Hace apenas unos días saltó la noticia de que los contenidos del
teléfono móvil de Paris Hilton habían sido publicados en Internet. En
un principio se barajó la posibilidad de que hubieran accedido a
la tarjeta SIM, o de que se tratara de una intrusión a los servidores
de T-Mobile aprovechando inyecciones SQL. Al final parece ser que el
método empleado fue mucho más sencillo, bastaba con contestar a la
pregunta "¿cuál es el nombre de su mascota favorita?".


El teléfono de Paris Hilton, un Sidekick II de T-Mobile, permite
mantener una copia de los contenidos en un servidor de Internet,
accesible a través de la web. Como ocurre en muchos servicios en
línea, T-Mobile utiliza el método de preguntas secretas para permitir
el acceso a aquellos usuarios que han olvidado sus contraseñas. De
forma que si eres capaz de contestar a la pregunta secreta, tienes
opción a introducir una nueva contraseña.

Paris Hilton eligió la pregunta "¿cuál es el nombre de su mascota
favorita?" por si algún día se olvidaba de su contraseña. Aunque
evidentemente es más fácil para un atacante acertar el nombre de una
mascota o el color favorito de una persona que una contraseña a priori
aleatoria, el caso de Paris Hilton roza lo esperpéntico. El nombre de
su perro chihuahua era bien conocido a raíz de que la famosa heredera
ofreciera en el pasado una recompensa de varios miles de dólares tras
extraviarlo.

El resultado de tanto despropósito es que a día de hoy cualquiera
puede descargar todo el contenido del móvil de Paris Hilton. Entre
otras cosas podemos encontrar los números de teléfono de Christina
Aguilera, Avril Lavigne, Eminem, o Anna Kournikova, entre los más de
400 contactos con e-mail o teléfonos que mantenía almacenados. También
se puede acceder a 35 fotos que había realizado con su móvil, entre
las que se puede ver desde a su perro hasta algunas más subiditas de
tono realizadas con una amiga.

Para terminar es posible darse un paseo por su agenda, donde por
descontado encontraremos anotaciones de todos locales que frecuenta,
e incluso podemos escuchar varias llamadas que mantiene almacenadas.
Para ello ya no es necesario conocer el nombre del chihuahua,
"Tinkerbell", ahora basta con hacer una simple búsqueda en eMule y
bajarse el archivo de moda.

Dejando a un lado las anécdotas de este caso particular, queda en
evidencia el gran riesgo que implica el método de preguntas secretas.
No tiene sentido alguno "proteger" una contraseña con algo más
débil, como es contestar a preguntas tipo como cual es nuestro color
favorito. Precisamente Bruce Schneier criticaba hace unos días esta
práctica, aunque fue más lejos y terminó por enterrar a las propias
contraseñas.

Lo cierto es que cualquiera de nosotros que en alguna ocasión nos
haya tocado administrar servicios con una gran cantidad de usuarios
hemos sufrido el problema de las contraseñas. Por un lado les
pedimos a los usuarios unos mínimos a la hora de elegirlas para que
no sean fáciles de adivinar, y por el otro pretendemos que no nos
llamen cada cinco minutos porque se les ha olvidado o han bloqueado
la cuenta al realizar más de cinco intentos fallidos.

Esa es otra, llegado el momento de la llamada al administrador del
servicio para reiniciar la contraseña, ahora a ver como se las
ingenia para estar seguro de que quién llama por teléfono, cuya voz
es la primera vez que escucha, es quién dice ser. Al final terminan
preguntando datos personales pero que también pueden ser más o menos
fáciles de conseguir. En definitiva, caldo de cultivo para los
ataques de ingeniería social.

Y tú, dejando a un lado los sistemas alternativos de autenticación,
¿cómo resuelves el problemas de las contraseñas en tus servicios?

Más información:

The Curse of the Secret Question
http://www.schneier.com/blog/archives/2005/02/the_curse_of_th.html

El lado humano de las contraseñas
http://www.hispasec.com/unaaldia/2245

Bernardo Quintero
[email protected]