“¿Cuál es el nombre de tu madre?”: Google desmonta una de las medidas de seguridad más populares

¿Cuál es el nombre de tu madre? ¿Y tu color favorito? No queremos hacerte un interrogatorio; son las preguntas de seguridad que debemos contestar para recuperar nuestra contraseña o como un paso extra durante el proceso de identificación.

Si hemos olvidado nuestra clave, tras fallar todos los intentos de introducirla correctamente, la plataforma nos lanza la pregunta que elegimos durante el proceso de registro. Si ya sabemos lo complicado que resulta pensar en una clave segura, no elegir siempre la misma, cambiarla de cuando en cuando y además recordarla, ¿cómo puede ser que una pregunta tan sencilla proteja nuestra cuenta?

Un equipo de investigadores de Google se ha propuesto averiguar si la estrategia de seguridad cumple realmente con su cometido. Para ello, han hecho un análisis de “cientos de millones de preguntas y respuestas secretas” utilizadas por los usuarios. Han resumidos sus conclusiones en un artículo en la publicación de la vigésimo segunda conferencia internacional sobre la World Wide Web.

En resumidas cuentas, los autores han encontrado que las preguntas secretas no son lo suficientemente fiables, por lo que no sirven como mecanismo único para recuperar las contraseñas de las cuentas. Aunque algunas de las respuestas son seguras y fáciles de recordar, no suelen coincidir ambas características. Cuando la contestación es tan compleja como para servir de verdadera protección, la memoria falla.

Por otro lado, las opciones más fáciles suelen estar relacionadas con algún aspecto de nuestra vida diaria o incluso de dominio público. Y aquí se encuentra el principal fallo, porque se pueden deducir con las herramientas de análisis adecuadas y un poco de paciencia.

De esta manera, un atacante podría averiguarlas considerando un conjunto reducido de posibilidades: pongamos, por ejemplo, los apellidos más comunes de un país, los platos más habituales del mismo o, simplemente, los colores más habituales (para determinar tu favorito).

El estudio de Google aporta algunas cifras significativas al respecto. Un ciberdelincuente tendría un 19,7% de posibilidades de averiguar la respuesta de un usuario de habla inglesa a la pregunta “¿Cuál es tu comida favorita?”. La solución más habitual es “pizza”. En el caso de los hispanos, con 10 intentos existiría casi un 21% de posibilidades de acertar el segundo nombre de su padre.

También hay noticias para quienes falsean la respuesta con el fin de evitar que la adivinen. En el estudio, el 37% de las personas contestaba erróneamente de forma intencionada a preguntas como “¿Cuál es tu número de teléfono?”. Sin embargo, esta estrategia puede ser contraproducente, porque la mayoría acababan por elegir las mismas respuestas falsas, facilitando así el trabajo a los atacantes.

Entonces, ¿cuál es la solución? ¿Elegir una pregunta más complicada? Los autores del trabajo no lo aconsejan, porque los números confirman que las olvidamos con demasiada frecuencia. La mayoría de quienes habían elegido una de las cuestiones teóricamente más seguras no pudieron recordar su respuesta.

Concretamente, solo un 55% recordaban su primer número de teléfono, un 22% se acordaron del código de su tarjeta de biblioteca y aún menos (un 9%), su número de viajero más frecuente en una línea aérea.

Incorporar dos o más preguntas tampoco es una buena idea, ya que, según los expertos de Google, complicaría la recuperación de las cuentas. Si los usuarios no pueden rememorar una, difícilmente lo harían si el número se incrementara.

La única solución pasa por utilizar otros métodos de autenticación, como los códigos de acceso enviados al móvil por mensaje de texto (verificación en dos pasos) o a una dirección de correo electrónico alternativa. Los autores del trabajo describen estos dos métodos como “más seguros” y aseguran que ofrecen una mejor experiencia de usuario.