
Poco fiables las preguntas de seguridad de Google
La eficacia de los métodos de seguridad utilizados en servicios web ha estado en discusión en el último tiempo, mientras la comunidad de expertos, investigadores y compañías se pregunta cómo mejorar el proceso. Ante este escenario, Google decidió analizar qué tan conveniente es seguir usando preguntas de seguridad como método de validación para la restitución del acceso a cuentas, y llegó a la conclusión de que no son seguras.
Las respuestas secretas son demasiado fáciles de recordar para los usuarios y, en consecuencia, demasiado fáciles de adivinar para los cibercriminales. Pensemos en las veces que algún servicio web nos preguntó el apellido de soltera de nuestra madre, el nombre de nuestra primera mascota, escuela o maestra, o nuestra comida preferida.
Las respuestas o son seguras o fáciles de recordar, pero rara vez ambas cosas. A menudo contienen información comúnmente conocida o disponible públicamente, sobre todo si pensamos en la cantidad de información personal que los usuarios dejan al descubierto inconscientemente al utilizar redes sociales.
Google nos dice que:
- Con un solo intento, el atacante tendrá el 19,7% de probabilidad de los casos de adivinar las respuestas de los usuarios de habla inglesa a la pregunta “¿Cuál es tu comida favorita?”
- Con diez intentos, el atacante podría casi en el 24% de los casos adivinar la respuesta de los usuarios de habla árabe a la pregunta “¿Cuál es el nombre de su primer maestro?”
- Con diez intentos, podría adivinar en el 21% de los casos las respuestas de los usuarios de habla castellano a la pregunta “¿Cuál es el segundo nombre de tu padre?”
- Con diez intentos, tendría el 39% de probabilidad de adivinar las respuestas de los usuarios de habla coreana a la pregunta “¿Cuál es tu ciudad natal?” y una probabilidad de 43% de adivinar su comida favorita
Lo cierto es que añadir más preguntas de seguridad solo haría el proceso más lento, y elevar su complejidad probablemente también, ya que cuanto más difícil la respuesta, más posibilidades hay de que los usuarios las olviden.
En resumen, las preguntas secretas son un flanco utilizado frecuentemente por los atacantes con el fin de aprovechar información fácil de adivinar. Así como los usuarios deben tener la costumbre de contruir contraseñas largas y seguras, también deben considerar la seguridad de sus preguntas (y respuestas) secretas, ya que mientras sigan siendo utilizadas como método de retitución de cuentas, permiten el acceso sin necesidad de conocer la contraseña.
Desde Gystic esperamos que este artículo haya sido de su utilidad, trabajamos siempre por su seguridad.