Luis Alberto Arango
2 Septiembre 2022

Luis Alberto Arango

Inútil cambiar las contraseñas con frecuencia

Entre aquí para recibir nuestras últimas noticias en su WhatsAppEntre aquí para recibir nuestras últimas noticias en su WhatsApp

Una política anquilosada de la banca colombiana trae más desgastes que ventajas para sus usuarios. 


Hay actividades periódicas que se convierten en hábitos así carezcan de sustento. Una de ellas es la obligación que imponen la mayoría de los bancos colombianos para que sus clientes, personas naturales o jurídicas, cambien sus contraseñas con frecuencia, mínimo cada tres o cuatro meses. Desde hace varios años y bajo la premisa de prevenir el fraude, los bancos colombianos han impulsado campañas publicitarias para invitar a sus usuarios a cambiar con frecuencia sus contraseñas. Mientras que la banca colombiana sigue pensando que esta es una buena práctica, hay entes especializados en ciberseguridad y con experiencia y alcance global que piensan lo contrario.

Microsoft, que recibe en sus servidores públicos alrededor de 10 millones de ataques diarios a sistemas de autenticación que requieren usuario y contraseña, ha dicho que cambiar la contraseña con frecuencia trae menos beneficios que ventajas. De hecho, no lo recomienda y haciendo eco de su postura, dejó de configurar como un estándar, la obligación de que los usuarios de servidores y servicios corporativos deban cambiar su contraseña periódicamente. Esta opción solo se activa si el administrador del sistema del cliente así lo desea.

El Centro de Ciberseguridad Nacional del Reino Unido tampoco encuentra beneficioso obligar a los usuarios a cambiar las contraseñas periódicamente. Y el Instituto Nacional de Estándares y Tecnología del Departamento de Comercio de los EE.UU., que para algunos expertos, ofrece la guía más detallada de protocolos y políticas de seguridad informática en el mundo, lista los mecanismos de seguridad para evitar la vulnerabilidad de sistemas informáticos y dice que no se debería forzar al usuario a cambiar periódicamente su contraseña.

Es una ficción pensar que cambiar la clave con frecuencia impedirá que un ladrón informático entre a una cuenta bancaria. No hay ventaja alguna al cambiar la contraseña todos los días o todas las semanas o cada hora, dado que un hacker, al conocerla, la utilizará inmediatamente y antes de que se pueda volver a cambiar. 

Los ladrones que acechan los cajeros electrónicos además de copiar la tarjeta o hacerse a ella, tienen mecanismos para averiguar el PIN o clave de una tarjeta débito. Hoy el uso de tarjetas con chip supuestamente previene su clonación, pero eso no es óbice para que los maleantes distraigan a la víctima con el objetivo de cambiar su tarjeta por una falsa y quedarse con la verdadera. El número PIN lo deducen con técnicas para grabar la secuencia de cifras que el usuario ingresa como número clave de la tarjeta, por lo tanto, ya con la tarjeta en la mano o clonada, de nada servirá que la clave del usuario se cambie con frecuencia, pues ese PIN o clave la utilizarán casi inmediatamente para entrar a la cuenta de la víctima y sacar su dinero. 

“Es una ficción pensar que cambiar la clave con frecuencia impedirá que un ladrón informático entre a una cuenta bancaria”.

Si se trata del computador de la oficina, de la casa o de un sitio público, los hackers informáticos tienen técnicas para instalar softwares que graban las secuencias del teclado del computador y con ello pueden saber la clave que ingresa un usuario para ver su cuenta bancaria por internet. También utilizan técnicas de phishing para que el usuario crea que está ingresando a su sitio web bancario, utilizando una interfase falsa, y así capturar la clave de ingreso con facilidad. Por tal motivo, no importa si se cambia la clave con frecuencia, el hacker podrá conocer la nueva y la utilizará antes de que vuelva a ser cambiada, sin que el usuario pueda hacer algo para evitarlo. Sin embargo, la protección y prevención de accesos no autorizados puede aumentar o prevenirse si los bancos, como ya lo están haciendo muchos en Colombia, tienen configurada una seguridad multifactor o verificación de dos pasos.

La seguridad multifactor es más potente y efectiva para evitar un acceso no autorizado a un sistema informático, que insistir en la estéril y desgastante política de imponer a los usuarios que cambien su contraseña con frecuencia. Una autenticación multifactor significa que, además de ingresar la contraseña principal, el usuario debe ingresar un código adicional que recibe en su celular o en un dispositivo de seguridad. Este código cambia cada 30 o 60 segundos e introduce un segundo paso de autenticación que hace que si el intruso conoce la primera contraseña le sea más difícil saber la siguiente, pues es cambiante para cada intento. (*)

Consulté con Asobancaria, gremio que representa al sector bancario, sobre si la política de cambiar la contraseña con frecuencia era una práctica común en Colombia y en otros países y me contestaron que sí y que “el cambio de claves sí es una política del gremio y de las entidades porque se considera un hábito que hace parte de la higiene digital de las personas”. Como ejemplo de país que hace lo mismo, me contestaron que México era uno de ellos.

