La portada de mañana
Acceder
Aldama zarandea al PSOE a las puertas de su congreso más descafeinado
Corazonadas en la consulta: “Ves entrar a un paciente y sabes si está bien o mal”
OPINIÓN | Días de ruido y furia, por Enric González

Tu contraseña de banca online no es tan segura como te han dicho

Hace algo más de un mes, la página web Splashdata, especializada en la protección de datos en Internet, publicó un informe en el que daba a conocer cuáles habían sido las contraseñas más utilizadas durante el 2015. En la lista, 123456 y la palabra password se colocaban en primer y segundo lugar. Dependiendo del sitio web, los requisitos varían: algunas contraseñas necesitan de una longitud determinada; otras no admiten espacios o caracteres especiales. Pero, ¿y en los bancos? Hemos hablado con las cuatro entidades financieras más grandes de España para preguntarles acerca de cómo deben ser las contraseñas de sus clientes.

Ninguna admite espacios y en todas pueden repetirse los números y/o las letras. Solo dos bancos -BBVA y La Caixa- admiten letras mayúsculas y ninguna entidad, salvo La Caixa admite caracteres especiales. La conclusión es que los cuatro bancos -todos con cifras de clientes en Internet que van desde los 5 a los 15 millones- admiten contraseñas simples, relativamente fáciles de ser adivinadas por un hacker. También hemos elaborado una tabla con los requisitos de cada banco:

En base a la tabla, podríamos determinar que las contraseñas más fáciles para operar en la oficina virtual de nuestro banco serían las siguientes:

-Bankia: 1111

-Banco Santander: 11223344

-BBVA: Aaaaa1

-La Caixa: 12345Ñ

Ninguno de los cuatro bancos requiere incluir caracteres especiales, tales como &, %, $, en la contraseña. Tampoco son obligatorias las claves alfanuméricas, ya que aunque BBVA y La Caixa las admiten, tanto en uno como en el otro banco serían generadas si el cliente las solicita. Además, en La Caixa, solo podría incluir la Ç y la Ñ. De la misma forma, ningún banco establece como obligatorio el uso de letras mayúsculas.

Hay un factor importante a tener en cuenta, y es que las cuatro entidades financieras permiten que los caracteres de la contraseña se repitan. Tanto Bankia como BBVA permitirían contraseñas utilizando un solo número -1111 o 666666, por ejemplo-, y solo el Banco Santander no permite que se repita el mismo número consecutivamente más de dos veces. En La Caixa, por su parte, afirman que “contamos con patrones de control propios, por lo que si la contraseña es muy fácil, el sistema no la permite”.

Acertar entre el 15 y el 20% de las veces

“En realidad, la criptografía te dice cuantas combinaciones puedes intentar”, dice el criptógrafo Carlos Tomás Moro, de Enigmedia. No hablamos de que por la publicación de este artículo, mañana, algún hacker robe tu contraseña y comience a operar en la oficina virtual de tu banco en Internet. La información entre los clientes y las entidades financieras están sometidas a procesos de cifrado, como el protocolo SSL-V.3 o utilizan “claves criptográficas por sesión de 128 bits de longitud”, según cuentan desde La Caixa. “El cifrado SSL lo que protege es que un tercero pueda ver el contenido de lo que tú y tú banco transmitís entre vosotros, pero no tiene ninguna relación con la contraseña en sí”, aclara el criptógrafo. Y explica que este protocolo “genera un canal seguro para que un tercero no vea la contraseña que se mete, pero es independiente de la seguridad del formulario de login”.

Si se produjese un fallo de seguridad en cualquiera de estos bancos, las contraseñas “fáciles” serían las primeras en ser atacadas. Al haber establecido unos requisitos tan bajos para su creación, muchos clientes con claves del tipo 1111 o Aaaaa1 fueran susceptibles de ser adivinadas por los hackers, ya que estos irían en primer lugar a por las “fáciles”. En “el caso 1111, podrías poner combinaciones de 0000 a 9999. Si suponemos que la elección de contraseñas es estadísticamente uniforme, de media tardarías 5.000 intentos. En el caso Aaaaa1 las combinaciones son mayores, porque van de 000000 a ZZZZZZ”, cuenta Carlos Tomás. Pero, ¿qué son 5.000 intentos para un software cuya única misión sea la de percutir mediante fuerza bruta la enorme base de datos del banco hasta dar con la contraseña?

No obstante, Carlos Tomás aclara: “5.000 intentos, no me parecen insuficientes, porque no es algo que ataques en tu ordenador si no a la web, y bastaría con que no te dejen intentar más de 20 o 50 al día. El problema en realidad es que la gente elige malas combinaciones de PIN y con 2-3 intentos puedes acertar entre el 15 y el 20% de las veces”.

“Lo más habitual es que la gente use 0000, 1111, o incluso 0258, es decir, combinaciones más fáciles de recordar que una puramente aleatoria”, dice Carlos Tomás. El propio experto en seguridad hace hincapié en lo que mencionábamos antes: es prácticamente esencial que las páginas web -y en este caso los bancos- requieran del uso obligatorio de letras mayúsculas y minúsculas. “Si no me obligas a poner letras y mayúsculas, mucha gente optará por contraseñas de tipo 123456, qwerty, password, etc.”, dice.

Siempre puede ser más seguro

Hace un mes un informe reveló que una vulnerabilidad en unos osos de peluche de la firma Fisher Price a punto estuvo de comprometer la seguridad de millones de niños. 200.000 pequeños vieron cómo un hacker entraba en los servidores de la marca VTech el pasado noviembre y robaba sus datos más los de cinco millones de padres. El atacante, en vez de intentar sacar tajada de ello, decidió publicar los datos en abierto. Las contraseñas que utilizaban ambos juguetes no estaban protegidas por ningún protocolo de seguridad ni de cifrado. Es famoso también el caso de la popular página de citas Ashley Madison: en agosto del año pasado más de 37 millones de cuentas de la página fueron “liberadas”, poniendo al descubierto los datos personales de cada una de ellas.

Siempre se puede escalar un peldaño más en lo que a seguridad se refiere. Un buen método es utilizar contraseñas diferentes para cada servicio. Otro es utilizar un generador de contraseñas. En Internet se pueden encontrar bastantes. Nosotros hemos hecho la prueba introduciendo en el de Norton con los criterios utilizados en la tabla del principio y esto es lo que nos ha salido:

-Bankia: 3762

-Banco Santander: 62124407

-BBVA: b2uTou

-La Caixa: 15Ç6ÑÇ