Primero se apagó el teléfono. Luego, no pudo ingresar a su Gmail. Para Mat Honan, periodista y escritor de la revista de tecnología Wired , esos dos episodios, que ocurrieron en un par de minutos, terminaron con toda su vida digital. Fotos, aplicaciones, correos electrónicos, sus redes sociales. Toda su información quedó destruida en una hora.
En agosto de este año, Honan jugaba con su hija, le echó un vistazo a su celular y notó que se había apagado. Como tenía que hacer una llamada, lo enchufó y apareció la pantalla de la configuración inicial. Había perdido todos los archivos almacenados ahí. “No importa, hago un respaldo todas las noches en iCloud (servicio de almacenamiento en la nube de Apple)”, pensó. Se dirigió a su computadora, intentó abrir su correo y no pudo. El usuario no existía. Fue cuando intuyó que algo andaba mal. Lo habían hackeado . Llamó al soporte técnico de Apple y trató de descifrar con ellos qué había pasado. No era la primera llamada que habían hecho en su nombre ese día. Un hacker llamado Phobia solo tuvo que ver su perfil de Twitter e ingresar a la página web personal publicada ahí para encontrar el correo Gmail de Mat.
Luego, intentó conseguir la clave. Como ahí aparecía una cuenta de correo de Apple que funcionaba como una dirección alternativa para recuperar la contraseña, llamó a Amazon y se hizo pasar por Mat para que le entregaran los cuatro últimos dígitos de su tarjeta de crédito, información vital para que Apple le diera una clave provisional y pudiera ingresar a todo.
El soporte telefónico de la manzana entregó los datos en bandeja con solo dos simples datos que el pirata informático dio; esto, pese a que fue incapaz de responder a la pregunta de seguridad.
Con esos simples pasos, y en menos de una hora, ya habían restablecido la contraseña de Gmail para poder entrar al Twitter de Mat, el objetivo inicial del hacker . Para terminar de perjudicar a la víctima, utilizaron la aplicación Find My iPhone para borrar de forma remota los datos de su teléfono, del iPad y de su MacBook. El paso siguiente fue eliminar la cuenta de Google.
“Fotos irreemplazables de mi familia, del primer año de mi hijo y de parientes que fallecieron no eran el objetivo. Tampoco lo fueron los ocho años de mensajes de mi cuenta de Gmail. El objetivo fue siempre Twitter”, contó Mat Honan .
La cuenta de esta red social fue utilizada para publicar mensajes racistas y homofóbicos. La idea, parece, era quedarse con el nombre de usuario @mat porque el hacker quería usarla como propia.
“En muchos sentidos, fue mi culpa. Tenía todas mis cuentas ligadas. Pero también hubo fallas en los sistemas. Apple está trabajando duro para que todos sus clientes lleguen a utilizar iCloud. Google está basado en la nube. Y Windows 8, cuyo corazón es la nube, llegará a los escritorios de decenas de millones el próximo año. Mi experiencia me lleva a creer que estos necesitan medidas de seguridad diferentes. Los mecanismos con contraseña, que puede ser violada y reseteada, ya no son suficientes en la era de la nube”, reflexiona Honan, quien ya recuperó su cuenta de Twitter y aún intenta rescatar algunos de sus datos.
¿En extinción?
El caso de Mat Honan no es único. Solo en el 2012, 30 millones de contraseñas de todo el mundo han sido robadas o filtradas desde diferentes sitios de Internet. El caso más reciente ocurrió hace tres meses y medio, cuando 28.000 contraseñas de usuarios del servicio de pago PayPal , propiedad de eBay, fueron vulneradas.
Estos episodios, que se hacen cada vez más comunes, son ataques de avezados hackers que siguen poniendo en jaque la efectividad y seguridad del sistema de “usuario/contraseña” con la que todos ingresan a páginas web, computadores y celulares.
En el 2011, IBM aseguró que en el futuro, como método de autentificación, las contraseñas deberían dejar de usarse. El sistema falla y mucho, pero ¿podrá desaparecer y ser reemplazado por otro, como lo afirmó IBM?
Es poco probable, aunque la respuesta no es definitiva.
“Es muy práctico, y eso lo ha hecho permanecer en el tiempo. Para buscar una alternativa, hay que balancear la ‘usabilidad’ con la seguridad, y hasta ahora no existe nada más fácil que ingresar el usuario y la contraseña", dice Francisca Moreno, analista de amenazas de McAfee Labs.
Las alternativas que refuercen el sistema se harán más comunes en el futuro. La primera de ellas es la biometría, que se encarga de reconocer la voz (como Siri, de Apple), la huella digital, el rostro e incluso el iris del ojo. Ya lleva un tiempo implementándose en notebooks personales y otros dispositivos, y se usa en grandes empresas.
“No creo que la biometría llegue a reemplazar las contraseñas porque no ha demostrado ser capaz de hacerlo, aunque es una alternativa viable para poder resguardar las claves”, opina Raphael Labaca, coordinador de Awareness & Research de ESET Latinoamérica.
Pero no es la única alternativa. Single Sing On (SSO) es un mecanismo diseñado para simplificar la decena de contraseñas –una para cada cosa y muy difíciles de memorizar– reemplazándolas por una sola clave maestra.
Las compañías lo usan para resguardar sus datos, pero también existe una versión para usuarios llamada OpenID .
En sitios que soporten OpenID, los cibernautas no tienen que ingresar sus datos para obtener acceso, el sistema lo hace por ellos y permite acceder a cientos de sitios web sin recordar las diferentes claves de acceso. También está OneID, una aplicación parecida que tratará de hacerse masiva en el mundo móvil, pero que aún está en período de prueba.
“Estos métodos tienen un punto único de falla: si llegara a ocurrir un problema con la base de datos, se perderían todas las contraseñas del usuario. La solución es tener un respaldo”, explica Labaca.
Otra de las alternativas se llama “autentificación de doble factor”. “Si hubiera utilizado autentificación de dos factores para mi cuenta de Google, es posible que nada de esto hubiera pasado”, lamentó Mat Honan. Claro, en el preciso momento en que el hacker apretó “restablecer contraseña” en Gmail, esa misma información hubiera llegado al iPhone de Honan, mucho antes de que lo borraran, para adevrtirle de la acción y evitar este burdo ataque que acabó con su vida digital.
La autentificación de doble factor se basa en un segundo código que se envía al celular, previamente inscrito, cuando alguien intenta ingresar desde un dispositivo no fiable. Gmail lo tiene incorporado en su sistema, pero en ciertos países no ha logrado hacerse masivo. Para hacer uso de este servicio, se puede activar en la página SmsAuthLanding .
Pese a toda su vulnerabilidad, los especialistas en seguridad informática admiten que no hay mejor sistema que el de “usuario/contraseña”. “Todos los mecanismos son inseguros. Las claves son vulnerables porque las personas las hacen fáciles. En el futuro, es su comportamiento el que debe cambiar para que disminuya este problema”, apunta Labaca.