Por Rodrigo Bionda

Especial para El Tiempo

En pleno apogeo de la Segunda Guerra Mundial, los nazis cubrieron con un manto de misterio el teatro de operaciones sobre el cual se desplegaban las hostilidades, ocultando a la vista de todo el contenido de millones de mensajes interceptados cotidianamente por los aliados al encriptarlos dentro del lenguaje de la mítica máquina Enigma, diseñada por el Ingeniero alemán Arthur Scherbius.

La contraofensiva no se hizo esperar, ya que el gobierno británico por intermedio de la Government Code and Cypher School con sede en la icónica Bletchley Park conformó un dream team para que desarrollara un sistema que permitiera decodificar en tiempo real cada mensaje nazi y, con ello, procurar torcer el rumbo de la guerra.

Fue así que convocaron al brillante matemático Alan Turing quien, junto a una mujer excepcional -Joan Clarke- y otro notable matemático -William Gordon Welchman-, mejoraron un sistema pergeñado en 1938 por el criptologista polaco Marian Rejewski del Biuro Szyfrów -conocido como "bomba kryptologiczna"- y diseñaron un dispositivo capaz de desencriptar los mensajes alemanes, al que denominaron "Bombe". El diseño de ingeniería y la construcción fue confiado a Harold Keen de la British Tabulating Machine Company.

Todo lo que ocurrió después es historia conocida, la disolución del equipo de Station X, el padre de la inteligencia artificial -Alan Turing- convertido en paria por sus elecciones sexuales, una condena penal, una forzada redención condimentada con grandes dosis de dietilestilbestrol -un estrógeno sintético- para intentar moldear su naturaleza y una feroz mordida a una manzana con cianuro que marco el punto final de los finales, aquel al que no le siguen dos puntos suspensivos.

En nuestra hora actual, las batallas continúan, sólo que, en el marco de una fría ciberguerra mundial, deslocalizada geográficamente y donde se lucha byte a byte por controlar y dominar el vasto territorio del capitalismo de la vigilancia. En la era del acceso y no de los bienes, todos los días ocultamos a la vista del mundo mensajes encriptados que hemos denominados claves; es decir, credenciales compuestas de bites desordenados por la Enigma que todos operamos y que posibilitan acceder a un más o menos seguro refugio algorítmico bajo un cielo iluminado por el fuego cruzado de señales binarias.

Completa el soporífero oxímoron digital, la acción permanente de un ejército de crackers que ejecutando comandos desde su "Bombe", intentan decodificar nuestras credenciales para convertirlas en un activo que los nuevos mercaderes de datos comercializaran en las profundidades más oscuras de la web, asegurando a sus clientes que harán lo que haga falta para transformar el misterio natural del deseo humano en un mero hecho científico y que en esa física de los clics cada tipo de acceso cotiza a diferentes valores.

Una nueva fase del capitalismo: el de la vigilancia

Todo aquel que surca aguas digitales a diario, dejando tras de sí la estela de su huella digital, debería saber que en ese espacio social denominado mercado, ninguno de los servicios que recibe -buscadores, redes sociales o aplicaciones de la más diversa naturaleza- son gratuitos, habida cuenta que se abonan en moneda de datos personales y con su atención. En otras palabras, los proveedores en el ecosistema digital han hecho de la gestión, análisis y compraventa de los datos personales, su modo de vida; toda vez que el petróleo actual -los datos que los desprevenidos internautas regalan en la red de redes- es gestionado y analizado para ser utilizado con los más diversos propósitos comerciales: dirigirles publicidad, analizar segmentos de población y así poder diseñar estrategias de mercado más eficientes y para predecir tendencias de consumo, entre otros fines.

Tan importante y lucrativo se ha convertido el mercado de los datos que, en los últimos tiempos, las actividades relacionadas con la gestión y el análisis de los mismos han pasado a formar un sector plagado de oportunidades de empleo y de inversión y -desde luego- también han llamado la atención de los segmentos más oscuros del entorno digital. En las profundidades de la Deep Web, crackers de todo tipo han construido un enorme mercado persa comprando y vendiendo información personal sensible con toda seguridad y anonimato. Se contactan peer to peer entablando relaciones comerciales sin develar sus direcciones IP, su identidad o ubicaciones; recorriendo cada mall de ese centro comercial oculto y deslocalizado geográficamente con absoluta tranquilidad.

