Las contraseñas son la principal barrera defensiva que tenemos para evitar que intrusos ingresen en nuestras cuentas; las utilizamos en redes sociales, para acceder a los dispositivos, foros en los que nos registramos, programas… Pero, ¿cómo protegen esas claves las páginas web para que estén seguras?, ¿todos los sitios son iguales o podemos tener problemas?
Índice
Qué opciones tiene una web para guardar las claves
Siempre que nos registramos en una plataforma de Internet, cualquiera sea, vamos a confiar en ella; por ejemplo si nos creamos una cuenta en Facebook o Twitter, estamos agregando una contraseña que va vinculada al usuario, lo mismo si nos registramos en un foro o cualquier otro servicio en Internet.
En caso de que ese sitio o esa plataforma tengan algún problema de seguridad, nuestras cuentas podrían estar en peligro, por ejemplo, si hay una vulnerabilidad y un hacker logra descifrar la contraseña para acceder al contenido es cuando esas contraseñas podrían filtrarse y terminar en malas manos.
Las páginas web, por tanto, van a tener que almacenar esas claves de alguna manera para que no estén disponibles para cualquiera. Pero claro, no todas lo hacen de la misma manera. Hemos visto muchas filtraciones que han provocado que las contraseñas terminen en la Dark Web y que incluso estén a la venta cuentas de redes sociales, Netflix o cualquier otro servicio.
> Texto plano
Esta es la peor opción de todas, lógicamente. Sin embargo todavía hay sitios web que almacenan la información y contraseñas en texto sin formato. ¿Qué significa esto? Básicamente quiere decir que si un intruso logra acceder a una base de datos, todo lo que contiene está disponible sin ningún tipo de cifrado.
En este caso ese sitio web que guarda las contraseñas no va a utilizar ningún algoritmo para protegerlas. Si un sitio web sufre una brecha de seguridad y hay un grupo de piratas informáticos que logra acceder a la base de datos donde están almacenadas las claves, estos podrían tener acceso a todas ellas sin problemas.
¿Hay algo que nos advierta de que un sitio guarda contraseñas en texto plano? Lo podemos ver si recibimos la clave por e-mail. Esto es algo que podemos ver cuando nos registramos en cualquier sitio y posteriormente recibimos un correo con los datos. Allí veríamos el nombre de usuario y la contraseña tal cual la hemos creado.
> Cifrado
Ahora bien, lo normal hoy en día es que al registrarnos en páginas web utilicen un cifrado para proteger las claves de acceso. Lo que hacen es codificar la información y hacen que sea totalmente ilegible. Esto va a ser posible ya que generan dos claves: una es la contraseña que usamos con los datos que hemos generado y otra es la clave del propio sitio.
Si ponemos el mismo ejemplo anterior en el que un sitio web tiene una vulnerabilidad y es atacado, en este caso las contraseñas estarían cifradas y no serían legibles para esos intrusos. Ahora bien, no es algo totalmente infalible.
Pero claro, para que ese cifrado sea efectivo es necesario una clave primaria. Es lo mismo que si creamos un archivo cifrado con contenido dentro o utilizamos un gestor de claves donde vamos a guardar nuestras contraseñas. En estos casos es necesario que haya una clave maestra o primaria para acceder al contenido.
Es justamente esa contraseña el objetivo de los piratas informáticos. Si acceden a ella, pueden entrar para ver todas las demás. Por tanto, nuestras contraseñas van a depender en gran medida de esa clave primaria.
> Función hash
Las funciones hash o hashing son también un método para mantener seguras las contraseñas en una página web. Es considerada como la forma más fiable y segura para ello. ¿En qué consiste? Lo que hace es convertir nuestras contraseñas. Cuando creamos una clave, automáticamente la convierte en otra diferente y compleja gracias a esa función hash.
Cuando iniciamos sesión, ese sitio web va a ejecutar la función hash para reconocer la clave. Sin embargo, en caso de que un atacante llegue a acceder a la base de datos donde están almacenadas las contraseñas, sería realmente complicado que pudiera revertir esa función. No sabría cuál es la clave.
Pero claro, tampoco estamos ante algo que sea 100% fiable. Esa función hash va a ser la misma siempre que ponemos una contraseña. Los piratas informáticos pueden idearselas para crear tablas hash y romper los valores para acceder a las claves. Es algo muy complicado, pero no estaríamos ante una seguridad total.