¿Somos honestos con nuestras contraseñas?

El tema de las contraseñas siempre desata una discusión interesante. Aunque todos sabemos que no son una solución demasiado buena, aún recurrimos a ellas y no encontramos una alternativa mejor. La web PCMag.com se propuso hace muy poco buscar respuestas a este tema y encuestó a 2.500 consumidores en EE.UU. Los resultados fueron tan extraños como cabría esperar.

La encuesta, realizada entre el 30 de junio y el 2 de julio, concluyó que el 35% de las personas nunca cambia sus contraseñas por cuenta propia. Esta cifra me parece baja. No conozco a nadie que modifique rutinariamente sus contraseñas, si no se lo solicitan. Sin embargo, la encuesta evidenció que los usuarios sí que las cambian, si se les pide.

¿Cambias a diario tu contraseña? ¿En serio?

Sólo una cuarta parte de los encuestados (27%) cambia sus contraseñas varias veces al año. Eso suena razonable. Poco probable, pero razonable. El 12% reconoció haber cambiado sus contraseñas una vez al mes, y otro 4% afirmó cambiar sus contraseñas una vez a la semana. Además, otro 4% afirmó cambiar sus contraseñas varias veces a la semana. Ahora, aquí es donde los resultados se vuelven realmente extraños: el 11% afirmó cambiar sus contraseñas diariamente.

¡Es un resultado demasiado optimista para una encuesta de seguridad!

No me creo totalmente los resultados de esta encuesta. Mi instinto me dice que la gran mayoría de las personas cambia sus contraseñas cuando se ve obligada a hacerlo, y lo que vemos aquí es un gran porcentaje de encuestados que respondió lo que creyó que debía responder y no lo que honestamente hacen.

A lo largo de los años, he ayudado a crear y llevar a cabo numerosas encuestas de privacidad y seguridad, y hay una constante: las personas responden como creen que deberían reaccionar o como creen que se espera de ellas. A finales de los 90, por ejemplo, se realizaron muchas encuestas de privacidad que intentaron adivinar cuánta información personal se compartía online. Los encuestados siempre respondían como si la privacidad fuera importante para ellos, pero ese celo nunca se demostró en el mundo laboral, como demostró las ventas de  software VPN personal o la cantidad de información que las personas comparten en servicios online.

Este fenómeno probablemente esté relacionado con el sesgo de respuesta, que describe la tendencia de las personas a responder o actuar de la manera en que se espera que respondan.

La reutilización de la contraseña

Recientemente, como PCMag.com afirmó, la guía NIST sobre la frecuencia con la que se cambian las contraseñas redujo su frecuencia a 90 días después de que una cuenta se viera comprometida.

Creo que el cálculo de NIST es más razonable, pero también creo que es una buena idea cambiar las contraseñas periódicamente. La razón de esto es que la gran mayoría de las personas tiende a reutilizar la misma contraseña y/o nombre de usuario en muchas cuentas. Todos sabemos que esto no se debe hacer, pero la gente lo hace de todos modos. Lo que sucede es que los ciberdelincuentes se apoderan de un tesoro de contraseñas y nombres de usuario y luego los utilizan para atacar tantos servicios online como puedan, hasta que logran acceso a un sitio. Éste podría ser un banco, un servicio en la nube, una cuenta de redes sociales o lo que sea. Por eso, sigue siendo una recomendación del NIST cambiar las contraseñas después de que una cuenta se vea comprometida. Sin embargo, muchas infracciones pasan desapercibidas, y utilizar las mismas contraseñas y nombres de usuario durante años es retar al peligro.

Lo más probable es que su correo electrónico y contraseña se hayan visto comprometidos. Muchas personas se sorprenden al saber esto. Si tiene curiosidad, un lugar seguro para verificarlo es haveibeenpwned.com.

Si no me cree,  lea la columna de Jai Vijayan en Password Reuse Abounds, New Survey Shows, que detalla una encuesta de LogMeIn de 2.000 participantes de varios países, realizada por LastPass. La encuesta encontró que, si bien el 91% afirmaba comprender los riesgos de utilizar las mismas contraseñas en varias cuentas, el 59% dijo que lo hizo de todos modos. “Para el 61%, el motivo principal de la reutilización de contraseñas es el miedo al olvido. El 50% que reutiliza contraseñas en varias cuentas es porque quiere saber y controlar sus contraseñas todo el tiempo”, asegura Vijayan.

Es buscarse problemas. Y al igual que en la encuesta anterior, donde las personas parecían obsesionadas con cambiar sus contraseñas, creo que en ésta también las respuestas tienen sesgo y muchos responden como creen que deberían, no como realmente actúan. En la encuesta de LastPass, creo que los encuestados no dicen la verdad sobre la frecuencia con la que reutilizan contraseñas.

Me gustaría pensar que la gente será más inteligente en cuanto al uso de las contraseñas. Tal vez utilice alguna vez un generador de contraseñas aleatorias, un lugar seguro para albergarlas, e incluso las cambie de vez en cuando. Y, desde luego, no utilice la misma en todas las cuentas.

George V. Hulme es un escritor de seguridad de la información y tecnología de negocios, reconocido internacionalmente.

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: