Las preguntas de seguridad, menos seguras de lo que creemos

Cualquier usuario medianamente veterano de servicios de webmail reconocerá sin dificultad preguntas del tipo: “¿Cuál era el nombre de su primera mascota?” o “¿Cuál es el apellido de soltera de tu madre?”. Las preguntas de seguridad son un medio para garantizar que sólo nosotros accedemos a nuestras cuentas, pero su seguridad y eficacia dejan muhco que desear según un estudio de Google.

Los resultados, recientemente presentados en la WWW 2015, concluyen que las preguntas secretas no son lo suficientemente seguras ni confiables como para ser utilizadas como un mecanismo de recuperación de cuenta independiente. Eso se debe a que tienen un defecto fundamental: sus respuestas son seguras o fáciles de recordar, pero casi nunca ambas cosas a la vez.

Es decir, si elegimos una pregunta con una respuesta fácil de recordar, como “¿Cuál es tu comida favorita?”, es bastante probable que la respuesta sea conocida o fácil de adivinar. Los investigadores de Google, que analizaron millones de preguntas y respuestas secretas utilizadas en solicitudes de recuperación de cuenta en Google, estimaron que con un hacker tendría un 19,7% de posibilidades de adivinar la respuesta a esta pregunta con una simple conjetura.

El otro riesgo es usar una respuesta tan difícil de responder que hasta el mismo usuario se vea incapaz de recordar la respuesta llegado el caso. El estudio afirma que el 40% de sus usuarios de habla inglesa en Estados Unidos no podía recordar las respuestas a sus preguntas secretas cuando las necesitaban.

Hay una solución para ello: responder a dos preguntas. La probabilidad de que un atacante pueda dar con ambas respuestas en 10 intentos es del 1%. Aunque los usuarios recuerdan ambas respuestas sólo el 59% de las veces. Acumular preguntas hace que sea más difícil para los usuarios recuperar sus cuentas, lo que tampoco lo convierte en una buena solución.

Beutler_Google_passwords-v6

Así que si las respuestas fáciles no son seguras y las respuestas difíciles no son utilizables, lo mejor sería utilizar otros métodos de autenticación, como códigos de seguridad enviados a través de SMS o a direcciones de correo electrónico secundarias, para autenticarse y recuperar el acceso a la cuentas. Estos métodos son más seguros y ofrecen a la vez una mejor experiencia de usuario.

Juan Miguel Revilla

Recent Posts

NetApp: “Como protectores del dato, nos posicionamos desde la primera hasta la última línea de defensa”

Jaime Balañá, director técnico de NetApp para Iberoamérica, hace repaso en esta entrevista de la…

10 horas ago

Zebra Technologies lanza el EM45, un ordenador móvil empresarial para mejorar la productividad en primera línea

Zebra Technologies presenta el EM45, un dispositivo móvil resistente y seguro diseñado para trabajadores de…

11 horas ago

Julia Bernal, nueva Revenue Leader para la región mediterránea en Red Hat

Red Hat nombra a Julia Bernal como nueva Revenue Leader para la región mediterránea, ampliando…

12 horas ago

Check Point Software introduce los firewalls Quantum Spark 2500

Entre sus características, la nueva serie cuenta con capacidades integradas de WiFi 7 y es…

13 horas ago

Europa acelera el despliegue 5G, pero persisten las desigualdades entre países

La cobertura 5G mejora en Europa, pero las diferencias entre países reflejan el impacto de…

14 horas ago

Fortinet celebra su Security Day en Barcelona y Madrid con foco en IA y convergencia de la ciberseguridad

Fortinet reunirá a expertos y clientes los días 8 y 16 de octubre en Barcelona…

14 horas ago