Cómo administrar contraseñas en línea
Cuando se trata de seguridad en línea, muchos usuarios se sienten abrumados. Mark Risher y Stephan Micklitz de Google conversan sobre tener en cuenta esas emociones a la hora de desarrollar medidas de seguridad
Sr. Risher, usted es director de Administración de Productos en Google y trabaja en el ámbito de seguridad en Internet. ¿Alguna vez fue víctima de una estafa en línea?
Mark Risher: Ahora no se me ocurre un ejemplo en concreto, pero supongo que sí. Cometo errores cuando navego por la Web, igual que todos. Por ejemplo, hace poco ingresé mi contraseña de Google en el sitio web equivocado. Por fortuna, tenía instalado el complemento de Alerta de contraseña de Chrome, que me avisó del error. Por supuesto que cambié mi contraseña de inmediato.
Stephan Micklitz, director de Ingeniería del equipo de Privacidad y Seguridad de Google: Somos humanos. Una vez que memorizamos una contraseña, somos propensos a escribirla sin prestar especial atención al campo donde la estamos ingresando.
Risher: Nos encantaría deshacernos por completo de las contraseñas, pero lamento decir que no es tan fácil.
"Muchas medidas de seguridad están activas detrás de escena".
Mark Risher
¿Qué tienen de malo las contraseñas?
Risher: Tienen muchas desventajas; por ejemplo, son fáciles de robar, pero difíciles de recordar, y puede ser tedioso administrar nuestras contraseñas. Muchos usuarios creen que una contraseña debe ser lo más larga y complicada posible, aunque eso en realidad aumenta el riesgo de seguridad. Ya que son complicadas, los usuarios sienten la tentación de usarlas para más de una cuenta, lo que los hace aún más vulnerables.
Micklitz: Es más conveniente ingresar una contraseña con poca frecuencia. Por eso, no deberías acceder a tus cuentas y salir de ellas muy seguido. Con el paso del tiempo, eso podría generar que los usuarios no presten atención a la página web que están viendo, algo que les facilita el trabajo a los ladrones de contraseñas. Por lo tanto, recomendamos a nuestros usuarios que no salgan de sus cuentas.
En el sitio web de mi banco, se cierra la sesión automáticamente si no hubo actividad durante unos minutos.
Micklitz: Por desgracia, muchas empresas aún aplican reglas desactualizadas. El consejo de salir de forma constante se originó en la época en la que la mayoría de las personas accedían a Internet en cibercafés o compartían computadoras. Nuestros estudios demuestran que, mientras más seguido ingresen sus contraseñas los usuarios, más probabilidades tendrán de sufrir un ciberataque. Por eso, es más seguro simplemente activar el bloqueo de pantalla del teléfono celular o la computadora, y usar una contraseña segura.
Risher: Exacto. Lamentablemente, circulan muchos consejos falsos o poco prácticos, lo que puede confundir a varios usuarios. En el peor de los casos, las personas tienen tanta incertidumbre que se dan por vencidas: "Si tanto cuesta protegerme, no tiene sentido seguir intentándolo". Es algo similar a dejar la puerta de tu casa abierta porque sabes que hay ladrones en la zona.
Mark Risher es director de Administración de Productos para la privacidad y seguridad de Google. En 2010, fundó la startup de seguridad cibernética Impermium, que Google adquirió en 2014. Desde ese momento, Risher ha trabajado en la sede central de la empresa en Mountain View, California. Derecha: una llave de seguridad como se usa en el Programa de Protección Avanzada. Está disponible a un bajo costo y se puede utilizar en diferentes sitios web.
¿Cómo garantizaría Google la seguridad de los usuarios si se eliminaran las contraseñas?
Risher: Ya implementamos muchas medidas de seguridad adicionales detrás de escena. Un hacker podría averiguar tu contraseña y número de teléfono celular, y aun así podríamos garantizar una seguridad del 99.9% para tu Cuenta de Google. Por ejemplo, comprobamos desde qué país o dispositivo accede el usuario. Si alguien intenta acceder a la cuenta varias veces seguidas con una contraseña incorrecta, esa acción activará alarmas en nuestros sistemas de seguridad.
Micklitz: También desarrollamos la Verificación de seguridad, que permite a los usuarios repasar punto por punto su configuración personal de seguridad en la Cuenta de Google. Y, con el Programa de Protección Avanzada, vamos un paso más allá.
¿Cuál es la idea detrás del programa?
Micklitz: Originalmente, el programa se había desarrollado para personas como políticos, directores generales o periodistas, que podrían estar más en la mira de los delincuentes. Pero ahora está disponible para todos los usuarios que busquen una protección adicional en línea. Solo quienes tengan una llave USB o Bluetooth especial pueden obtener acceso a su Cuenta de Google protegida.
Risher: Sabemos por experiencia lo eficaz que es este sistema, ya que todos los empleados de Google utilizan una llave de seguridad para mantener segura su cuenta profesional. Desde que introdujimos esa medida de seguridad, no hemos tenido ni un solo caso de suplantación de identidad (phishing) que se pueda rastrear hasta la confirmación de la contraseña. El token mejora considerablemente la seguridad de la Cuenta de Google, ya que, aunque el atacante sepa la contraseña, no podrá acceder a la cuenta sin el token. En términos generales, una cuenta en línea se puede hackear desde cualquier parte del mundo, a menos que esté protegida con un token de seguridad físico.
