Millones de usuarios han tenido experiencias amargas. Ninguna contraseña es segura cuando los hackers deciden entrar en los sistemas de los bancos, las tiendas y las redes sociales que no tienen protección adecuada.
En un mundo donde la tecnología está avanzando a toda velocidad, la típica fórmula de nombre de usuario-contraseña, que data del Jurásico de la informática, sigue siendo la norma.
¿Por qué? «La respuesta es simple. Es barato», dijo a la AFP Per Thorsheim, un experto noruego en seguridad informática que organiza PasswordsCon, el único congreso específico sobre contraseñas, que se celebrará en julio en Las Vegas.
«Si se quiere algo más, un sistema de autenticación con un software determinado o aplicar la biometría, se necesita pagar más», añadió.
Síndrome de «fatiga de la contraseña»
Cuando las computadoras eran del tamaño de una habitación era sencillo, porque no se conectaban entre sí. Pero luego vino Internet, que puso a los equipos en red, y surgieron los teléfonos inteligentes y las tabletas.
Así comenzó el dolor de cabeza para el usuario: encontrar una contraseña particular para decenas de usos diferentes de herramientas diferentes. Y sobrevino el síndrome de «fatiga de la contraseña».
«La gente nunca se había tomado en serio las contraseñas, y de repente tuvimos grandes problemas» de privacidad, dijo Marian Merritt, consejera de seguridad para el software Norton.
«Con el acceso a Internet desde los teléfonos inteligentes o las tabletas, definir las contraseñas es aún más difícil», señaló por su parte Sarah Needham de Confident Technologies, que desarrolla soluciones alternativas.
En un estudio realizado en 24 países, Norton halló que el 40% de los usuarios trataba de tener contraseñas sencillas y no las cambiaba regularmente.
Para la firma de seguridad informática McAfee, más del 60% de los usuarios de Internet acceden regularmente a entre cinco y 20 sitios que requieren contraseñas, y la mayoría prefiere que sean simples.
Las más populares en inglés son «password» (contraseña) y «123456», de acuerdo con Mark Burnett, autor de un libro de 2005 sobre el tema.
Carl Windsor, gerente de producto de Fortinet, una empresa californiana que se especializa en seguridad, intentó un día lanzar un programa pirata contra el sistema Unix de una compañía, con el consentimiento de esta última.
En cuestión de segundos, Windsor había identificado un tercio de las contraseñas, y unos pocos minutos después, el otro tercio. La contraseña «supersegura» de un colega fue descifrada en menos de cinco minutos», dijo a la AFP.
La «píldora contraseña»
Las alternativas para reemplazar el actual sistema están a estudio.
Google, por ejemplo, considera implementar un reconocimiento de digital con anillos codificados o tarjetas de identidad en llaves USB.
La asociación FIDO Alliance, que reúne a todos los actores de la industria, incluyendo PayPal, requiere un sistema de reconocimiento táctil en las pantallas de los teléfonos inteligentes.
«Estos sistemas biométricos serán eficientes, económicos y podrían estar en el mercado este año», dijo el vicepresidente de FIDO, Ramesh Kesanupalli, aún más optimista que su homólogo de IBM, quien en 2011 predijo que el sistema estaría vigente en cinco años.
La Oficina de Patentes y Marcas de Estados Unidos publicó hace poco la licencia presentada por Apple en relación al reconocimiento facial y digital.
La jefa de investigación de Motorola, Regina Dugan, propuso incluso una «píldora contraseña», que contenga un chip y una batería que emita una señal de radio única que se active en el estómago.
Por el momento, la autenticación de la identidad del usuario se realiza con preguntas secretas del tipo «¿Cuál es el nombre de su perro?». Otros sistemas envían por SMS una contraseña desechable.
Los servicios de gestión de contraseñas, como Lastpass, KeePass, 1Password, Dashlane y el iCloud Keychain de Apple, comienzan a pulular, permitiendo a sus clientes acceso personalizado con una sola contraseña.
Por ahora, los expertos coinciden en dos principios: usar las contraseñas más largas posibles, que combinen letras, números y símbolos, y jamás utilizar la misma.
Después, sólo resta cruzar los dedos y esperar que el sitio utilizado hizo todo lo posible para proteger eficazmente el mundo virtual de sus usuarios.