La pregunta secreta del caso “Paris Hilton”
Hace apenas unos días saltó la noticia de que los contenidos del teléfono móvil de Paris Hilton habían sido publicados en Internet.
En un principio se barajó la posibilidad de que hubieran accedido a la tarjeta SIM, o de que se tratara de una intrusión a los servidores de T-Mobile aprovechando inyecciones SQL. Al final parece ser que el método empleado fue mucho más sencillo, bastaba con contestar a la pregunta “¿cuál es el nombre de su mascota favorita?”.
El teléfono de Paris Hilton, un Sidekick II de T-Mobile, permite mantener una copia de los contenidos en un servidor de Internet, accesible a través de la web. Como ocurre en muchos servicios en línea, T-Mobile utiliza el método de preguntas secretas para permitir el acceso a aquellos usuarios que han olvidado sus contraseñas. De forma que si eres capaz de contestar a la pregunta secreta, tienes opción a introducir una nueva contraseña.
Paris Hilton eligió la pregunta “¿cuál es el nombre de su mascota favorita?” por si algún día se olvidaba de su contraseña. Aunque evidentemente es más fácil para un atacante acertar el nombre de una mascota o el color favorito de una persona que una contraseña a priori aleatoria, el caso de Paris Hilton roza lo esperpéntico. El nombre de su perro chihuahua era bien conocido a raíz de que la famosa heredera ofreciera en el pasado una recompensa de varios miles de dólares tras extraviarlo.
El resultado de tanto despropósito es que a día de hoy cualquiera puede descargar todo el contenido del móvil de Paris Hilton. Entre otras cosas podemos encontrar los números de teléfono de Christina Aguilera, Avril Lavigne, Eminem, o Anna Kournikova, entre los más de 400 contactos con e-mail o teléfonos que mantenía almacenados. También se puede acceder a 35 fotos que había realizado con su móvil, entre las que se puede ver desde a su perro hasta algunas más subiditas de tono realizadas con una amiga.
Para terminar es posible darse un paseo por su agenda, donde por descontado encontraremos anotaciones de todos locales que frecuenta, e incluso podemos escuchar varias llamadas que mantiene almacenadas. Para ello ya no es necesario conocer el nombre del chihuahua, “Tinkerbell”, ahora basta con hacer una simple búsqueda en eMule y bajarse el archivo de moda.
Dejando a un lado las anécdotas de este caso particular, queda en evidencia el gran riesgo que implica el método de preguntas secretas. No tiene sentido alguno “proteger” una contraseña con algo más débil, como es contestar a preguntas tipo como cual es nuestro color favorito. Precisamente Bruce Schneier criticaba hace unos días esta práctica, aunque fue más lejos y terminó por enterrar a las propias contraseñas.
Lo cierto es que cualquiera de nosotros que en alguna ocasión nos haya tocado administrar servicios con una gran cantidad de usuarios hemos sufrido el problema de las contraseñas. Por un lado les pedimos a los usuarios unos mínimos a la hora de elegirlas para que no sean fáciles de adivinar, y por el otro pretendemos que no nos llamen cada cinco minutos porque se les ha olvidado o han bloqueado la cuenta al realizar más de cinco intentos fallidos.
Esa es otra, llegado el momento de la llamada al administrador del servicio para reiniciar la contraseña, ahora a ver como se las ingenia para estar seguro de que quién llama por teléfono, cuya voz es la primera vez que escucha, es quién dice ser. Al final terminan preguntando datos personales pero que también pueden ser más o menos fáciles de conseguir. En definitiva, caldo de cultivo para los ataques de ingeniería social.
Y tú, dejando a un lado los sistemas alternativos de autenticación, ¿cómo resuelves el problemas de las contraseñas en tus servicios?