Cómo gestionar contraseñas online
En lo relativo a la seguridad online, muchos usuarios se sienten abrumados. Mark Risher y Stephan Micklitz, expertos de Google, hablan de la importancia de tener en cuenta esta sensación a la hora de desarrollar medidas de seguridad.
Sr. Risher, eres director de Gestión de Productos en Google y trabajas en el campo de la seguridad en Internet. ¿Alguna vez has sido víctima de una estafa online?
Mark Risher: No recuerdo ningún ejemplo concreto en este momento, pero asumo que sí. Yo cometo errores cuando uso Internet, como todo el mundo. Por ejemplo, hace poco introduje mi contraseña de Google en el sitio web equivocado. Por suerte, había instalado el complemento Alerta de Protección de Contraseña de Chrome y me avisó del error. Cambié mi contraseña inmediatamente, claro.
Stephan Micklitz, director de Ingeniería del equipo de Privacidad y Seguridad de Google: Somos humanos. Cuando memorizamos una contraseña, puede ocurrir que la escribamos sin prestar la suficiente atención al lugar en el que la estamos introduciendo.
Risher: Nos encantaría librarnos de las contraseñas de una vez por todas, pero desgraciadamente no es tan fácil.
"Muchas medidas de seguridad actúan en segundo plano".
Mark Risher
¿Qué tienen de malo las contraseñas?
Risher: Tienen muchas desventajas. Son fáciles de robar pero difíciles de recordar. Además, la gestión de nuestras contraseñas puede ser tediosa. Muchos usuarios creen que una contraseña tiene que ser lo más larga y complicada posible, aunque realmente así se aumenta el riesgo de seguridad. Las contraseñas complicadas son una tentación para los usuarios porque tratan de usarlas en más de una cuenta y eso los hace más vulnerables.
Micklitz: Cuanto menos tengas que introducir la contraseña, mejor. Por eso no es bueno que inicies y cierres sesión repetidamente en tus cuentas. Con el tiempo, esto puede provocar que los usuarios dejen de fijarse en qué página web se encuentran en ese momento, lo que hace mucho más fácil que les roben sus contraseñas. Por tanto, aconsejamos a nuestros usuarios que mantengan la sesión iniciada.
El sitio web de mi banco me cierra la sesión automáticamente si permanezco inactivo unos minutos.
Micklitz: Por desgracia, muchas empresas aún siguen normas desactualizadas. El consejo de cerrar sesión continuamente tiene su historia, ya que antes los usuarios se conectaban a Internet desde cibercafés o compartían un ordenador con otras personas. Según nuestras investigaciones, cuantas más veces introduzcan los usuarios sus contraseñas, más probabilidades hay de que acaben siendo víctimas de un ciberataque. Por tanto, es más seguro activar simplemente el bloqueo de pantalla de tu teléfono móvil o del ordenador y utilizar una contraseña segura.
Risher: Exacto. Por desgracia, circula mucha información falsa o poco práctica que puede confundir a muchos usuarios. En el peor de los casos, los usuarios acaban tan confusos que se rinden porque piensan que si es tan difícil protegerse, para qué lo van a intentar. Este planteamiento es como dejar siempre la puerta de casa abierta porque sabes que hay ladrones por ahí.
Mark Risher es el director de Gestión de Productos de Google en materia de seguridad y privacidad. En el 2010, fundó la startup de ciberseguridad Impermium, que Google compró en el 2014. Desde entonces, Risher ha trabajado en la sede de la empresa en Mountain View, California. A la derecha: una llave de seguridad que se utiliza en el Programa de Protección Avanzada. Está disponible por un precio reducido y se puede usar en varios sitios web.
¿Cómo garantizaría Google la seguridad de los usuarios si desaparecieran las contraseñas?
Risher: Ya contamos con muchas medidas de seguridad adicionales que funcionan en segundo plano. Un hacker podría averiguar tu contraseña y tu número de teléfono móvil, pero aun así podríamos garantizar el 99,9 % de seguridad en tu cuenta de Google. Por ejemplo, comprobamos desde qué dispositivo o país inicia sesión alguien. Si alguien intenta iniciar sesión en tu cuenta varias veces seguidas con una contraseña incorrecta, se disparan las alarmas de nuestros sistemas de seguridad.
Micklitz: También hemos desarrollado la Revisión de Seguridad, que permite a los usuarios consultar sus ajustes personales de seguridad en su cuenta de Google paso a paso. Además, con el Programa de Protección Avanzada, vamos un paso más allá.
¿Cuál es la idea de este programa?
Micklitz: Inicialmente, el programa se desarrolló para usuarios como políticos, consejeros delegados o periodistas que podrían tener un interés especial para los ciberdelincuentes. Ahora está disponible para cualquier persona que quiera un nivel adicional de protección online. Solo los usuarios con un adaptador o llave de seguridad Bluetooth o USB especial pueden obtener acceso a su cuenta de Google protegida.
Risher: Sabemos por experiencia lo efectivo que es el sistema, ya que los empleados de Google utilizan una llave de seguridad para proteger su cuenta de empresa. Desde que se introdujo esta medida de seguridad, no hemos tenido ni un solo caso de phishing que pudiera estar relacionado con la confirmación de contraseña. El token mejora inmensamente la seguridad de la cuenta de Google porque, aunque los atacantes supieran la contraseña, no pueden acceder a la cuenta sin él. Por lo general, una cuenta online puede hackearse desde cualquier sitio del mundo, pero no ocurre lo mismo con las cuentas que están protegidas con un token físico de seguridad.
