En el procedimiento de creación y alta de una cuenta de correo electrónico el proveedor de correo establece un mecanismo para que el usuario pueda recuperar su contraseña en caso de olvido. No obstante el citado mecanismo es más vulnerable que la contraseña en si misma.
Tras un análisis de los principales proveedores de cuentas de correo electrónico, observamos que en el proceso de registro de una cuenta de correo, lo más habitual es que tras cumplimentar los campos relativos a identificación del usuario y nombre de la cuenta, el proveedor pide como “pregunta de seguridad” para la recuperación de contraseñas, la elección de una de las preguntas que aparecen listadas (lugar de nacimiento de la madre, profesor favorito, mejor amigo de la infancia, nombre de la primera mascota, etc.) respecto de la cual deberá introducirse la respuesta correspondiente, sin opción a formular una pregunta distinta a la ofrecida por el proveedor.
Una vez concluido el proceso de registro y activada la cuenta, tan sólo mediante la introducción correcta respuesta a la pregunta seleccionada, podrá recuperarse la contraseña en caso de haberse olvidado la misma.
Al tratarse de preguntas poco sofisticadas y previamente listadas cualquier tercero que tenga una cierta proximidad y conocimiento de las circunstancias personales y/o familiares del titular de la cuenta le resultará sumamente fácil contestar a la pregunta preestablecida, pues sin duda conocerá o podrá conocer sin dificultad la solución a cuestiones tan obvias como, lugar de nacimiento de la madre, profesor favorito, mejor amigo de la infancia, nombre de la primera mascota, etc.
Cuando el titular de la cuenta es un personaje público, como sucedió con Sarah Pallin, ni siquiera será necesario ser de su entorno o círculo de amigos, pues las respuestas a las preguntas previamente listadas pudieron hallarse consultando en Wikipedia y en foros y artículos publicados en Internet.
Frente a la fragilidad del sistema habitual descrito pocos son los proveedores, permiten la posibilidad de redactar una pregunta propia, no dependiendo del listado ya existente lo cual, obviamente, dificulta el acceso no autorizado de terceros, puesto que además de conocer la respuesta, en este caso deberá también acertar la pregunta con la consecuente complicación dadas las infinitas posibilidades existentes.
Me parece injusto y peligroso cuanto menos hablar de "fragilidad del sistema habitual" teniendo en cuenta que el origen de la exposición al riesgo de robo de una contraseña por parte de personas malintencionadas es el olvido de dicha contraseña por parte del propio usuario.
Un dispositivo de encriptación del tipo QKD puede no servir para nada si al operador se le olvida la clave escrita en un post-it (no sería la primera vez que pasara). ¿Podemos decir por eso que el sistema es "frágil"?
Estando de acuerdo en fomentar la conciencia de los usuarios a la hora de elgir (y recordar) contraseñas más complejas, y sobre todo de exigir a los proveedores de servicios la tecnología adecuada para impedir ataques malintencionados, no me parece justo cargar contra un sistema que pone las salvaguardias requeridas por ley para proteger la información privada (nombre de usuario, password, datos personales)
Publicado por: Luis García-Villalba | 24/06/09 en 18:12