Instituto Fraunhofer en Darmstadt.
Quien tenga acceso a la computadora puede entrar también en el correo o la
cuenta de Facebook. Precisamente en Firefox, uno de los navegadores favoritos,
es importante la contraseña del administrador del sistema: sin ésta, el
programa almacena los datos sin codificar.
Algunos proveedores guardan la clave de la vida digital “en la nube”, es
decir, en el servidor. Esto resulta muy cómodo, pues está al alcance de todo
lugar que tenga acceso a Internet. No obstante, los especialistas tienen
objeciones de seguridad: últimamente se ha revelado que muchos servicios
en la nube no están suficientemente asegurados contra ataques externos,
advierte Marit Hansen.
En tal sentido, el conocido gestor de contraseñas LastPass tuvo últimamente
un grave traspiés. Por ello, la especialista aconseja: “Lo mejor es
guardar las contraseñas en el propio entorno de seguridad” – es decir,
no en la nube.
Cualquiera que sea el procedimiento que se use, lo importante es la
codificación, para lo cual el experto del Instituto Fraunhofer aconseja un
sistema actual. Para ello, por ejemplo, los sistemas AES 128 o AES 256, de
amplia difusión, permiten tantas combinaciones de claves que un atacante
precisaría de años de cálculo para descifrarlas por el sistema conocido como
“ataque fuerza bruta”.
Ninguna codificación sirve de nada si el ladrón puede adivinar la clave de
acceso o dispone de suficiente capacidad de computación. Quien guarda la clave
para todo su sistema digital en un lugar, debe ingeniarse una contraseña segura.
De ninguna manera debe emplarse palabras de uso común, nombres ni apellidos
comunes. Los hackers hacen que sus programas prueben todas las palabras, nombres
o combinaciones posibles de ambos: casa, oficina, papá, Pérez, González, Pedro,
José, año2012, etcétera. Es lo que se llama “ataque diccionario”. Incluso
tampoco una compleja combinación de caracteres debería ser problema para el
usuario: “A fin de cuentas, usamos la contraseña a menudo y acabamos por
aprenderla de memoria”, dice Wolf.
Casi todos los gestores de contraseñas tienen empero un punto débil: al negar
al atacante acceso a los datos secretos, le está indicando ya que usa una
contraseña equivocada, lo cual permitirá al intruso dar a su software
instrucciones para probar otras posibilidades. Para ello, el Instituto
Fraunhofer de Darmstadt creó el programa MobileSitter para teléfonos móviles.
“Nuestro procedimiento permite al atacante entrar sin problemas con cualquier
clave de administrador, y que incluso halle también contraseñas”, explica Ruben
Wolf. “Pero el hacker ignora si se trata de contraseñas falsas o
verdaderas”, con lo cual acaba en una confusión total.
Wolf explica el efecto de MobileSitter: “El atacante abre la caja de caudales
usando cualquier clave de acceso y puede ver allí joyas guardadas, pero no sabe
si éstas son verdaderas o falsificadas”. De esta manera, todo ataque por fuerza
bruta o por diccionario termina en fracaso y resulta infructuoso.
Cualquiera que sea el sistema que se elija para dominar el caos de las
contraseñas, la especialista Marit Hansen aconseja suma cautela. Hay que
mantenerse alertas a las informaciones de prensa sobre filtraciones en sistemas
de seguridad o actualización de programas. Y recomienda mantener una copia de
seguridad de la lista codificada de contraseñas en un soporte externo, como una
memoria USB, y mantenerlo en un lugar seguro. “Porque, si se confía en
un gestor de contraseñas, uno se hace dependiente”, señala.
Con todo, la memoria es la mejor caja fuerte. Entre 15 y 20 contraseñas debe
mantener el usuario en su memoria, según estimaba la asociación informática
alemana Bitkom en el año 2007, pero hoy en día deben ser muchas más. En todo
caso, la mayoría resiste confiarse en un medio auxiliar: el 74 por ciento se
aprende las claves de memoria, el 16 por ciento las guarda en un papel en algún
lugar de casa.
Otro seis por ciento escribe sus contraseñas en la agenda o en una hoja que
guarda en el portamonedas. El instituto de opinión pública Forsa interrogó al
respecto a 1.000 ciudadanos alemanes, por encargo de Bitkom.
