Todos sabemos que debemos crear contraseñas seguras. Pero, con todo el tiempo que pasamos preocupándonos por nuestras contraseñas, hay una puerta trasera que no tenemos en cuenta. Cuestiones de seguridad son a menudo fáciles de adivinar y, a menudo pueden pasar por alto las contraseñas.
Afortunadamente, muchos servicios se están dando cuenta de que las preguntas de seguridad son muy inseguros y se están suprimiendo. Google y Microsoft ya no ofrecen preguntas de seguridad para sus cuentas – en su lugar, se puede recuperar una cuenta utilizando un número de teléfono asociado.
El «Hack» Palin
Esto no es sólo un problema teórico. La cuenta de correo electrónico Yahoo! de Sarah Palin fue célebremente «hackeada» en el período previo a las elecciones de 2008. El «hacker» sólo tuvo que reestablecer la contraseña respondiendo a su pregunta de seguridad. La pregunta fue donde conoció a su esposo, y la respuesta – Wasilla High- era accesible con una rápida búsqueda en Google.
El problema con las cuestiones de seguridad
Esto no sólo es un problema para Sarah Palin. Cuando creamos cuentas – desde cuentas bancarias hasta cuentas de correo electrónico – a menudo somos obligados a establecer una pregunta de seguridad. La mayor parte del tiempo se nos proveerá de una lista de preguntas predefinidas como «¿Dónde fuiste a la escuela secundaria?» Y «¿Cuál es el apellido de soltera de tu madre?». Algunos sitios web le permiten crear sus propias preguntas, pero muchos le fuerzan a elijir de su lista de preguntas sugeridas. Algunos sitios web le obligan a configurar varias preguntas y respuestas de seguridad, lo que significa que no sólo puede elegir una sola respuesta que sea fácil de recordar – se ve obligado a elegir varias preguntas diferentes y recordar todas las respuestas.
El problema real de las preguntas de seguridad es que las respuestas son demasiado obvias. Respuestas a muchas preguntas de seguridad, desde «¿Cuando es tu cumpleaños?» hasta «¿Dónde fuiste a la escuela secundaria?» son de conocimiento público, por si a alguien le interesa buscar. Algunas incluso pueden ser encontradas buscando en Google. Incluso las respuestas que no son de conocimiento público, ya que la mayoría de la gente normal comparten detalles entre ellas, como donde conocieron a su cónyuge y dónde han ido a la escuela en una conversación normal.
Conceptos básicos para preguntas de seguridad
Si nunca ha restablecido la contraseña de una cuenta, es posible que nunca haya tenido que hacer frente a sus propias preguntas de seguridad y puede olvidarse de ellas. A menudo es posible hacer clic en un enlace en el que diga que usted ha olvidado su contraseña y, si contesta la pregunta de seguridad correctamente, se le concede el acceso a esa cuenta de nuevo. De esta manera, usando la pregunta de seguridad permite saltarse la contraseña. Su cuenta ya no es tan segura como su contraseña, es tan segura como su pregunta de seguridad más evidente.
Las respuestas a las preguntas de seguridad también son más fáciles de adivinar. Por ejemplo, si la pregunta es «Cuál es el nombre de su primera mascota?», sería muy fácil adivinar algunos nombres comunes para mascotas. No importa si su contraseña es algo tan difícil como «3&40$d#%$t#kteyt». Si el nombre de su primera mascota fue «Fido» y usted responde a la pregunta de seguridad con exactitud, la respuesta va a ser fácil de adivinar.
No todos los servicios restablecerán su cuenta y le darán a alguien el acceso sólo por saber la respuesta a su pregunta de seguridad, pero algunos lo harán. Otros servicios utilizan preguntas de seguridad como parte de un proceso de autenticación que requeriría otra información personal.
Cómo elegir respuesta para preguntas de seguridad
Mantenga todo esto en cuenta a la hora de elegir las preguntas para las respuestas de seguridad. Elija algo que sea difícil de averiguar o adivinar para otras personas, no algo como dónde fue a la escuela.
La segunda alternativa es eliminar la pregunta de seguridad. Por ejemplo, si se le ofrece la oportunidad de escribir su propia pregunta de seguridad, puede introducir una pregunta como «¿Cuál es la respuesta?» o una referencia a una broma que solamente usted conozca. También puede proporcionar una respuesta tan segura como la pregunta -Tal vez su respuesta / pregunta pueda ser algo así como «¿Cuál es la respuesta?», «45D%po#Yih8d0Y$fgp(i34t» ahora ya tiene una segunda contraseña para su cuenta- anótelo en algún lugar seguro o guárdelo en un gestor de contraseñas como LastPass o KeePass para que pueda acceder a ella en caso de que la necesite. Con una respuesta como esa, ya tiene una segunda contraseña.
Tenga en cuenta que tampoco tiene por que responder a las preguntas con precisión. Por ejemplo, si la pregunta es «¿Dónde fué su primer beso?» Y ha vivido en Nueva York toda su vida, es probable que no quiera introducir Nueva York – la cual es una respuesta muy obvia. Tal vez sería mejor algo como «En un cráter en la Luna» u otra respuesta tonta que tendrá que recordar, pero otras personas tendrán más problemas para adivinar. Por supuesto, incluso esta respuesta es más evidente que una cadena aparentemente aleatoria. Tal vez su respuesta a «¿Donde fué su primer beso?» es «»9je7%5yry835#9reou&hf94@7gt5». Aun cuando se está obligado a utilizar una cierta pregunta, uno es libre de introducir cualquier respuesta que se desée, siempre y cuando pueda recordarlo. Por supuesto querrá mantener esa respuesta en sitio seguro en caso de tener que ser usada en el futuro.
Las preguntas de seguridad son inseguras. Pero incluso si se ve obligado a usarlas o forzado a usar una pregunta insegura, nunca está obligado a dar una respuesta exacta. Puede introducir cualquier respuesta que usted desée, siempre y cuando pueda recordarla después. Haga lo que haga, asegúrese de que no está dejando una puerta trasera abierta a cualquier atacante que podría utilizarla para eludir su contraseña.