Las preguntas de seguridad son una contraseña que no elegiste

Publicado el por David Carrero

Cuando un formulario te pregunta el apellido de soltera de tu madre, no te está pidiendo un secreto. Te está pidiendo un dato del registro civil.

Ahí está toda la crítica; el resto son detalles. Una pregunta de seguridad es una contraseña con tres defectos que una contraseña normal no tiene: no la elegiste tú, la respuesta es adivinable porque mucha gente contesta lo mismo, y con frecuencia está escrita en algún sitio que no controlas. A cambio se le concede un privilegio enorme: puede sustituir a tu contraseña. Es la puerta de atrás de tu cuenta, y es más floja que la de delante.

Esto no es una intuición de gremio. Es lo que midió Google.

El estudio que nadie lee antes de diseñar el formulario

En 2015, cinco investigadores —Joseph Bonneau, Elie Bursztein, Ilan Caron, Rob Jackson y Mike Williamson— presentaron en la conferencia WWW, en Florencia, un trabajo cuyo título ya lo dice casi todo: Secrets, Lies, and Account Recovery. No era un laboratorio con treinta voluntarios: analizaron cientos de millones de respuestas secretas y millones de intentos reales de recuperación de cuenta.

El hallazgo tiene dos mitades. Casi siempre se cuenta solo una.

Mitad uno: se adivinan

El modelo de amenaza del paper no es tu cuñado curioseando: es alguien que ataca cuentas en masa y solo necesita acertar en una fracción. Con esa lupa, los números cambian de significado.

Con una sola tentativa, un atacante acertaría el 19,7 % de las respuestas de los usuarios anglohablantes a «¿Tu comida favorita?». Una. La respuesta, por si hay dudas, tiende a ser la que estás pensando. Con diez tentativas acertaría el 39 % de las respuestas de los usuarios coreanos a «¿Ciudad de nacimiento?». Y con un solo intento se acierta el 3,8 % de las respuestas de los hispanohablantes a la pregunta que Google les servía traducida como «¿Primer apellido del padre?».

Un 3,8 % suena a poco hasta que recuerdas que el atacante no ataca tu cuenta: ataca un millón. Y no hace falta ser Google para construir la lista. Los autores lo comprobaron: con apenas mil respuestas compradas en un servicio de crowdsourcing montaron distribuciones entre un 75 % y un 80 % tan efectivas como la real al hacer hasta cien intentos. El experimento les costó 100 dólares y menos de un día.

Lo demoledor es que las preguntas diseñadas para ser únicas tampoco se salvan. Un número de viajero frecuente debería ser irrepetible por definición; en la práctica, una sola tentativa acierta el 4,2 % entre anglohablantes. La razón es maravillosa y volveremos a ella: la gente miente, y miente en manada.

Mitad dos: se olvidan

Aquí el argumento se cae del todo, porque el único motivo por el que seguimos usando preguntas de seguridad es la creencia de que son fiables. La premisa era razonable: recordar tu ciudad natal debería ser más fácil que recordar xK4$mz. No lo es. El 40 % de los usuarios estadounidenses anglohablantes fue incapaz de recordar su respuesta cuando la necesitó. No la habían olvidado en abstracto: estaban intentando entrar en su cuenta y no pudieron.

Y entonces aparece la inversión perfecta, la que debería haber matado a esta tecnología hace una década. Cuanto más segura es la pregunta, peor se recuerda. Entre esa misma población, «¿El segundo nombre de tu padre?» —una pregunta floja— tenía un 76 % de aciertos. «¿Tu primer número de teléfono?», bastante más difícil de adivinar, bajaba al 55 %. Y las candidatas teóricamente más seguras se hunden: «¿Número de tu carné de biblioteca?» un 22 %, «¿Número de viajero frecuente?» un 9 %.

