Contraseñas al desnudo
Cada año se hacen listas de nuestras peores claves: siguen ganando 123456, qwerty, admin...
La entrevistábamos en su despacho de la calle València. Nos llevó frente a su pantalla, para que viéramos que no mentía. Abrió en su ordenador la web P. –la suscripción a P. cuesta 2.500 euros al año– y nos las mostró: decenas de nombres y e-mails de médicos de un gran hospital barcelonés, con sus correspondientes contraseñas, al alcance de nuestros escrúpulos.
Decenas. Cardiología, pediatría, trauma… Nombre, correo electrónico y contraseña. A./ Contraseña: España. Doctor B./contraseña: fulano1968. Hasta un analfabeto digital como el aquí firmante se vería capaz (mmm) de estudiar quiénes son, suplantarlos y, en un momento dado, urdir una urgencia para que enviaran fondos para un catéter o alguna información sanitaria.
Fue hace unas semanas en la sede de una empresa de Barcelona dedicada a la ciberseguridad. Preparábamos un reportaje sobre las brechas por las que los hospitales pierden información. Previo pago, el personal de esta empresa tiene acceso a determinadas webs (como P.) que a su vez han comprado en el subsuelo de internet bancos de datos hackeados. Un historial médico cuesta unos 210 €. Puede parecer mucho hasta que te percatas de lo que puede suponer para la industria anticipar tendencias farmacéuticas.
En otra web, bastaba poner el dominio de una empresa para que aparecieran listas de e-mails de sus empleados, y se añadía el origen de la filtración. Tenían un par o tres de caracteres pixelados, para que pagaras (40 €) por ellos. Probé con la nuestra y allí aparecieron una treintena de compañeros. Uno de ellos había sido obtenido de una red pública de wifi.
El de las contraseñas es uno de nuestros grandes agujeros cibernéticos. Las anotamos (error) en notas en el propio móvil, usamos nuestra fecha de nacimiento del derecho (error) y del revés (error) y las repetimos para acceder al banco, a Filmin y a Instagram (gravísimo). Los viveros de hackers invierten millones de euros estudiando nuestras repeticiones.
Algunas empresas del sector hacen listas con las peores contraseñas del año. Repetidamente ganan 123456, admin, qwerty… ¿Qué hacer? Nuestra entrevistada recomienda usar gestores de claves, doble verificación y cambios continuos. Aunque sea una lata.
Como alternativa, en algunas webs recomiendan pensar una frase fácilmente recordable y jugar con ella. Si por ejemplo usamos “La cerveza cuesta 3 euros en el bar de Miguel”, podemos usar las primeras letras de cada palabra (Lcc3€eebdm), cambiar las vocales por números (Lcc3€55bdm) (recordando que la E es la letra 5 del abecedario), cambiar de bar (Lcc3€eebda) subir el precio (Lcc4€eebdm), o pasarse al whisky (Ewc12€eebdm).
La web P., por cierto, dejó de estar accesible en Europa el día 18, pero solo para empresas privadas. Las fuerzas de seguridad podrán seguir empleándola.