Hace pocos días saltaba a los medios de comunicación que unos hackers habían accedido a la agenda telefónica de Paris Hilton y publicando en Internet los números de teléfono de Christina Aguilera, Avril Lavigne, Eminem, o Anna Kournikova, entre los más de 400 contactos con e-mail o números telefónicos que mantenía almacenados. El Teléfono de París Hilton era un Sidekick que permite almacenar toda la agenda de contactos en Internet, y tras el hackeo las teorías de cómo lo podían haber hecho eran interminables. Que si utilizaron una vulnerabilidad de inyección de código en las bases de datos SQL de T-Mobile (el proveedor telefónico), que si le duplicaron la tarjeta SIM del teléfono.
Pues no, la forma del hackeo ha sido de lo más esperpéntico. Muchos servicios que utilizan usuario y password tiene un sistema para recordarlos en caso de que nos hayamos olvidado de él, y que suele ser una pregunta, que al responderla se nos ofrece la opción de modificar el password.

La pregunta de París Hilton era ¿cual es el nombre de su mascota favorita?, y cualquiera que esté un poco al día del mundo del cotilleo americano sabe que la respuesta es: Tinkerbell, pues hace unos meses perdió su Chihuahua y ofreció sumas millonarias para recuperarlo, poniendo anuncios a diestro y siniestro.

Este caso nos viene de perlas para explicar que el mayor problema en los fallos de seguridad informática es el factor humano.

Los hackers casi siempre tienen más éxito utilizando técnicas llamadas “de ingeniería social” que explotando las posibles vulnerabilidades de un sistema informático.

Ahora que vivimos en un mundo en el que necesitamos una contraseña para el teléfono móvil, el ordenador, el PDA, la conexión a Internet, la mensajería instantánea, las tarjetas de crédito, nuestras diferentes cuentas de correo electrónico, los registros en los diferentes webs que visitamos… son tantas contraseñas que por comodidad o vaguería ponemos la misma a todos los servicios. Por ejemplo a nuestros teléfonos móviles y nuestras tarjetas de crédito le ponemos el mismo número PIN, y al resto de servicios el mismo password.

Según las consultoras de seguridad los passwords más utilizados son:

* Letras muy cercanas en el teclado (qwe123)
* El mismo nombre de usuario con algo cambiado
* Combinaciones de su nombre-apellido, o iniciales
* Nombre del cónyuge, familiar o ser querido
* Calle, ciudad o localidad donde vive
* Fecha de nacimiento
* Combinaciones nombre-fecha
* Nombre de su mascota
* Palabras en general con sentido

Así que nos bastará conocer un poco a nuestra víctima para conocer alguno de estos datos personales y empezar a realizar combinaciones para conocer el password. De hecho los hackers profesionales, investigan en la basura de su víctima, pues ahí suelen encontrar los datos que necesitan, por eso siempre trituro todos los papeles que puedan contener datos personales, sobre todo los estadillos del banco.

Las palabras más utilizadas para los passwords son en este orden: “amor”, “sexo”, “dinero” “password”. Seguro que más de un oyente se habrá quedado pasmado con esto, porque seguro que alguno de sus passwords están formados con alguna de estas palabras o sistemas, así que si no queremos que nos pase algo parecido como a Paris Hilton, debemos cambiar las contraseñas de todos nuestros servicios. No deben coincidir nunca o si tenemos mala memoria, lo mejor es crear grupos de contraseñas.

Por ejemplo una misma contraseña para nuestro correo electrónico, otra contraseña para nuestro sistema bancario. Aunque repito, lo ideal sería una diferente para cada servicio.

Nuestras contraseñas deberán tener más de 10 caracteres y jamás serán palabras que puedan aparecer en un diccionario, y además introduciremos números entre medias, porque hay ataques denominados de “fuerza bruta” que permiten probar 10.000 contraseñas por segundo y siempre basándose en palabras del diccionario, o empezando por el abecedario y sumando una letra y así sucesivamente hasta formar todas las combinaciones.

Al no utilizar palabras del diccionario y al tener más de 10 caracteres, el proceso es prácticamente imposible de realizar, porque al ser billones de combinaciones, el tiempo necesario para encontrarla sería exagerado.

Otra recomendación es que cambiemos nuestros passwords cada cierto tiempo.

Nunca debemos apuntar nuestros passwords o pines en la parte de atrás de nuestras tarjetas de crédito, nuestros teléfonos móviles, en un post-it en el monitor del ordenador o debajo del teclado. Parece un chiste, pero no hago más que verlo todos los días.

Es muy difícil todo esto de tener tantos passwords, pero si nos acostumbramos a memorizarlos, además de ejercitar nuestra mente, que falta nos hace, viviremos mucho más seguros, pues está demostrado que Internet es un medio seguro, y que los problemas de seguridad, en la mayoría de las ocasiones es debido al factor humano.