Este marco contextual está provocando que surjan una serie de productos y servicios destinados a generar una contracultura, revelándola y procurando concientizar en torno a ella. Ya existe disponible un software -por caso, "Have I been Pawned"- que permite escanear la Deep Web en búsqueda de nuestros datos y con solo ingresarlos, verificar si han sido objeto de alguna brecha o vulneración. Con el mismo objetivo, "Firefox Monitor" es otro script que permite escanear las oscuras profundidades de la Web en búsqueda de vulneración o brechas de información de nuestros datos personales, verificando sí están siendo comercializados fraudulentamente.

Algunos de los datos objeto de este colosal mercado negro, son las credenciales o contraseñas, empleadas como llaves de acceso a los más diversos bienes desmaterializados. Es que se han diseñado superpotentes sistemas de inteligencia artificial que -al igual que la "Bombe"- representan un muy preocupante avance en las técnicas de descifrado de claves; "PaasGAN" es una de ellas.

Este sistema de inteligencia artificial se vale de redes generativas adversariales (GAN) para aprender de forma autónoma la distribución de contraseñas reales a partir de filtraciones de contraseñas reales, eliminando la necesidad de realizar análisis manuales de las claves. Aunque esto hace que el descifrado de contraseñas sea más rápido y eficaz, supone una grave amenaza para la seguridad en línea. Si bien ya existían herramientas para automatizar el descifrado de contraseñas antes del boom de la inteligencia artificial, lo cierto es que la diferencia radica en que en lugar de ejecutar un análisis manual de claves a partir de bases de datos de contraseñas filtradas, este script -"PaasGAN"- puede generar múltiples propiedades de contraseñas y mejorar la calidad de las contraseñas predichas, facilitando a los ciberdelincuentes el descifrado de las credenciales de miles de usuarios y -con ellos- un el acceso a un crisol de datos personales.

Las redes neuronales son sistemas que entrenan a las máquinas para interpretar y analizar datos como si fuera la mente humana. Las redes neuronales de GAN están diseñadas para registrar una variedad de propiedades y estructuras. La tecnología de referencia fue entrenada utilizando el conjunto de datos RockYou, un conjunto de datos utilizado para entrenar sistemas inteligentes en el análisis de contraseñas. Después del entrenamiento, GAN pudo aprovechar los conocimientos adquiridos para crear nuevas contraseñas de muestra que siguen la distribución de la red neuronal.

Frente a este potente algoritmo, una muy buena práctica de higiene digital, aconseja una actualización regular y periódica de cada una de las contraseñas y credenciales empleadas para lograr obtener alguna protección ante el uso de esta peligrosa tecnología.

Por otra parte, este sistema "permite" probar cuan robusta es tu contraseña frente al potente crackeo de "PassGAN", por ello dirigiéndose a su página web -seguramente como parte del entrenamiento de la red generativa adversarial de la que se vale- el usuario puede introducir la contraseña que pretende utilizar en lo sucesivo, mientras que el software arroja el resultado del crackeo; es decir, si puede obtenerla y en cuanto tiempo. Aunque desde la pagina web se asegura que todas las contraseñas que se testean no se almacenan ni se comparten, en lo personal he sido precavido y he usado una contraseña similar a proyectada a utilizar -con alguna variante en algún carácter- para descubrir que -teóricamente- la crackearía en unas siete horas.

Anatomía de una contraseña débil

El análisis de la anatomía de las credenciales débiles, revela que su fisonomía está compuesta por demasiadas pocas cosas que conspiran contra la gestación de llaves robustas. A menudo, son compuestos inestables producto de poseer menos de quince caracteres y ser demasiados cortas; utilizar palabras comunes del diccionario -por ejemplo, "casa" o "hamaca"-; emplear frases comunes, citas famosas o frases religiosas; recurrir a información personal -nombre del cónyuge, hijo o mascota, fecha de nacimiento, entre otros-; trazar "rutas" fáciles de recordar -qwerty, 123456, abcd o equivalentes- o inclusive, algunas variantes de la palabra "contraseña" tales como thisismypassword, passispass y otras alternativas similares.

Estas consideraciones, se aplican incluso a aquellos usuarios que creen que están siendo inteligentes y recurren a prácticas comunes de sustitución de palabras que se denomina leetspeak; esto es, la práctica de reemplazar las letras con números de aspecto similar como "P455w0rD"; habida cuenta que si bien genera alguna dificultad adicional al craker, es en un grado tan ínfimo que prácticamente es inútil.