Al preguntarles por estudios que sustentan esa política, me mencionaron que existe “una investigación realizada este año con expertos en economía experimental y comportamental de la Universidad de los Andes que determinó que el cambio frecuente de contraseñas continúa siendo un reto grande”. Y que quienes menos están dispuestos a cambiar las contraseñas con frecuencia son hipotéticamente más proclives a ser víctima de fraude. Esta última conclusión no pude entender cómo es que la sustentan, pero el hecho es que Asobancaria defiende esta política de cambio de clave, incluso cuando se usa seguridad multifactor, según me lo confirmaron cuando pregunté al respecto. 

“La seguridad multifactor es más potente y efectiva para evitar un acceso no autorizado a un sistema informático, que insistir en la estéril y desgastante política de imponer a los usuarios que cambien su contraseña con frecuencia".

Sin embargo, quiero destacar que al menos hay una oveja del rebaño que no hace caso al gremio bancario colombiano. Hay un banco que en su segmento de personas naturales no obliga a cambiar las contraseñas y en cambio utiliza preguntas adicionales y aleatorias para tratar de validar si la entrada a su sistema bancario es legítima. Buscando casos en Estados Unidos, hablé con usuarios que tienen cuentas bancarias en Bank of America o en Wells Fargo y me han dicho que sus bancos nunca les han pedido que cambien sus contraseñas y uno mencionó que una sola vez lo llamaron a pedirle cambio de contraseña, por prevención adicional, ante una sospecha de posible fraude por que detectaron varios intentos de acceso a su cuenta desde una dirección IP que no era habitual.

La posición de las entidades que mencioné al principio de esta columna y quienes no ven mayores beneficios en la política de cambio de contraseñas aducen que cambiarlas periódicamente hace que los usuarios se acostumbren a utilizar la misma contraseña anterior a la del cambio pero adicionándole un número secuencial en cada nueva contraseña, como Carlos1, Carlos2, Carlos3, etc. o a utilizar contraseñas obvias y de fácil recordación, lo que aumentaba la posibilidad de adivinarlas en comparación a tener una única contraseña compleja que el usuario pueda recordar. También mencionan la bondad del uso de métodos de autenticación multifactor, como mecanismo para mantener la seguridad sin obligar al usuario a cambiar la contraseña principal con frecuencia. 

La seguridad multifactor no solo se utiliza para proteger las cuentas bancarias, sino también el acceso al correo electrónico y a aplicaciones que manejan información privada. Si el correo electrónico ofrece un método de seguridad de dos pasos, no hay que dudar en activarlo y aprender a utilizarlo para prevenir, de manera más efectiva, que un hacker pueda entrar a su cuenta de correo.

En mi opinión si un banco tiene un sistema de verificación de dos pasos o multifactor, no tiene ningún sentido ni beneficio que obligue a sus usuarios a cambiar su contraseña, a no ser que haya serias sospechas de intento de fraude o que este se haya cometido. Ojalá que Asobancaria pueda revisar o flexibilizar la que considero es una posición anquilosada y también que sus agremiados se sensibilicen sobre la inutilidad que es imponerle al usuario una carga adicional en pro de una supuesta higiene digital que puede vulnerar más la seguridad de sus cuentas que prevenirla. 

No hay que ponérsela fácil a los hackers ni a los ladrones informáticos, pero tampoco hay que ponérsela difícil y desgastar a los usuarios legítimos si hoy en día existen prácticas y mecanismos de seguridad que le pueden hacer la vida más fácil a todos salvo a los delincuentes.

--

(*) Hay diversos sistemas multifactores: códigos SMS, números variables en un token (dispositivo externo), códigos variables en un token digital instalado en el celular, autenticación mediante el código QR o de otro tipo mediante el teléfono del usuario que tiene preinstalado un software especial de seguridad, etc.

--

Centro de Ciberseguridad Nacional del Reino Unido

Sugerencias en el manejo de contraseñas del Centro de Ciberseguridad Nacional del Reino Unido https://www.ncsc.gov.uk/collection/passwords/updating-your-approach

El aparte sobre su posición ante el cambio de contraseñas -en inglés- es el siguiente: 

“Don't enforce regular password expiry: Regular password changing harms rather than improves security. Many systems will force users to change their password at regular intervals, typically every 30, 60 or 90 days. This imposes burdens on the user and there are costs associated with recovering accounts”.

Microsoft

Documento Guía de uso de Contraseñas

El aparte que habla sobre el cambio contraseñas es esta -en inglés-:

“Password expiration policies do more harm than good, because these policies drive users to very predictable passwords composed of sequential words and numbers which are closely related to each other (that is, the next password can be predicted based on the previous password). Password change offers no containment benefits cyber criminals almost always use credentials as soon as they compromise them.”

Instituto Nacional de Estándares y Tecnología de los EEUU

Digital Identity Guidelines

Authentication and Lifecycle Management

Publicación SP 800-63B

El aparte del document sobre el no solicitar el cambio frecuentes de contraseñas es este –en inglés-:

“Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets. Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.”

Conozca más de Cambio aquíConozca más de Cambio aquí

Más Columnas