El gestor de contraseñas que juega a los trileros con los atacantes

Digamos que, recurriendo a toda la fuerza de voluntad que eres capaz de reunir, has decidido hacer caso a las imprescindibles listas de consejos para proteger tus preciadas contraseñas. Supongamos que vas a utilizar una distinta –e igualmente compleja, con números, letras y símbolos- para cada servicio al que accedes de forma habitual. A ojo, pongamos que vas a necesitar al menos cinco: la del correo, la de Facebook, la de Amazon, la de Twitter y la de Spotify.

Seguro que te harán falta más, pero solo con memorizar media decena (que no sean una combinación del nombre de tu perro y tu talla de zapato) la cosa ya se pone peliaguda. Vas a necesitar un gestor de contraseñas, uno de esos programas que se encargan de almacenar todos tus 'passwords' en un lugar seguro y gestionarlos (siempre cifrados) a partir de una sola clave maestra.

Lastpass, Dashlane, KeePass o 1Password son algunos de los más famosos, y cualquiera de ellos puede ahorrarte muchos quebraderos de cabeza. Sin embargo, según un reciente estudio de las universidades de Wisconsin, Stanford y Cornell, tienen un mismo talón de Aquiles: suelen guardar todas las contraseñas en un mismo archivo cifrado, la llamada “bóveda” ('vault' en inglés), protegida únicamente por la llave maestra. Si un atacante rompe ese cerrojo, el botín es suyo.

El archivo de marras, según explican los investigadores, se aloja habitualmente en el propio ordenador del usuario o en su dispositivo móvil. Si logra hacerse con él, un ciberdelincuente puede tratar de 'reventar' la puerta mediante un ataque de fuerza bruta. Tras este nombre tan intimidatorio en realidad hay una práctica de lo más sencilla: probar cientos de miles de combinaciones de cifras, letras y símbolos, una tras otra, hasta dar con la clave maestra que descifra el fichero. Automáticamente, claro.

Este truco de malhechores, que prácticamente resulta inevitable, no es lo que realmente preocupa a los autores de la investigación. Lo que les alarma es lo fácil que los gestores de contraseñas se lo están poniendo a los atacantes para averiguar si cada una de las combinaciones que introduce su robot de ensayo y error es correcta o incorrecta. Cuando fallan, reciben un archivo basura en lugar de la bóveda. Solo tienen que esperar a que aparezca el bueno.

Demasiado fácil, sí, pero ¿cómo podrían complicárselo? Los autores del estudio no solo han encontrado la repuesta, sino que, además, se han decidido a ponerla en práctica. El gestor de contraseñas que han desarrollado se llama NoCrack, y su filosofía recuerda mucho al timo de los trileros. Ya sabes: “la bolita, la bolita... ¿dónde está la bolita?”

Pruebe la combinación que pruebe el 'software' como clave maestra, NoCrack siempre devuelve un archivo de contraseñas con pinta de auténtico. Así, la única forma que tiene el atacante de averiguar si se trata o no del verdadero conjunto de 'passwords' es probarlos en Facebook, Amazon y los distintos servicios a los que supuestamente pertenecen.

Según Rahul Chatterjee, uno de los responsables de la investigación, pillar el truco a este trilero  informático es tan difícil que al intruso ya no lo merece la pena intentarlo. Sería “lento y costoso”, asegura, sobre todo porque las webs, redes sociales y aplicaciones donde tendrían que probar las contraseñas sí disponen de mecanismos para evitar la fuerza bruta o el ensayo y error. Tras cierto número de intentos incorrectos, recurren a la verificación en dos pasos (si está activada) o incluso bloquean el acceso temporalmente.

No es la primera vez que alguien intenta detener a los ciberdelincuentes generando bóvedas con visos de autenticidad cuando introducen la clave equivocada. Investigadores de las universidades de Stanford y Lieja probaron un sistema similar con Kamouflage, cuyo punto débil (respecto a NoCrack) está en la forma de generar los 'passwords' falsos, a partir de la auténtica clave maestra.

También eran trileros, sí, pero su truco se veía fácilmente. La bolita se movía de forma predecible entre los vasos.