El mindset más común de "hack" -quiebre- de contraseña es lo que se conoce como crack o ataque de fuerza bruta. Consiste esencialmente en un método para adivinar contraseñas al azar hasta que una de ellas funcione. Si bien desde el punto de vista técnico se puede hacer manualmente y cuanto más común sea tu contraseña o cuanto más sepa el posible cracker sobre el usuario, más probable será que funcione un ataque manual de fuerza bruta; aunque insume mucho tiempo y energía.

Por ello, lo más probable es que estos ataques se consumen por fuerza bruta alimentados por computador; habida cuenta que existen sistemas que pueden adivinar algo de 1000 contraseñas por segundo, o -en algunos casos- más. Comienzan con palabras comunes del diccionario, van a las más oscuras -en varios idiomas también, por lo general-, e incluso los programas un poco más sofisticados pueden ramificarse y comenzar a hacer esas sustituciones comunes de leetspeak para cada palabra, probando cada variante de letras en mayúsculas y sin mayúsculas para cada palabra adoptando variantes como contraseña, CONTRASEÑA, PaSSwOrD, entre otros.

Estas grietas de fuerza bruta toman un esfuerzo relativamente mínimo para configurarse y a menudo pueden producir resultados bastante lucrativos para la persona que las hace con el tiempo.

Ahora bien, a estos oráculos automáticos de contraseñas no les ayudarán necesariamente con la información personal. Si usas el apellido de soltera completo de tu esposa como contraseña, además de su cumpleaños o algo así, puede parecer una buena contraseña, ya que es poco probable que este tipo de ataques de fuerza bruta puedan funcionar. Daria la sensación que "MariaJuanaGonzalez1986" sería una contraseña bastante robusta ¿verdad? Incorrecto. Lo que mucha gente no tiene en cuenta es que este nivel de sentimentalismo en las contraseñas es común, que a menudo la información utilizada para elaborar la contraseña está totalmente disponible públicamente y que sólo basta desplegar algunas pocas estrategias de ingeniería social para obtener la información necesaria como para deconstruir con éxito una credencial de esa naturaleza.

Con que el usuario haya publicado sobre su esposa en alguna red social antes, o simplemente haya tenido una boda documentada públicamente o algo así, es sorprendentemente fácil para alguien encontrar información sobre cualquier persona que no conozca.

Componentes de una contraseña ¿segura?

Partiendo de la premisa que no hay ninguna contraseña totalmente infalible, es de enorme transcendencia tener en cuenta algunas de las pautas que contribuirán a la elaboración de una contraseña más o menos robusta.

Es de vital importancia combinar caracteres de todo tipo, números con letras en mayúsculas y minúsculas y símbolos para dificultar algún eventual proceso de ataque con fuerza bruta. En cuanto a su extensión, lo ideal es que cuente con no menos de quince caracteres, evitándose patrones como "1234" que reducen la complejidad de la contraseña y -para ello- valerse de algunos generadores de contraseñas como por ejemplo LastPass, RoboForm o HSXKPasswd, entre otros.

Se ha podido verificar que utilizando generadores de contraseñas que las elaboren con no menos de dieciocho caracteres, incluyendo letras como números y caracteres especiales, el usuario logra ponerse a salvo del poder de crackeo de e inteligencias artificiales como "PassGAN", for now.

Para extremar la seguridad en los accesos, también es buena idea apostar por sistemas de autenticación de doble o múltiple factor y -si es posible- que no emplee SMS.

En el mindset del cracker, el primer paso consiste en recurrir a las palabras y frases básicas en el diccionario, así como cadenas comunes de números y símbolos pegados al final para cumplir con los requisitos mínimos de contraseña, seguidos de credenciales derivadas de información personal sentimental.

Se pueden utilizar contraseñas aleatorias generada automáticamente por algunos sistemas operativos como IOS y que generalmente se expresan como una cadena de letras, números y símbolos verdaderamente aleatorias. Esa sería una buena estrategia y puede arrojar como resultado una contraseña muy fuerte, pero es víctima de algunas debilidades humanas como la memoria y la natural propensión a encontrar o crear patrones en cualquier cosa que hagamos.

