AP
NUEVA YORK, EU.- A medida que más sitios en Internet exigen contraseñas, los delincuentes se las ingenian para obtenerlas, por lo que ha sido necesario diseñar sistemas codificados más complejos.
Los países escandinavos están entre los líderes de estas tecnologías, a medida que muchas empresas en la red mundial abandonan las contraseñas invariables y cambian a la así llamada autentificación de dos factores.
“Las contraseñas son estructuras del pasado que ya no son efectivas”, dijo Joseph Atick, director general de Identix Inc., una empresa de Minnesota que diseña sistemas de seguridad basados en huellas digitales. “La mente humana no está acostumbrada a manejar tantas contraseñas y números de identificación personal”.
Un ejemplo de los nuevos sistemas es el que emplea la sueca Marie Jubran. Para tener acceso a su cuenta bancaria en línea, abre un buscador en la Internet y mecanografía su número de identificación oficial junto a una contraseña de cuatro dígitos.
Después, para mayor seguridad, extrae una tarjeta que hay que tallar para revelar 50 códigos. Jubran los emplea, uno por uno, cada vez que entra al sistema o realiza una transacción. Su banco, Nordea PLC, automáticamente le envía una tarjeta nueva cuando la suya está a punto de terminarse.
Cuando sólo se requiere una contraseña invariable, los expertos en seguridad recomiendan que los usuarios combinen letras y números y eviten las fáciles de adivinar, como “1234” o un apodo.
Stevan Hoffacker sigue esas reglas pero comete un error distinto: usa la misma contraseña para todo, incluyendo el acceso a diversas cuentas de correo electrónico, a la librería en línea Amazon.com, al sitio del periódico The New York Times y en su cuenta para el pago automático de las cuotas de peaje en carreteras.
En tales casos, si los hackers -personas que violan los sistemas de seguridad de sitios cibernéticos- o los que cometen fraudes logran tener acceso a una cuenta, en potencia tienen acceso a todos los datos privados de una persona en la Internet.
“Esa es una de las cosas en las que si me pongo a reflexionar, (concluyo que) no es buena, pero hago mi mayor esfuerzo para no pensar en ella”, dijo Hoffacker, un gerente de tecnología de la información que vive en Nueva York.
Sin embargo, es difícil recordar decenas de contraseñas sofisticadas, pues actualmente muchos sitios las solicitan. Algunas alternativas incluyen escribirlas sobre una nota pegada a un monitor o en una hoja de cálculo electrónica, prácticas que los expertos en seguridad también consideran inseguras.
Programas de cómputo como el Norton Password Manager (Administrador Norton de Contraseñas) de Symantec Corp. y el Keychain de Apple Computer Inc. ayudan a almacenarlas en una forma segura, codificada. Pero si usted pone en riesgo la contraseña maestra, pierde su buena suerte. Toda su colección puede caer en manos mal intencionadas.
Además, muchos sitios enviarán las contraseñas en forma insegura -sin codificación- vía correo electrónico si usted olvida codificarlas. Una página llamada BugMeNot.com incluso alienta a los usuarios a emplear la misma contraseña en sitios no financieros como los periódicos.
“Phishing”
Existen muchas herramientas para apoderarse de las contraseñas: Hay grabadoras instaladas secretamente en terminales públicas de Internet, las cuales registran las teclas pulsadas y pueden obtener las contraseñas. Otra forma de lograrlo es por medio de correos electrónicos diseñados para engañar a los usuarios, con el fin de que ellos envíen sus datos a sitios fraudulentos que parecen auténticos, un fenómeno conocido como “phishing”.
Estos son virus de cómputo programados para recolectar contraseñas, así como software que infiere éstas al revisar palabras en diccionarios.
Aunque los analistas no tienen cifras precisas sobre los fraudes cometidos con contraseñas, culpan a las que son inseguras de las transferencias financieras no autorizadas, violaciones a la privacidad e incluso el acceso ilegal a las redes cibernéticas de las corporaciones.
Con la autentificación de dos factores, tener una sola contraseña ya no sirve.
“Con nuestros productos, el ‘phishing’ ya no es un problema”, dijo Jochem Binst, de Vasco Data Security International Inc.
La compañía belga produce dispositivos del tamaño de una calculadora de bolsillo o un llavero. La persona escribe su contraseña en el aparato para obtener un segundo código en base a la hora del día y las características particulares de la unidad. Ese es el código que el usuario emplea en el sitio en Internet al que quiere tener acceso.
Alguien que se robe el dispositivo no tendrá la contraseña y el que se entere de ésta no tendrá el aparato.
MasterCard International Inc. ha estado probando sistemas similares en Gran Bretaña, Alemania y Brasil. Al pasar una tarjeta de crédito con un microcircuito inteligente a través de un lector especial e introducir el número de identificación personal se obtiene una contraseña válida una sola vez en empresas como Office Max -especializada en artículos de oficina-, la aerolínea British Airways y otras.
La gente prestará más atención a la seguridad a medida que más datos de su vida privada estén en la red mundial, dijo Robert Chesnut, vicepresidente de normas, confianza y seguridad en eBay, empresa de ventas a través de la Internet. Ofreció esta analogía: “Entre más cosas guarde uno en su casa, mejor cerrojo tendrá”.
