¿A qué se dedicaba su abuelo materno? ¿Cuál era el nombre de la mascota de su escuela superior? ¿El nombre del primer perro que tuvo?
Si usted tiene una cuenta con un minorista en línea como Amazon.com, probablemente le hicieron estas preguntas cuando abrió la cuenta o cuando trató de recuperar una de las decenas de contraseñas que le dan vueltas en la cabeza. Los negocios en línea utilizan esta técnica, conocida como “autenticación basada en conocimientos”.
En teoría, las respuestas a estas preguntas son tan personales y difíciles de adivinar que el único que las sabe es usted. Pero los expertos dicen que la tecnología pudiera acabar facilitando a los piratas el camino a las cuentas en línea de los usuarios.
[<img border="0" src="/pcwla2.nsf/0/2A30610947D50AAE8525743200123E9B/$File/pag61compumayo08.gif">]
La autenticación basada en conocimientos no es un sustituto para las contraseñas y los nombres de usuario; es una capa de seguridad adicional encima de estos esquemas, ya que los piratas que encuentren las credenciales de acceso de un usuario no podrán adivinar fácilmente el nombre de la novia que éste tenía en la escuela secundaria. Para sacar de su computadora la información de acceso y las respuestas a preguntas secretas haría falta un programa que detecte los golpes de teclas, lo que pondría más difícil las cosas a un pirata malintencionado.
Los criminales están más cercanos
Jon Fisher, cuya firma Bharosa (adquirida el año pasado por Oracle) desarrolla preguntas para las compañías, dice que la autenticación basada en conocimientos agrega otro paso al acceso de la cuenta. “Utilizar el phishing para extraer ambos tipos de información sería bastante complejo”.
Pero los estafadores se han adaptado, y añaden preguntas secretas a sus páginas falsificadas, dice Lance James, CTO de la compañía de investigación de fraudes Secure Science. Los sitios de phishing que pretenden ser de bancos pueden incluir su propia lista desplegable fraudulenta para capturar las respuestas de los visitantes, que los malhechores usarán para ingresar en las cuentas reales.
Incluso cuando los piratas no recurren a estas argucias, estos pedazos de información pueden ser más fáciles de adivinar que las contraseñas. Mark Burnett, autor de “Hacking the Code”, ha notado que ciertas preguntas aparentemente aleatorias como “¿Cuál era la marca de su primer automóvil?” tienen una lista reducida de respuestas –38 fabricantes importantes de autos– que los piratas pueden usar para tratar de entrar en una cuenta, comparado con la enorme cantidad de combinaciones posibles en una contraseña.
Confunda al pirata
Las compañías se han percatado de la debilidad de este enfoque y casi todas han aumentado sus listas de preguntas. Pero idear preguntas suficientemente generales para todos y a la vez tan específicas que sean fáciles de recordar es una tarea formidable. La mayor parte de las personas puede acordarse de una película favorita, pero su respuesta a esa pregunta pudiera cambiar con el tiempo. Obtener la respuesta correcta requiere que usted se acuerde de detalles como cuándo contestó esa pregunta, todo lo cual aumenta las posibilidades de cometer un error. Por otra parte, algunos factoides como la ciudad donde usted nació, el nombre de soltera de su mamá, o su número de seguro social pudieran ser información pública.
[<img border="0" src="/pcwla2.nsf/0/2A30610947D50AAE8525743200123E9B/$File/pag62preparemayo08.gif">]
“Usted necesita una pregunta [que sea] discernible si un millón de personas la ve por primera vez”, dice Fisher. Pero él cree que algunas preguntas han llegado a ser esotéricas. “Veo una situación donde los bancos han sacrificado la facilidad de uso para mejorar la seguridad”.
“[Las preguntas definitivamente son] cada vez más raras”, dice James. “Acabo de ver una que decía ‘¿Cuál es el nombre de su primera mascota?’ pero yo tenía dos perros cuando era niño, así que no supe cómo responder”.
Mientras tanto, las redes sociales en línea proveen una gran cantidad de información sobre las personas –incluso las fechas de nacimiento, las direcciones, su educación y sus gustos personales en libros, películas y demás– que los estafadores pudieran aprovechar.
Amir Orad, de la compañía antifraudes Actimize, no espera que las personas dejen de compartir su información personal. “Creo que esta tendencia es imparable. Usted no va a cambiar el comportamiento de 200 millones de usuarios de Facebook y MySpace.” Orad cree que los bancos y comercios deben desarrollar sistemas para detectar las prácticas fraudulentas entre bastidores, al igual que las compañías de crédito han ideado maneras de reconocer las compras sospechosas y notificar a los clientes.
Hágalo más simple, no más tonto
Unos cuantos pasos simples pueden ayudarle a impedir la autenticación fraudulenta. Orad recomienda que no utilice ninguna información sobre su vida personal que pueda estar disponible en línea. “Cualquier cosa que usted diga, puede y será utilizada en su contra”, asegura.
Además, usted debe dirigir las transacciones en línea hacia los negocios que ofrecen más que simples contraseñas y preguntas secretas como protección. Por ejemplo, PayPal ofrece un dispositivo que genera contraseñas únicas que pueden usarse para un acceso seguro y el Bank of America recientemente introdujo un programa que envía los números de identificación requeridos (PIN) a los teléfonos móviles de sus clientes por medio de SMS.
-Paul F. Roberts es un escritor independiente y analista principal de seguridad de The 451 Group, una compañía independiente de investigaciones de la industria.