Preguntar el nombre de tu primera mascota es una forma estúpida de proteger tu contraseña

“¿Cuál fue el nombre de tu primera mascota?”, “¿Cuál es tu comida favorita?”, “¿Cuál es el nombre de tu madre?”... Todos hemos tenido que responder alguna vez a este tipo de preguntas al tratar de registrarnos en un servicio 'online', ya fuese para obtener una cuenta de correo o para reservar el nombre en una nueva y moderna red social.

Son preguntas de tipo personal, generalmente muy genéricas, que supuestamente nos permiten recuperar la contraseña si la perdemos y, al mismo tiempo, mantener la clave lejos de miradas indiscretas ¿Cómo iba a un atacante a descubrir el nombre de tu primer profesor?

Resulta que es mucho más fácil de lo que imaginas. Parte de la información podría ser de dominio público (¿y si tu madre es también tu amiga en Facebook?) y, por lo demás, el abanico de posibles respuestas queda a menudo enormemente reducido por condicionantes culturales. Por ejemplo, un asaltante sería capaz de averiguar el segundo nombre del padre de un usuario de habla hispana -con solo diez intentos- en el 21% de los casos ¿Cómo? Probando con los más comunes: hay mucho José María suelto...

Al menos estas son las conclusiones de un estudio publicado recientemente por Google, que ha analizado “cientos de millones de preguntas y respuestas secretas usadas por millones y millones de usuarios” para descubrir algo alarmante: estos interrogatorios banales son una forma estúpida de proteger tu contraseña.

“Nuestro análisis confirma que las preguntas secretas ofrecen generalmente un nivel de seguridad que es claramente inferior que el de las contraseñas escogidas por los usuarios”, afirman desde la compañía. “Sorprendentemente, hemos descubierto que una causa significativa es que, a menudo, los usuarios no contestan con honestidad”.

Mentimos, sí, pero no lo hacemos en aras de la privacidad, como cabría suponer. Levantamos falso testimonio porque pensamos que así será más complicado para un tercero con dudosas intenciones acceder a nuestra cuenta. “Una fracción significativa de los usuarios (37%) proporcionó respuestas falsas en un intento por hacerlas más difíciles de adivinar”, afirma Google, “aunque en términos agregados este comportamiento tiene el efecto opuesto porque los usuarios complican sus contraseñas de una forma predecible”.

Cuando se trata de ofrecer respuestas falsas, es peor el remedio que la enfermedad porque tiramos de tópicos muy frecuentes, pero tampoco sirve de mucho complicar las preguntas. “Las cuestiones potencialmente más seguras (por ejemplo, cuál fue tu primer número de teléfono) son también las más difíciles de recordar”, señala la compañía, y eso ya es decir mucho cuando “las respuestas secretas presentan una memorabilidad sorprendentemente pobre” en términos generales.

“Hemos observado que una fracción significativa de usuarios (por ejemplo, el 40% de los usuarios angloparlantes de EEUU) fueron incapaces de recordar sus respuestas cuando las necesitaron”, desvela Google, apuntando algo que ya sabíamos por las contraseñas y otros mecanismos de identificación: fiar la seguridad a nuestra memoria es una pésima idea.

La verificación en dos pasos, a través de un código que se envía a tu teléfono móvil, e incluso el correo electrónico de restauración, son guardianes de tu información confidencial mucho más robustos que las preguntas (ya no tan) secretas. “Siguen teniendo cierto uso en combinación con otras señales”, admite la todopoderosa multinacional del buscador, pero “no deberían utilizarse solas y la mejor práctica debería favorecer alternativas más fiables”.

¿Contestar dos o más preguntas como parte de un interrogatorio de seguridad podría ser una de ellas? Parece que tampoco: cuando los usuarios tienen que responder varias cuestiones, según Google, “la diferencia entre la seguridad y la utilidad de las preguntas secretas se hace cada vez más evidente”.

Aunque la probabilidad de que un atacante sea capaz de averiguar ambas contestaciones se reduce considerablemente (en torno al 1% con las más sencillas), lo hace en paralelo la capacidad del propietario de la cuenta para recordarlas (lo haría poco más de la mitad de las veces). “El uso de más preguntas secretas dificulta la recuperación para el usuario y, por ello, no es una buena solución”, sentencian los autores del estudio.

Así las cosas, el nombre de tu profesor de secundaria, tu comida favorita o ambos datos a la vez no son tan difíciles de adivinar como cabría suponer, descontando lo complejo que resulta memorizarlos (sobre todo si nos hemos inventado la respuesta). Es hora de que García y la pizza dejen de guardar la llave que abre nuestras puertas virtuales.