Puede que usted en los tres últimos meses haya recibido algún e-mail procedente de una plataforma de servicios en la que se encuentre registrado animándole a cambiar de contraseña de acceso. De hecho y desde la detección del fallo denominado Heartbleed ocurrido a principios del mes de Abril revisar todas nuestras contraseñas es más que recomendable.
Este fallo se detectaba en el código de OpenSSL, se trata de un software de uso libre cuya aplicación se encuentra muy extendida en las más diversas plataformas en Internet, utilizándose para el cifrado de datos tan relevantes como contraseñas, nombre de usuario y direcciones de correo electrónico.
Para tomar conciencia de la relevancia de este asunto debemos tener en cuenta que no sólo muchas entidades financieras utilizan este software, sino también algunos de los gigantes de la red como Google o Facebook, además de plataformas de pago como PayPal.
Un error y un sistema vulnerable
Sin entrar en exceso en tecnicismos, podríamos resumir que el fallo detectado vendría a cuestionar las denominadas operaciones seguras en las plataformas, permitiendo a través de un auto de seguridad la activación del programa de claves aleatorias que pueden acabar localizando las claves reales del usuario, lo cual como sabemos llevaría a la posibilidad del robo de datos sensibles y acceso a los servicios amparados bajo dichas claves.
Este error, cuya detección fue comunicada a la par que se ofrecía ya el parche que lo solucionaba, pasa por ser uno de los más graves ocurridos en la red, sin embargo, no es el único y sobre todo, cuestiona una de los elementos más importantes de la seguridad en la red y al que no prestamos generalmente la atención que se merece: nuestras claves de acceso.
¿Estoy seguro con mis contraseñas actuales?
A pesar del parcheado se considera que la vulnerabilidad ha sido lo suficientemente grave como para aconsejar una modificación de las claves de accesos por parte de los usuarios. Teóricamente esta modificación debiera alcanzar a todos los servicios que utilicen OpenSSL pero lo cierto es que resulta un momento más que idóneo para plantearse una modificación global de las contraseñas.
En cualquier caso, en primer lugar y cara a Heartbleed existen ya herramientas en la red, incluyendo extensiones en navegadores orientadas a detectar si la vulnerabilidad ha sido corregida o no.
Cambiando las contraseñas
Debemos contemplar las contraseñas en la red como algo global. Está muy extendido el uso de una única contraseña o derivaciones de la misma para acceder a servicios diversos, incluyendo los servicios financieros en la red, y, sin embargo, esta práctica no es muy recomendable.
Debemos tener en cuenta que en el caso citado una única vulnerabilidad explotada para acceder a nuestras claves significa que todo lo protegido por esa clave (o modelo de clave) queda al descubierto.
La diferenciación de claves entre los servicios parece pues un primer consejo útil, pero no es el único. Se debe apostar por la fortaleza de las claves, para ello, además de apartarlas lógicamente de modelos obvios relacionados con nombres (o sobrenombres) fechas etc, se debe apostar por claves alfanuméricas que incorporen en lo posible signos de teclado.
En la red existen generados de contraseñas fuertes, sin embargo, para los más desconfiados estás serían las reglas básicas:
- Contraseñas de más de ocho caracteres
- Contraseñas alfanuméricas
- Combinación de mayúsculas y minúsculas
- Introducción de signos de teclado y caracteres especiales
Obviamente no es recomendable dejar apuntadas las contraseñas en textos de acceso simple ni en PCs ni en dispositivos móviles, existen aplicaciones seguras a tal efecto que sirven para almacenar de modo seguro las claves de los usuarios.