Capítulo 8: Contraseñas
¶ 1 Leave a comment on paragraph 1 0 Todos los sistemas y herramientas mencionados en este libro usan contraseñas como método para identificar correctamente a los usuarios autorizados y protegerse contra el acceso no autorizado. Las contraseñas fuertes son vitales como defensa en todos los niveles de seguridad de la información.
¶ 2 Leave a comment on paragraph 2 0 Sin embargo, sé consciente de que las contraseñas de cuentas online son ante todo una defensa contra hackers que no trabajan para el Estado (que también son capaces de conseguir programas comerciales cada vez más sofisticados para descodificar contraseñas). Puede que a nivel estatal se acceda por la puerta trasera a tus cuentas online, lo que provoca que en último término tu contraseña no tenga valor alguno. Esta es una buena razón para encriptar tus correos. Puedes tener una contraseña de Hotmail increíblemente fuerte, pero esto no impide que de todos modos las agencias de inteligencia fuercen a Hotmail a entregarles todos tus correos (o más probable, interceptar y guardarlos sin permiso). Si tus correos están encriptados, todo lo que Hotmail puede entregar es un amasijo de código (hasta el momento) indescifrable.
¶ 3 Leave a comment on paragraph 3 0 Así que, si bien las contraseñas fuertes siempre son una buena idea, aquellas contraseñas que protegen tu sistema (p. ej. encriptación del disco duro) y tus programas de encriptación son mucho más importantes que las contraseñas de las cuentas online.
¶ 4 Leave a comment on paragraph 4 0 Riesgos:
- ¶ 5 Leave a comment on paragraph 5 0
- Olvidar y perder contraseñas.
- Burlas contraseñas mediante accesos por puerta trasera (cuentas online).
- Hacking (hacking de contraseñas relativamente inexperto).
- Decodificación de contraseñas (experto).
- Programas para registrar las teclas pulsadas.
- Revelar una contraseña por la fuerza.
¶ 6 Leave a comment on paragraph 6 0 Acciones de InfoSec:
- ¶ 7 Leave a comment on paragraph 7 0
- Aprender a crear contraseñas fuertes.
- Usar el gestor de contraseñas KeePassX (si confías en tu sistema). KeePassX es un gestor de contraseñas de código abierto que puede generar y guardar nombres de usuario y contraseñas en una base de datos local, encriptada y protegida por tu contraseña maestra. Está disponible para Linux, Mac y Windows.
- Guardar las contraseñas más importantes solamente en tu cabeza.
- Usar volúmenes escondidos para archivos importantes encriptados.
¶ 8
Leave a comment on paragraph 8 0
Decodificación de contraseñas: entender los riesgos
¶ 9 Leave a comment on paragraph 9 0 Si tu sistema no es seguro, descodificar tu contraseña durante un ataque dirigido es simple. Alguien en tu contra podría introducir un registrador de teclas en tu sistema para guardar cada pulsación físicamente o de forma remota. Esto querría decir que captura todo lo que escribes, incluyendo tu contraseña. No es un ataque altamente sofisticado, pero invalida totalmente otras medidas de seguridad. Por esto, es muy importante asegurar tu sistema desde el primer momento, como indicamos en los capítulos uno y dos.
¶ 10 Leave a comment on paragraph 10 0 No obstante, si tu sistema es seguro y tu adversario no puede usar herramientas de registro de teclas, un atacante puede intentar descodificar las contraseñas que protegen tu sistema, software y cuentas (y esto puede ser o un hackeo a gran escala que afecte a miles de usuarios, o un ataque dirigido contra un individuo).
¶ 11 Leave a comment on paragraph 11 0 En todo el mundo, las autoridades usan programas de descodificación de contraseñas, pero también están disponibles versiones más complejas como productos comerciales. Un descodificador de contraseñas puede probar automáticamente como mínimo ocho millones de contraseñas por segundo y puede funcionar durante días en varios ordenadores simultáneamente. Para un blanco de perfil alto, un decodificador de contraseñas puede funcionar en múltiples ordenadores durante meses.
