Cambiar la clave con frecuencia es inútil

por Luis Alberto Arango E.

En vez de cambiar la clave con frecuencia, por qué no mejoramos las plataformas de seguridad y la velocidad de reacción para combatir los delitos informáticos.

Luis Alberto Arango E. Profesor del CESA Luis Alberto Arango E. Profesor del CESA

Hay ideas erróneas y preconcebidas que nadie se atreve a cuestionar. Muchas veces esas ideas lejos de aportar, incomodan, retrasan y generan costos innecesarios. Cambiar con frecuencia la clave del cajero es una de ellas.



Con el supuesto fin de prevenir robos, el sistema financiero colombiano gasta cientos de millones de pesos al año en publicidad, pidiendo a sus usuarios que cambien la clave del cajero con frecuencia. Me pregunto si alguna vez la Asobancaria se ha cuestionado si todo ese esfuerzo vale la pena.



Solo hay dos razones para que tenga sentido cambiar la clave de un cajero con frecuencia. La primera es que la clave sea confiada a un tercero (familiar o amigo) y ese tercero la use para robar o hacer transacciones desde su cuenta. Si cambia la clave antes de que el tercero logre su cometido, el cambio habrá valido la pena. La segunda es que un ladrón obtenga su clave, no la utilice inmediatamente para cometer un ilícito y solo trate de hacerlo luego de que usted vuelva a cambiar su contraseña.



Que un ladrón no utilice inmediatamente una clave robada es poco posible. En contraste, es más probable que un familiar o amigo sepa su clave porque usted se la dio y la use ilícitamente. Aun así, pienso que el daño causado es mucho menor que todo el gasto que el sistema financiero hace en publicidad para tratar de prevenirlo.



Distinto es que capturen su contraseña por medio de métodos de phishing, keylogging o a través de falsos lectores de banda magnética en establecimientos de comercio o en los propios cajeros. Una vez conocida su contraseña, en pocas horas la estarán usando y de nada servirá que usted cambie su clave frecuentemente.



Esta histeria colectiva del mundo financiero sobre el cambio de contraseña tiene aún menos sentido en el mundo corporativo. Allí le piden al usuario que cambie su clave, por ejemplo, cada 30 días, tenga 8 caracteres con símbolos especiales y no sea una contraseña utilizada anteriormente.



Por lo general, los sistemas de seguridad informática tienen además de la contraseña, un nombre usuario. Un ladrón debe conocer entonces la combinación de usuario y contraseña para poder violar la seguridad de un sistema, lo que lo hace aún más difícil. Sistemas de seguridad modernos están bien protegidos contra ataques de fuerza bruta para tratar de adivinar el usuario y la contraseña. Por lo general, después de 3 intentos fallidos, la cuenta se bloquea por un tiempo determinado y después de un número definido de bloqueos queda desactivada, emitiendo alarmas a los responsables de la seguridad.



Otra cosa es que por phishing o keylogging hayan robado su contraseña y entren al sistema, con lo cual cambiar su contraseña cada 30 días será inocuo, salvo que el ladrón se espere más de ese tiempo para usar los datos robados. Dudo que el ladrón se espere para actuar, por lo que nuevamente de nada servirá que la contraseña se cambie frecuentemente.



Está bien que los administradores de seguridad pidan 8 caracteres y símbolos especiales, solo así evitarán que el usuario utilice el nombre de su hijo, la fecha de un cumpleaños o el nombre de su padre como contraseña. De hecho, es lo primero que intenta un ladrón informático y muchas veces tiene éxito, como lo tuvo la persona que tomó control de las cuentas de gmail, hotmail, twitter y facebook de Daniel Samper Ospina –director de la revista Soho-. Si Daniel hubiera utilizado una contraseña de 8 caracteres y símbolos especiales, estoy convencido de que no habría sido posible, en mil años y mediante ataques de fuerza bruta, tomar control de su cuenta. Tendrían que haberlo logrado por medio de técnicas de phishing, keylogging o utilizando el  suero de la verdad para que les dijera la contraseña y así lograr su cometido.



El cambiar la contraseña constantemente además de ser poco útil, pienso que no es rentable. Solo hace falta cuantificarlo para el caso colombiano. En EE.UU, Cormac Herley, importante investigador de seguridad informática de Microsoft ya lo hizo y probó de diversas formas que el costo supera con creces el beneficio.



El mundo financiero y corporativo colombiano debería más bien concentrar sus recursos en mejorar sus plataformas de seguridad, crear sistemas de alarma temprana ante ataques o actividades extrañas de acceso a cuentas, crear mejores sistemas de rastreo, prestarle atención a los usuarios cuando les reporten correos electrónicos o actividades sospechosas y presionar políticamente al Estado para que la Policía y el CTI de la Fiscalía mejoren su capacidad y velocidad para reaccionar y perseguir los delitos informáticos, pues en mi opinión todavía estamos en pañales.



Para el ejemplo, pienso que la rápida captura del presunto delincuente que tomó control de las cuentas de Daniel Samper Ospina, se hizo no porque puso la denuncia, sino porque Daniel es una figura pública y la Policía si le prestó atención. Yo he estado al tanto de otra denuncia de robo mediante acceso ilícito por internet de una cuenta bancaria y después de 2 años y 77 millones de pesos robados, la Fiscalía todavía no entiende nada sobre las direcciones IP que le entregó la víctima y desde donde se hizo el ilícito. Es tal el grado de desconocimiento y lentitud en la reacción que me sorprendería si encuentran a los culpables. Nos faltan muchas ganas, herramientas, conocimientos, recursos y sobretodo velocidad de reacción para combatir los delitos informáticos. De lo que estoy seguro, es que la pelea no se va a ganar cambiando la clave con frecuencia.

¿Tiene algo que decir? Comente

Para comentar este artículo usted debe ser un usuario registrado.