Ninguna cadena de letras, números o símbolos en diferentes etapas de mayúsculas formadas por manos humanas será realmente aleatoria. De hecho, tampoco los creados por máquinas, pero se acercan mucho más que la gente a la aleatoriedad anhelada. Cerrando los ojos y moviendo inconscientemente los dedos sobre el teclado obtengo *Ç":_;^*?¿NfUIUF(*UhY&@Hj@". Sin dudas, es una contraseña robusta, sería bastante difícil de adivinar inclusive para un sistema de inteligencia artificial destinado a crackear credenciales y probablemente imposible para una persona; empero, también es imposible de recordar para el usuario.

Con sólo mover la vista del monitor un instante, el usuario habrá olvidado por completo el orden exacto o las letras y símbolos indicado, salvo que cuente con una memoria fotográfica; por lo que, para la mayoría de las personas, lo que esta contraseña representa es pulsar el comando "Restablecer contraseña" cada vez que vayas a iniciar sesión en cualquier sitio o aplicación.

Si esa es la opción por la que se va a inclinar el usuario, la única manera de hacer que funcione es utilizando una combinación de un generador de contraseñas aleatorio y una bóveda de contraseñas o un administrador de contraseñas de algún tipo. Los administradores de contraseñas están sellados por su propia credencial y contienen una compilación de todas las llaves utilizadas. Esto significa que realmente solo se necesita llegar a una sola contraseña ultrasegura que luego proteja todas las demás generadas al azar. Sin embargo, eso significa que esta credencial debe ser hermética, por lo que vas a necesitar al menos un método más de generación segura de contraseñas en tu haber.

Credenciales de oración modificada

Esta otra alternativa, es conocida como el Método Schneier y su objetivo consiste en crear una contraseña que sea fácil de recordar, pero muy difícil de adivinar para otras personas. El método es sencillo, se piensa en una oración y en una regla que modifica esa oración en una contraseña. Como ejemplo rápido, pensemos en la frase: "Soy hincha fanático de River Plate". Esta es una frase fácil de recordar, especialmente si es que volviste a coronarte campeón de nuevo.

Esta frase por sí sola es una contraseña bastante mala. Si bien puede ser difícil para los ordenadores descifrarlo, este es el tipo de cosas que alguien que te conoce, o que sabe lo suficiente de ti mediante el uso de ingeniería social, puede probar como contraseña con bastante facilidad. Lo que la robustece, es la regla para encriptarla. La regla también debe ser algo fácil de recordar y el ejemplo más común es tomar aleatoriamente las letras de cada palabra y fundirla en una sola palabra. En este caso, "Soy hincha fanático de River Plate" se convierte en "SyHinfadeRivTe", lo que va a ser bastante difícil de adivinar tanto para los sistemas de inteligencia artificial, los ordenadores como para los crackers.

Sin embargo, la regla exacta no es importante y hay un número casi infinito de combinaciones para esto. La combinación propuesta, "SyHinfadeRivTe" es solo una posible permutación incluso de esa frase singular. Tomando como ejemplo la misma oración, se podría aplicar una regla diferente, como seria por caso "la primera y la última palabra se reflejan". Este método, arrojaría una contraseña tal que: "SoyyosHinchaachinhaFanaticoocitanafdeedRiverrevirPlateetalp"; algo más difícil de recordar, pero también difícil de crackear.

Siempre y cuando puedas recordar la frase de activación y cómo la modificaste, siempre puedes pensar por un momento en volver a diseñar tu propia contraseña -porque hay una lógica-, pero los crackers van a tener muchas más dificultades para tratar de hacerlo, ya que hay al menos dos niveles de aleatoriedad en esta elaboración.

El método "Nonsense Phrase" o el empleo de frases sin sentido

Sólo hay algo seguro, ninguna contraseña va a ser perfecta. Sin embargo, no es aconsejable dejar que la perfección sea el enemigo del bien. El hecho de que ninguna contraseña esté exenta de ser descifrada, no significa que se deba dejar de intentar hacerla más difícil de crackear. En cierto momento, si tu contraseña es lo suficientemente difícil de descifrar, la mayoría de los atacantes se dará por vencidos.