El tiempo remata la faena. Para «¿Tu comida favorita?», el acierto era del 74 % al mes, del 53 % a los tres meses y de apenas el 47 % al año. Y las recuperaciones no se concentran al principio: los autores encontraron que los usuarios no son más propensos a recuperar la cuenta pronto que tarde, así que la mayoría llega a la pregunta cuando el recuerdo ya se ha evaporado.

La conclusión de los autores no admite mucha reinterpretación: parece casi imposible encontrar preguntas secretas que sean a la vez seguras y memorables.

Mentir no te salva, te encierra

La reacción sensata, cuando entiendes el problema, es mentir: si preguntan por tu ciudad natal, contesta «Reikiavik» y a correr.

El paper también midió eso, con una encuesta a la población estadounidense. Entre quienes admitieron dar respuestas falsas, el 37 % lo hizo para ponérselo difícil a un atacante, el 15 % para que fuera más fácil de recordar —léelo dos veces— y un 31,9 % por privacidad, porque no le apetecía regalarle su biografía a una empresa.

El problema es que endurecer una respuesta es un gesto predecible. Ahí está el 4,2 % de los números de viajero frecuente: las mentiras de mucha gente se parecen entre sí bastante más que las verdades. Y el precio se paga en la otra mitad. Los usuarios estadounidenses que rellenaron «¿Tu primer número de teléfono?» con algo de siete dígitos —una respuesta plausible— recordaban su respuesta el 55 % de las veces. Los que pusieron seis caracteres, es decir, los que se inventaron algo, acertaban el 18 %.

Mentir sin apuntarlo no es una estrategia de seguridad. Es tirar la llave.

En español, la pregunta ni siquiera tiene sentido

Vuelve al apellido de soltera de tu madre. En la convención española habitual, tu segundo apellido es el primer apellido de tu madre. La respuesta va impresa en tu DNI.

No es una rareza local. El propio paper cita un estudio de Griffith y Jakobsson que dedujo ese apellido para al menos el 30 % de los residentes de Texas a partir de registros públicos de nacimientos y matrimonios; y a Rabkin, que encontró que el 16 % de las preguntas usadas en la práctica tenían respuestas listadas rutinariamente en perfiles públicos de redes sociales.

Un dato que consta en un registro y aparece en tu perfil no es un secreto compartido. Es información pública con una casilla de contraseña delante.

Qué hacer con el formulario que te obliga

A veces no hay escapatoria: el banco exige tres preguntas y no se puede seguir. En ese caso, deja de tratarlas como preguntas y trátalas como lo que son.

  • Responde con una contraseña, no con tu vida. A «¿Ciudad de nacimiento?» se le puede contestar con una cadena aleatoria del generador, o con una frase que hayas pasado antes por el comprobador. Es la única respuesta que no consta en ningún registro.
  • Apúntala en el gestor, en la misma ficha del sitio. No es opcional: es exactamente la diferencia entre el 55 % y el 18 % de recuerdo. La mentira solo funciona si la guardas.
  • Si el servicio te deja elegir otro método de recuperación, elígelo. En los datos de Google, el SMS acertaba el 81 % de las veces y el correo el 75 %, frente al 61 % de las preguntas secretas entre los usuarios estadounidenses anglohablantes —y solo el 44 % entre los franceses—.

Google actuó en consecuencia con sus propios datos delante: relegó las preguntas secretas a último recurso, siempre acompañadas de otras señales. Lo que recomienda el paper es que no se usen solas.

Once años después, tu aseguradora sigue preguntándote el nombre de tu primera mascota. Contéstale con dieciséis caracteres aleatorios. Se lo merece.


Fuentes: J. Bonneau, E. Bursztein, I. Caron, R. Jackson y M. Williamson, «Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google», WWW 2015, Florencia · V. Griffith y M. Jakobsson, «Messin’ with Texas: Deriving Mother’s Maiden Names Using Public Records», ACNS 2005, y A. Rabkin sobre preguntas de seguridad en la práctica, ambos citados en el trabajo anterior.

← Volver al blog