Con el tiempo y con el aumento de los ataques cibernéticos las preguntas de seguridad se han hecho cada vez más frecuentes. Este mecanismo es uno de los más efectivos a la hora de recuperar las contraseñas que se usan para los servicios en línea: cuentas bancarias, redes sociales, suscripciones online, entre otras. Sin embargo, al mismo tiempo, se han convertido en arma de doble filo, pues la filtración de estos datos representa un riesgo para cualquier usuario.
Los servicios en línea que han estandarizado preguntas básicas como el nombre de tu mascota o la ciudad en la que naciste representan un riesgo innecesario porque más de un sitio utiliza potencialmente las mismas preguntas de seguridad. Esto no es mejor que la reutilización de contraseñas. Como individuos, no tenemos el poder de cambiar las preguntas que hacen estos sitios web y servicios, pero sí tenemos el poder de responderlas de forma creativa para que sean más seguras. He aquí algunas recomendaciones básicas que deberían ayudar a lograr este objetivo:
● No utilice, cuando sea posible, las mismas preguntas de seguridad en varios sitios. Mantenga sus selecciones únicas cuando el sitio le permita elegir sus propias preguntas. Esto ayudará a contener las respuestas a sus preguntas de seguridad en caso de que se filtren.
Esto es especialmente importante para las figuras públicas cuando su historia puede formar parte de un registro público o de biografías publicadas en sitios web. Por ejemplo, todos sabemos de qué ciudad son los miembros de nuestra banda favorita o el año en que nació el presidente. ¿Verdad?
●Cuando responda a las preguntas de seguridad, no lo haga en español sencillo. Eso es lo que se espera, pero es un error. Considérelas como contraseñas que requieren complejidad y trátelas en consecuencia. Por ejemplo, digamos que nací en Bogotá, Colombia. La pregunta de seguridad “¿En qué ciudad nació?” requeriría la respuesta “Bogotá”. Ahora, añada algo de complejidad a la contraseña.
La nueva entrada podría ser, por tanto, “B0g0tá”. Esto es mucho más difícil de adivinar y proporciona una simple capa de ofuscación para proteger tus respuestas a la pregunta de seguridad. Y, si alguien te pregunta, puede decir honestamente que, por supuesto, el nombre de su mascota tiene números y símbolos. ¿Y el tuyo no?
● Si todo lo demás falla, mienta y proporcione información falsa a estas preguntas para mantenerlas únicas. La mejor manera de hacer esto por sitio es ampliar el uso de su propia contraseña personal o corporativa y conseguir rellenar estos campos con respuestas similares a las de una contraseña. A continuación, almacene cada pregunta y respuesta en su gestor de contraseñas.
Por ejemplo, para un banco, usted podría crear la entrada “bank.com/question_birthcity” como la cuenta y luego introducir una contraseña recomendada al azar como la respuesta de seguridad. Esto proporciona el almacenamiento seguro que necesita en caso de un problema con la contraseña, al tiempo que mantienes la misma pregunta de seguridad completamente aleatoria y única en todos los sitios y aplicaciones.
Las preguntas de seguridad se diseñaron originalmente y se añadieron a los sitios web y las aplicaciones para proporcionar un método seguro de validación de la identidad en caso de que se produjera un problema con la contraseña u otro fallo. Al igual que los problemas de reutilización de contraseñas, las mismas preguntas de seguridad en múltiples sitios han llevado a los actores de amenazas a cosechar los resultados de estas preguntas con el fin de hacerse pasar por un individuo y comprometer sus cuentas.
Normalmente, esto requiere que un hacker comprometa también una aplicación secundaria, como el correo electrónico o los mensajes de texto, para poder emparejar el restablecimiento de la contraseña con el conocimiento de estas preguntas de seguridad. Desgraciadamente, algunos sitios web y aplicaciones no van tan lejos y el conocimiento de la respuesta a la pregunta de seguridad es suficiente para comprometer la cuenta. Por ello, es conveniente que todas las personas sigan algunas o todas estas recomendaciones para que las preguntas de seguridad no se conviertan en un vector de ataque válido responsable de su identidad.
Kelly Quintero
Gerente de Territorio LATAM para BeyondTrust
Nuestras noticias también son publicadas a través de nuestra cuenta en Twitter @ITNEWSLAT y en la aplicación SQUID |