Micklitz: Por cierto, estos tokens de seguridad pueden utilizarse para muchos sitios web, no solo para el Programa de Protección Avanzada de Google. Puedes comprarlos directamente a Google o a otros proveedores por un pequeño precio. Todos los detalles están disponibles en g.co/advancedprotection.
"A veces, a los usuarios les parece difícil evaluar los riesgos de Internet".
Stephan Micklitz
En vuestra opinión, ¿cuáles son los mayores peligros que esconde Internet hoy en día? Risher: Uno de ellos es el gran número de listas de usuarios y contraseñas que hay disponibles online. Nuestro compañero Tadek Pietraszek y su equipo pasaron seis semanas rastreando Internet y encontraron 3.500 millones de combinaciones de usuarios y contraseñas. Estos datos no son de cuentas de Google hackeadas. Se han robado de otros proveedores. Sin embargo, como muchos usuarios utilizan la misma contraseña para varias cuentas, estas listas también nos plantean problemas a nosotros. Micklitz: Para mí, la suplantación de identidad (phishing) es un problema enorme. Esto se produce cuando un atacante elabora un mensaje tan bien personalizado que a la víctima le resulta difícil reconocer que es fraudulento. Vemos que los hackers utilizan este método cada vez más y que les funciona. Risher: Estoy de acuerdo con Stephan. Además, el phishing no requiere tanto tiempo como puede parecer. Suelen tardar unos minutos en personalizar un correo electrónico de spam. Los hackers pueden utilizar la información que publican los usuarios sobre sí mismos en Internet. Este es uno de los problemas de las criptomonedas, por ejemplo. Si una persona publica que tiene 10.000 bitcoines, no debería sorprenderse si llama la atención de los ciberdelincuentes. Micklitz: Es como si yo me pongo en mitad de un mercado con un megáfono y anuncio el saldo de mi cuenta bancaria. ¿Quién haría eso? Nadie. Sin embargo, a los usuarios a veces les cuesta evaluar los riesgos de Internet. Este es uno de los problemas de las criptomonedas, por ejemplo. Si una persona publica que tiene 10.000 bitcoines, no debería sorprenderse si llama la atención de los ciberdelincuentes.
Micklitz: Es como si yo me pongo en mitad de un mercado con un megáfono y anuncio el saldo de mi cuenta bancaria. ¿Quién haría eso? Nadie. Sin embargo, a los usuarios a veces les cuesta evaluar los riesgos de Internet.
¿Los correos spam siguen siendo un problema?
Risher: La vinculación de dispositivos y servicios es un gran reto para nosotros. Los usuarios no utilizan solo portátiles y smartphones para conectarse a Internet. También lo hacen con televisores, smartwatches y altavoces inteligentes. En todos estos dispositivos se ejecutan distintas aplicaciones, por lo que lo hackers tienen muchos puntos posibles para atacar. Como ahora muchos dispositivos están conectados, los hackers pueden utilizar uno para intentar acceder a la información almacenada en otro. Por eso, ahora tenemos que plantearnos la siguiente cuestión: ¿cómo podemos garantizar la seguridad de nuestros usuarios con tantos hábitos de uso nuevos?
Micklitz: Para empezar, tenemos que preguntarnos qué datos necesitamos de verdad para cada servicio y cuáles se intercambian entre los distintos servicios.
Stephan Micklitz Es director de Ingeniería del equipo de Privacidad y Seguridad de Google. Estudió Informática en la Universidad Técnica de Múnich y lleva trabajando en la oficina de Google de Múnich desde finales de 2007. Micklitz es miembro de la junta de la iniciativa alemana de seguridad online Deutschland sicher im Netz (DsiN).
¿Cómo utilizáis la inteligencia artificial para ayudar a proteger a los usuarios?
Micklitz: Google lleva bastante tiempo utilizando la inteligencia artificial.
Risher: La tecnología se incorporó en Gmail, nuestro servicio de correo electrónico, desde el principio. Google incluso desarrolló su propia biblioteca de aprendizaje automático llamada TensorFlow, que facilita el trabajo de los programadores involucrados en el aprendizaje automático. Gmail se beneficia especialmente de TensorFlow, ya que resulta muy útil a la hora de reconocer patrones típicos.
¿Podéis explicar cómo funciona este reconocimiento de patrones?
Risher: Digamos que observamos actividad sospechosa entre varios usuarios que no podemos categorizar. Una máquina de autoaprendizaje puede comparar estos eventos y, en el mejor de los casos, incluso detectar nuevas formas de fraude antes de que empiecen a propagarse online.
Micklitz: Pero hay límites. Una máquina no es más inteligente que la persona que la utiliza. Si yo introduzco en ella datos falsos o sin contrastar, los patrones que reconocerá serán también así. A pesar de todo lo que se oye por ahí sobre la inteligencia artificial, su efectividad siempre depende de la persona que la usa. Es responsabilidad del usuario hacer que la máquina aprenda con datos de alta calidad y comprobar después los resultados.
Risher: Una vez, cuando trabajaba para otro proveedor de correo electrónico, recibimos un mensaje de un empleado de un banco en Lagos. En ese momento, circulaban muchos correos electrónicos fraudulentos que supuestamente procedían de Nigeria. Este hombre se quejaba de que sus correos electrónicos siempre acababan en la bandeja de spam de las personas a las que los enviaba, a pesar de trabajar para un banco respetable. Este era un caso típico de falsa generalización dentro del reconocimiento de patrones debido a una información insuficiente. Pudimos ayudarle a resolver su problema cambiando el algoritmo.
Fotografías: Conny Mirbach
Ciberseguridad
Descubre cómo trabajamos cada día para hacer que Internet sea más seguro para todos.
Más información