¶ 12 Leave a comment on paragraph 12 0 Los descodificadores de contraseñas prueban primero las contraseñas más comunes. Una contraseña típica consiste en una raíz con un apéndice. La raíz no es necesariamente una palabra del diccionario, pero es algo pronunciable. Un apéndice es un sufijo (90% de las veces) o un prefijo (10% de las veces). Un programa de decodificación empezaría de forma típica con un diccionario de 1. 000 contraseñas comunes, como “letmein,” “temp,” “123456,” y así, y después probarlos con alrededor de 100 apéndices de sufijo comunes: “1,” “4u,” “69,” “abc,” “!,” etc. Se cree que alrededor de una cuarta parte del total de contraseñas puede ser descifrada con sólo estas 100.000 combinaciones.
¶ 13 Leave a comment on paragraph 13 0 Los descodificadores usan diferentes diccionarios: palabras en inglés, nombres, palabras extranjeras, patrones fonéticos, etc. para las raíces; dos dígitos, fechas, símbolos suelto, etc. para los apéndices. Utilizan los diccionarios con varias mayúsculas y substituciones comunes: “$” para “s”, “@” para “a,” “1” por “l” etcétera. Esta estrategia descifra rápidamente alrededor de dos tercios de todas las contraseñas.
¶ 14 Leave a comment on paragraph 14 0 El atacante puede introducir en el descodificador cualquier información personal disponible sobre el creador de la contraseña. Un buen decodificador de contraseñas probará nombres y direcciones de la libreta de direcciones (códigos postales son un apéndice común), fechas significativas, y cualquier otra información personal que tenga.
¶ 15 Leave a comment on paragraph 15 0 Si tu hardware no es seguro (¡la raíz de todos los problemas!), es posible lanzar un ataque especialmente amplio. Un atacante puede indexar el disco duro de un blanco y crear un diccionario que incluya cualquier cadena de caracteres, incluidos los archivos borrados. Si alguna vez has guardado tu contraseña en un archivo extraño, o si el programa lo ha guardado en la memoria, este proceso dará con él y contribuirá al proceso de descodificar tu contraseña.
¶ 16
Leave a comment on paragraph 16 1
Cómo crear una contraseña fuerte
Una contraseña fuerte es la que elude el proceso de descodificación descrito.
¶ 17 Leave a comment on paragraph 17 0 Gestor de contraseñas
¶ 18 Leave a comment on paragraph 18 0 Una opción es usar software de código abierto que gestione contraseñas como KeePassX para generar aleatoriamente contraseñas alfanuméricas, largas (también con símbolos, si se admiten para una contraseña concreta), y después guardarla en tu propia base de datos encriptada de contraseñas. Si confías en las otras capas de tu sistema, esta es una opción bastante sólida.
¶ 19 Leave a comment on paragraph 19 0 Además, es una buena manera de guardar múltiples contraseñas complicadas para múltiples cuentas, ya que KeePassX también tiene campos para insertar URLs, nombres de cuentas y comentarios para cada contraseña, de modo que puedes guardar de forma segura toda la información que necesites. Las contraseñas generadas aleatoriamente no son puede memorizarse, lo que sirve como función de seguridad. No obstante, KeePassX te permite simplemente copiar y pegar contraseñas desde la base de datos, así que ni siquiera tienes que escribirlas.
¶ 20 Leave a comment on paragraph 20 0 Hay cierto debate sobre la efectividad de estos programas para generar contraseñas aleatorias, pero al cerebro humano también se le da bastante mal el azar, de modo que sigue siendo una de las mejores opciones que tenemos por el momento.
¶ 21 Leave a comment on paragraph 21 0 Necesitarás crear una contraseña para KeePassX, tiene que ser extremamente fuerte. Deberías intentar guardar esta contraseña sólo en tu cabeza.
¶ 22 Leave a comment on paragraph 22 0 Estrategia Schneier
¶ 23 Leave a comment on paragraph 23 0 Deberías utilizar contraseñas creadas manualmente para encriptar todo tu sistema, cualquier USB encriptado o archivos de suma importancia (p. ej. documentos de la fuente) y tu gestor de contraseñas. Estas contraseñas importantes deberían de estar guardadas solamente en tu memoria, por tanto, tienen que ser fáciles de memorizar.
