Lisandro Pardo
Nombres de mascotas, escuela primaria, equipo de fútbol, banda musical favorita… el patrón de las «preguntas de seguridad» es muy evidente. Lo que en teoría se presenta como un valioso recurso para incrementar la seguridad en una cuenta, puede transformarse en una vía de ataque muy atractiva si el usuario no toma los recaudos necesarios. Google analizó cientos de millones de preguntas, y su conclusión expone una falla fundamental: Las respuestas son demasiado fáciles, o imposibles de recordar.
De nada sirve tener una contraseña fuerte si la respuesta a la pregunta de seguridad puede ser adivinada en cuestión de minutos. Lamentablemente, hay muchos servicios en la Web que no le dan la atención suficiente a este punto. En algunos casos, la lista de preguntas es tan limitada y vulnerable, que perjudica al usuario en vez de protegerlo. Desde un punto de vista técnico, quien no desee la responsabilidad de recordar la respuesta a esa pregunta puede «colocar un tapón» con algo que sea imposible recordar. El último estudio de Google considera a esto un problema, y estamos de acuerdo, pero es preferible a dejar una puerta trasera sin candado.
Los números de Google nos enseñan lo siguiente: En el caso de respuestas demasiado sencillas, el atacante de turno tiene una probabilidad del 19.7 por ciento de ingresar a la cuenta de un usuario que habla inglés en el primer intento, si ese usuario escoge «pizza» como respuesta a su comida favorita. Con diez intentos a favor, hay una probabilidad del 21 por ciento de adivinar el «segundo nombre del padre» de los usuarios que hablan español, y del 39 por ciento para descubrir la ciudad de nacimiento entre usuarios coreanos. En la otra acera, el 40 por ciento de los usuarios angloparlantes fueron incapaces de recordar la respuesta a su pregunta, aún cuando esos mismos usuarios lograron memorizar códigos de reinicio enviados por SMS entre el 75 y el 80 por ciento de las veces.
Google cree que la pregunta de seguridad debe ser utilizada como último recurso, y que el envío de códigos a través de mensajes SMS es una opción mucho más segura. El gigante de Mountain View no se equivoca en esto, sin embargo, existen dos problemas: El proveedor del servicio debe tener nuestro número de teléfono, y los dispositivos móviles pueden ser robados. Estoy convencido de que cualquier usuario posee la imaginación para inventar una pregunta secreta y una respuesta que sea fácil de recordar. Algo absurdo, capaz de causar gracia, o incluso un insulto. Creatividad y caos son tus aliados aquí. Dicho sea de paso, si quieres verificar la pregunta de seguridad en tu cuenta en Google, puedes hacer clic aquí.