El método "Nonsense Phrase" que ha cobrado notoriedad con el cómic "XKCD" ha sido promocionado como anticuado en los últimos años, porque los crackers han comenzado a captarlo y a trabajar con esa lógica en sus programas de adivinanza de contraseñas. Esto podría descalificarlo como un método que se utilizará para las cosas más seguras imaginables, como los informes secretos de inteligencia y similares.

Tal vez la mejor opción, luego de las contraseñas verdaderamente aleatorias en términos de seguridad son las frases de contraseña o -como se las denomina en el universo de la criptoeconomía- frases semilla. Aunque ciertas frases pueden ser tan inseguras como las palabras simples, que generalmente se reducen a citas históricas comunes -"Tengo un sueño...", "Veni, vidi, vici ..."-, frases religiosas -"Dios es grande, Dios es bueno ..."-, o frases inspiradoras comunes -"Nada es imposible ..."-; ya que con un más o menos intenso ejercicio de ingeniería social, estas pueden ser descubiertas por el hacker si logra genera una comprensión lo suficientemente profunda de la vida de la víctima a partir de los hábitos que su huella digital imprime en las redes sociales, sus intereses y creencias.

Como buen sustituto, se pueden emplear colecciones de palabras aparentemente no relacionadas. Es casi un cliché en este momento referirse al cómic "XKCD" cuando se habla de seguridad de contraseñas y seguridad en Internet, pero comúnmente se cita por una razón. La idea básica que subyace tras esta novedosa tira, consiste es pensar o generar cuatro -¡o más!- palabras aparentemente no relacionadas que sin embargo, son memorables. El cómic utiliza "Correct Horse Battery Staple", que desde luego ya no se debe usar, habida cuenta que seguramente será una de las primeras opciones probadas por un experto fuerza bruta. Pero adviértase que estas cuatro palabras no tienen ninguna relación y, sin embargo, son bastante memorables.

Este tipo de contraseña se puede reforzar aún mas añadiendo letras y símbolos al azar en el medio, aunque asegúrate de que siga siendo algo que se pueda recordar. Sin embargo, con este tipo de contraseña debes estar seguro de que las palabras realmente no están relacionadas, o al menos en su mayoría.

Para una persona promedio, estas estrategias deberían ser suficientes. Todos los tipos de seguridad son un ejercicio de gestión de riesgos por encima de todo. No hay absolutamente ninguna bala de plata para la seguridad de ningún tipo, ningún sistema de seguridad que no se pueda superar, ni ninguna bóveda verdaderamente impenetrable en el planeta.

El punto de la seguridad es la disuasión y la mitigación de riesgos en lugar de tener realmente una protección férrea con pretensiones de invulnerabilidad. Una contraseña que tarda tres minutos en descifrarse es una mala contraseña, no importa cómo la quiebres. Si tarda 3 días en agrietarse, podría ser un poco mejor, dependiendo de lo que estés protegiendo. La mayoría de las personas no van a estar setenta y dos horas seguidas tratando de entrar en tu cuenta de Netflix o lo que sea. ¿Si una contraseña tarda tres semanas, meses, años en descifrarse? Sería un límite aceptable de gestión y mitigación del riesgo para los activos propios de un particular promedio.

Cerrando por derribo

Mientras un sutil bullicio de arrabal comienza a poblar el ágora en "El Rastro" con un crisol de singularidades y las primeras luces del verano europeo encandilan esta impensada aventura vital emprendida, la retrotopía experimentada a través de 10.310 dioptrías de distancia se empeña en condenar a galeras algunos de los archivos de estos últimos tres años, junto a sueños sesgados con manchas de soledad.

Apurando un café con hielo entre Dos Capitanes, se adivina la fisonomía de Tirso de Molina rumbo a Chamartin, mientras suenan de fondo las arrugas de estas líneas que callan más de los que dicen, pero dicen la verdad. El aroma de cañas y tapas del Húmedo en la Séptima Legión, destila la desolación impregnada por un infranqueable Muro de Berlín que cerró su propio Círculo de Baba y recuerda que no hay nostalgia peor que añorar lo que nunca jamás sucedió.

Tras las huellas de Gaudí, mientras el corazón se muda a las yemas de los dedos que accionan cada una de las teclas, se va tejiendo un febril mensaje que al pasar por su propio Enigma vital desea a quien cuenta con la única "Bombe" capaz de desencriptarlo atemporalmente, el requiem que en la arena cada torero defiende a capa y espada: buena suerte y hasta luego.