Micklitz: Por cierto, esos tokens de seguridad se pueden utilizar para muchos sitios web, no solo para el Programa de Protección Avanzada de Google. Nosotros y otros proveedores los vendemos a un bajo costo. Se pueden encontrar todos los detalles en g.co/advancedprotection.
"A veces, a las personas les cuesta evaluar los riesgos de Internet".
Stephan Micklitz
En su opinión, ¿cuáles son los mayores peligros que acechan en Internet hoy?
Risher: Un problema son las numerosas listas de nombres de usuario y contraseñas que existen en línea. Nuestro colega Tadek Pietraszek y su equipo pasaron seis semanas examinando Internet y encontraron 3,500 millones de combinaciones de nombre de usuario y contraseña. Estos no son datos de Cuentas de Google hackeadas; se robaron de otros proveedores. No obstante, como muchos usuarios utilizan la misma contraseña para varias cuentas, esas listas también son un problema para nosotros.
Micklitz: Para mí, la suplantación de identidad dirigida (spear phishing) es un gran problema. Ocurre cuando un atacante elabora un mensaje tan bien personalizado que a la víctima le cuesta reconocer que es un fraude. Estamos observando que los hackers emplean cada vez más ese método con buenos resultados.
Risher: Estoy de acuerdo con Stephan. Además, el spear phishing no consume tanto tiempo como parecería. Suele tomar unos pocos minutos personalizar un correo electrónico de spam. Los hackers pueden utilizar la información que los usuarios publican sobre sí mismos en línea. Ese es un problema con las criptomonedas, por ejemplo: los usuarios que publican que tienen 10,000 bitcoins, no deberían sorprenderse si esa información atrae la atención de los ciberdelincuentes.
Micklitz: Sería como si yo me parara en el centro de un mercado y anunciara el saldo de mi cuenta bancaria con un megáfono. ¿Quién haría eso? Nadie. Pero, a veces, a las personas les cuesta evaluar los riesgos de Internet.
¿Los correos electrónicos de spam habituales siguen siendo un problema?
Risher: La vinculación de dispositivos y servicios es un gran desafío para nosotros. Los usuarios no utilizan solo laptops y smartphones para acceder a Internet, sino que también lo hacen desde TVs y relojes y bocinas inteligentes. Muchas apps se ejecutan en todos esos dispositivos, lo que les ofrece a los hackers múltiples puntos de ataque potenciales. Y, dado que varios dispositivos ahora funcionan de forma sincronizada, los delincuentes pueden utilizar un dispositivo para intentar acceder a información almacenada en otro. Entonces, la pregunta que se nos presenta es: ¿cómo podemos garantizar la seguridad de los usuarios a pesar del surgimiento de nuevos hábitos de uso?
Micklitz: Para empezar, debemos preguntarnos qué datos necesitamos realmente para cada servicio y cuáles se intercambian entre servicios.
Stephan Micklitz
es director de Ingeniería del equipo de Privacidad y Seguridad de Google. Estudió Informática en la Technical University of Munich y ha trabajado en la oficina de Google de esa ciudad desde finales de 2007. Micklitz es miembro de la junta directiva de la iniciativa alemana de seguridad en línea Deutschland sicher im Netz (DsiN).
¿Cómo utilizan la inteligencia artificial para ayudar a proteger a los usuarios?
Micklitz: Hace bastante tiempo que Google utiliza la inteligencia artificial.
Risher: La tecnología se incorporó a nuestro servicio de correo electrónico, Gmail, desde el principio. Google incluso desarrolló su propia biblioteca de aprendizaje automático, llamada TensorFlow, que facilita el trabajo de los programadores dedicados al aprendizaje automático. Gmail en particular se beneficia de TensorFlow, ya que proporciona un valioso servicio a la hora de reconocer patrones típicos.
¿Pueden explicar cómo funciona este reconocimiento de patrones?
Risher: Imagina que observamos actividad sospechosa entre varios usuarios que no podemos categorizar. Una máquina autodidacta puede comparar esos eventos y, en el mejor de los casos, detectar nuevas formas de fraude antes de que se empiecen a expandir en línea.
Micklitz: Pero hay limitaciones. Una máquina es tan inteligente como la persona que la utiliza. Si le proporciono a una máquina datos falsos o unilaterales, los patrones que reconozca también serán falsos o unilaterales. Más allá de toda la expectativa que genera la inteligencia artificial, su eficacia siempre depende de la persona que la utiliza. Es responsabilidad del usuario entrenar a la máquina con datos de alta calidad y comprobar después los resultados.
Risher: En una ocasión, cuando trabajaba para otro proveedor de correo electrónico, recibimos un mensaje de un empleado de un banco de Lagos. En ese momento, circulaban muchos correos electrónicos fraudulentos que supuestamente provenían de Nigeria. El hombre se quejaba de que sus correos electrónicos siempre terminaban en la carpeta de spam del destinatario, a pesar de que trabajaba para un banco respetable. Ese es un caso típico de generalización falsa dentro del reconocimiento de patrones debido a información insuficiente. Pudimos ayudar a resolver el problema cambiando el algoritmo.
Fotografías: Conny Mirbach
Avances en seguridad cibernética
Conoce cómo protegemos a más personas en línea que ninguna otra empresa en todo el mundo.
Más información