¶ 24 Leave a comment on paragraph 24 0 Por supuesto, para minimizar cualquier daño en caso de que una contraseña llegara a verse comprometida, tendrías que evitar reutilizar las contraseñas.
¶ 25
Leave a comment on paragraph 25 0
Para crear de manera manual una contraseña, recomendamos la ‘estrategia Schneier’, un método recomendado por Bruce Schneier, un criptógrafo y experto en seguridad de prestigio internacional.
Schneier aconseja elegir frases fáciles de recordar y reducir las palabras a iniciales, símbolos y números con el fin de convertirla en contraseña.
¶ 26 Leave a comment on paragraph 26 0 Por ejemplo, “este cerdito fue al mercado” puede convertirse en “ecfue@lmrkd”. Esa contraseña de nueve caracteres no estará en el diccionario de nadie. Escoge tu propia frase, algo personal, pero no relacionado obviamente contigo mediante datos públicos. He aquí algunos ejemplos:
- ¶ 27 Leave a comment on paragraph 27 0
- Cyt7amhtmcdpai. . . = Cuando yo tenía siete años, mi hermana tiró mi conejo de peluche al inodoro.
Wow. . . eshf = Wow, ese sillón huele fatal. - Hmti3mp0e1gnml~ = Hace mucho tiempo, en una galaxia no muy lejana.
- hEMMlcw55:utvmecer@gur@ uTVM,TPw55:utvm,tpwstillsecure = Hasta este mismo momento, la contraseña w55:utvm era segura.
¶ 28 Leave a comment on paragraph 28 0 (Por supuesto, no uses ninguno de los ejemplos anteriores, ahora que las hemos usado, ya no son válidas como contraseñas fuertes).
¶ 29 Leave a comment on paragraph 29 0 Si te fuerzan a revelar una contraseña
¶ 30 Leave a comment on paragraph 30 0 Esperemos que nunca te encuentres en esta situación. Pero, supongamos que un grupo o agencia con malas intenciones te ha interceptado cuando llevabas una memoria USB encriptada (con tus archivos más importantes o documentos de tu fuente), y están dispuestos a llegar a medidas extremas para obtener la contraseña que les permita desencriptar esa memoria. ¿Qué haces?
¶ 31 Leave a comment on paragraph 31 0 En casos así, puede ser de ayuda tener en tu lector USB un volumen oculto. Un volumen oculto no es visible para nadie y no parece ocupar espacio en el lector. Como tal, puede sobreescribirse fácilmente. Sin embargo, esto quiere decir que el volumen visible encriptado puede servir como señuelo y proporcionarte una negación plausible. En el volumen encriptado visible, puedes guardar archivos que podrían razonablemente requerir seguridad y encriptación, y este volumen tiene su propia contraseña. Sin embargo, el volumen encriptado oculto se asienta de forma no detectable bajo el volumen visible, y tiene una contraseña separada.
¶ 32 Leave a comment on paragraph 32 0 Puedes crear un volumen encriptado oculto con TrueCrypt (ver capítulo 4). Este método puede ayudar a proteger la información si intentan interceptarla, pero no si se pierde, Puede destruirse o sobreescribirse fácilmente, por lo que deberías hacer siempre una copia de seguridad de los archivos importantes.
¶ 33 Leave a comment on paragraph 33 0 (Buena parte de este capítulo se ha adaptado del blog de Bruce Schneier, https://www.schneier.com/ . Agradecemos al Sr. Schneier el permiso para usar su trabajo).
En este capítulo se varía constantemente entre las formas “decodificar” y “descodificar” (y sus variantes: “descodificado”, etc). Sería mejor usar una sola forma de la palabra para que la lectura sea más sencilla.
Normalmente, es más clara la forma “descodificar” (con “s”).
PD: Este comentario es aplicable al libro completo, por coherencia.