La caja fuerte de las contraseñas

Redes sociales, bancos, cuentas de e-mail, ordenadores... En total, pueden sumar más de diez. Y muchas hay que cambiarlas cada seis meses. ¿Cómo recordarlas todas?

Durante años, uno de los «hackers» más buscados por el FBI fue Jeremy Hammond. Hoy Hammond cumple diez años de cárcel por robo de información a agencias gubernamentales estadounidenses. ¿Cómo lo pillaron? Por su contraseña. En sus redes sociales Hammond hablaba de su gato Chewi, a los investigadores les tomó muy poco tiempo descubrir que su contraseña era Chewi 123. Y así pudieron bloquear todas sus cuentas y detectar su IP, la dirección web desde la que transmitía información.

Todas las páginas web a las que accedemos con usuario y contraseña nos sugieren poner, en el texto, una mayúscula, un número y a veces un símbolo. También aconsejan cambiar la contraseña cada, por lo menos, seis meses.

Personalmente tengo tres cuentas de correo, tres redes sociales, Dropbox, dos páginas de trabajo en las que debo editar textos o subir posts a un blog. A eso hay que agregar «passwords» numéricos como los del banco o puertas de aperturas automáticas, cuenta de Amazon, iTunes o Google Play, el bloqueo de dos smartphones, dos ordenadores, apps de aerolíneas o servicios telefónicos y el bloqueo familiar de la SmartTV. En total, al menos dos decenas de claves que se supone guardo en la memoria. Confieso que muchas se repiten, pero sin orden absoluto. Y cuando las cambio, por exigencia del servicio correspondiente que me asegura que es una medida de protección, no debo repetir una clave usada en el último año. Así, debo tener una memoria RAM que recuerde las contraseñas presentes y pasadas. Ya me confundo con el nombre de mis hijos, recordar un total de 40 sucesiones de letras, números y símbolos es imposible. ¿Cuál es el inconveniente? Más allá de lo obvio: perder tiempo escribiendo en un documento de texto todos las contraseñas y tenerlo en todos los gadgets, si alguien hackea uno de mis dispositivos, se hace con todas mis contraseñas. Mis claves, fotos, textos, correos...toda mi vida queda a su disposición.

Por suerte, existen los gestores de contraseñas, aplicaciones que, como su nombre indica, gestionan todas nuestras claves. He probado dos de ellos durante algunas semanas. Uno de los más conocidos es LastPass. Es importante que la aplicación esté en español, ya hay suficientes cosas que recordar como para confundir términos o no poder aprovechar todas las características de un servicio como éste. LastPass permite, obviamente, recordar las contraseñas, pero también envía alertas cuando una cuenta está siendo invadida. Tiene un servicio de autenticación doble. No basta un solo password, puede requerir un dispositivo USB o un YubiKey (un dispositivo, similar a un USB que genera claves aleatorias para cada nuevo uso). Funciona con diferentes sistemas operativos y distintos dispositivos. También permite guardar documentos, algo que ya hace Dropbox, pero LastPass lo hace a menor escala. La versión más sencilla es gratis, aunque por 10 euros al año se obtienen todos los beneficios. Lo bueno es todo lo anterior... lo malo es que el doble sistema de autenticación es un poco engorroso y a veces precisa de otros dispositivos para certificar la seguridad. Tampoco se sabe dónde se encuentra toda la información que tienen nuestra. Gran parte de la seguridad que ofrecen estos servicios se basa en que confiamos en ellos. Pero si sus servidores no son seguros... de nada sirve tener una caja fuerte en un banco que tiene las puertas abiertas. Para un usuario habitual, saber dónde se encuentran los servidores de LastPass es casi imposible. Aunque sea fundamental.

El otro servicio es True Key. Uno de los primeros hijos de la unión entre McAfee e Intel, este sistema aún se encuentra en fase beta. Pero basta inscribirse en su página web para poder probarlo. Ofrece todas las ventajas anteriores y algunas adicionales muy interesantes. Si tienes que responder a un correo en plena calle y se está acabando la batería del móvil (experiencia propia), puedes pedir uno prestado, acceder a tu cuenta y basta enviarles una imagen nuestra (segundo sistema de verificación de identidad) para poder ingresar a cualquier contraseña. En el caso de necesitar otro dispositivo porque, por ejemplo, hay que almacenar mucha información o procesar textos e imágenes (segunda experiencia propia), se aprueba un ordenador por supongamos un tiempo determinado (entre 5 y 60 minutos) y True Key envía una petición al móvil: deslice su dedo para aprobar el nuevo dispositivo. Un movimiento de muñeca y hecho. La imagen que se envía nunca es archivada, ya que lo que se mide de ella es la matemática de nuestro rostro: distancia ojos-nariz, nariz-boca, etc. Lo que se almacenan son los números. Este método de detección cuenta con un sistema llamado Live Detection que determina si lo que se recibe es una foto original o una imagen de la persona fotografiada. True Key puede compartirse con diferentes personas en un mismo equipo y es éste el que detecta, por la imagen, huellas dactilares o contraseñas únicas, quién es el usuario. El grado de seguridad que se puede establecer con True Key es tan alto como el usuario desee: se puede establecer doble, triple o hasta cuádruple sistema de autenticación. Los datos que damos ni se venden ni se miran; de hecho, se cifran dentro del dispositivo y salen cifrados de allí a servidores seguros. Se puede designar un dispositivo de confianza, el cual se convierte en un nuevo sistema de autenticación. Otra característica interesante es que no es necesario agregar las contraseñas: si se ha ingresado al sitio que sea desde el dispositivo de confianza, aparece una casilla que pregunta si se quiere guardar esa contraseña en True Key. Cuanto más se usa, más rápido aprende las preferencias, en eso es una gozada porque ahorra mucho tiempo. Envía mensajes cuando una contraseña está a punto de vencer y genera otras propias en caso de preferir delegar. También permite anular cualquier dispositivo a distancia en caso de robo, aun si no se cuenta con una aplicación que localice el smartphone. Una vez almacenadas 15 contraseñas, el sistema se vuelve de pago: 15 euros por año. True Key también tiene su versión en español y, en mi opinión, resulta más intuitivo, inteligente y confiable que LastPass.