Cuando la filtración habla de ti

Como cada cierto tiempo nos llega el titular apocalíptico sobre seguridad. Esta vez ha sido el de “16.000 millones de credenciales expuestas”. Unos cuantos hilos virales, cuatro titulares en los medios, algunos cambios de contraseña y no tiene más importancia. Hasta la próxima filtración, que será aún más grande.

La pregunta que toca hacernos no es por qué pasa —mientras haya puertas de entrada entrarán maleantes— sino por qué seguimos confiándolo todo a un sistema tan vulnerable como la contraseña, prácticamente inalterado desde hace sesenta años. Sumadle que reutilizamos la misma contraseña en todos los servicios, la apuntamos en post-its pegados a la pantalla o la compartimos por correo con un becario que ha venido a hacer prácticas de una semana en la empresa. Lo he visto en pymes, en multinacionales e incluso en Davos, en el Foro Económico Mundial.

"La pregunta que toca hacernos no es por qué pasa sino por qué seguimos confiándolo todo a un sistema tan vulnerable como la contraseña, prácticamente inalterado desde hace sesenta años"

El último titular lo ha dado la filtración descubierta recientemente por Cybernews —16.000 millones de credenciales que contienen datos de filtraciones recientes con antiguas—. Una parte proviene de infostealers: programas maliciosos que roban directamente las contraseñas guardadas en el navegador o en ficheros internos del dispositivo. Los infostealers se infiltran en el ordenador a través de descargas sospechosas —por ejemplo, programas piratas, cracks o juegos modificados— o bien mediante correos de phishing con archivos adjuntos aparentemente inofensivos, como facturas, confirmaciones de compra o currículums falsos.

La cifra de 16.000 millones es engañosa porque las credenciales robadas provienen de 30 fuentes diferentes y muchas están repetidas en más de una. Puesto en perspectiva esto sería dos credenciales por cada persona de la tierra y como que solo la mitad de la población está conectada implicaría que son cuatro. Más allá de si la cifra es inflada o no —siguen siendo miles de millones— cualquiera de estas contraseñas puede servir para secuestrarnos una cuenta, vaciarnos una cuenta bancaria, suplantarnos la identidad o monitorizarnos la actividad en línea.

"La cifra de 16.000 millones es engañosa porque las credenciales robadas provienen de 30 fuentes diferentes y muchas están repetidas en más de una"

Titulares, miedo, resignación y olvido. Poca gente es consciente de que con un poco de higiene digital estaríamos más tranquilos. La 2FA —la verificación en dos pasos, sea por SMS o por aplicación de autenticación— continúa infrautilizada; los gestores de contraseñas son desconocidos para la mayoría de la población que no sabe cómo funcionan y si lo sabe prefiere no pagar la suscripción; las empresas, incluso grandes corporaciones, no obligan a renovar contraseñas ni a establecer criterios mínimos de complejidad. Y mientras tanto, todo el mundo confía en que “a mí no me pasará”. No te pasará porque ya te ha pasado. Id a haveibeenpwned.com y poned vuestro correo y veréis cómo salís en la foto, y más de una vez.

La buena noticia es que la tecnología para enterrar la contraseña existe y funciona. La combinación de varios factores de autenticación (un código temporal, un dispositivo físico, biometría) puede bloquear el 99% de los ataques automatizados. Las passkeys —claves criptográficas únicas que sustituyen la contraseña clásica— ya se están implantando en Apple, Google y Microsoft. Los gestores de contraseñas modernos generan combinaciones fuertes y únicas para cada servicio, evitándonos la tentación de repetir la misma clave en todas partes. Si no usáis ninguno podéis cambiar la estrategia y usar frases clave en lugar de palabras clave: resumid en tres palabras una historia de cuando erais pequeños que sólo vosotros conocéis. Más fácil de recordar y más seguro que una sola palabra.

La mala noticia es que volvemos a poner toda la responsabilidad en el usuario y lo fiamos todo al hecho de que tenga suficiente paciencia, habilidad y ganas de realizar procesos que son pesados incluso para ingenieros informáticos (y hablo por experiencia). El eslabón más débil sigue siendo el usuario a quien le endosamos toda la responsabilidad.

"Lo fiamos todo al hecho de que el usuario tenga suficiente paciencia, habilidad y ganas de realizar procesos que son pesados incluso para ingenieros informáticos"

Es momento de que empresas y administraciones —sobre todo empresas, que son las que hacen la pasta— dejen de tratar la seguridad como un trámite y la conviertan en cultura. Políticas claras, verificación en dos pasos por defecto, educación digital real y responsabilidad compartida. Sin cargarlo todo a los usuarios y sin post-its.

Las credenciales filtradas no son un problema técnico, son un reflejo de cómo aún entendemos —o no entendemos— nuestra vida digital. El día que cambiemos esto, quizás podremos guardar la contraseña en el cajón del fax, del discman y del ICQ (ay, qué recuerdos). Así, cuando llegue el siguiente titular de “millones de contraseñas filtradas”, quizás, finalmente, sabremos que no hablan de nosotros.