:format(avif))
¿Qué tienen en común el apellido de tu madre, tu primera mascota y el año en que conociste a tu pareja?
La última vez que tuviste que recordar uno de estos datos personales, probablemente fue en el contexto de una pregunta de seguridad.
Índice:
Normalmente, se hace una pregunta de seguridad como medida secundaria para verificar tu identidad cuando intentas acceder a una cuenta privada. Su propósito es añadir una capa de seguridad adicional, presuponiendo que un usuario no autorizado no responderá correctamente y se le denegará el acceso.
Es posible que te hagan una pregunta de seguridad por teléfono o después de iniciar sesión en una cuenta online. Las preguntas de seguridad son sencillas de configurar y cómodas de responder, y probablemente por eso las empresas las siguen utilizando a pesar de que los expertos en ciberseguridad coinciden en que no son seguras.
Ya sea creando preguntas de seguridad o respondiendo a ellas, puedes mitigar sus riesgos si conoces bien sus vulnerabilidades más comunes y las prácticas recomendadas.
¿Qué son las preguntas de seguridad?
Las preguntas de seguridad son una forma de autenticación. Para verificar tu identidad, una persona te llamará por teléfono o se te mostrará un mensaje en la pantalla. La utilidad de las preguntas de seguridad se basa en la suposición de que tú eres la única persona capaz de responder correctamente a la pregunta.
Preguntas de seguridad definidas por el usuario
Las preguntas definidas por el usuario son como un cuestionario. Tú, como usuario, participas en su configuración para tu cuenta. Puedes elegir las preguntas que quieres responder, normalmente de una lista, y escribir tú mismo las respuestas.
Estas preguntas de seguridad pueden ser abiertas y se suelen centrar en información personal sobre tu familia o tu pasado.
Preguntas de seguridad definidas por el sistema
Las preguntas de seguridad definidas por el sistema se parecen más a un examen sorpresa. El autor elige la pregunta y ya conoce la respuesta correcta.
Es posible que tu banco utilice preguntas definidas por el sistema cuando llames para hablar con un representante sobre tu cuenta. Dado que tu banco dispone de gran cantidad de tu información personal y financiera, es fácil usar preguntas definidas por el sistema.
Por ejemplo, «¿cuál ha sido tu última compra?» o «¿quién más está autorizado a retirar dinero de tu cuenta?» son excelentes preguntas de seguridad. Son fáciles de responder para ti y muy difíciles de adivinar para los demás.
Este artículo se centra en las preguntas de seguridad definidas por el usuario más comunes, sus vulnerabilidades y cómo mejorar su seguridad.
Por qué las preguntas de seguridad no son seguras
Si alguna vez has oído hablar del «problema de las contraseñas», las vulnerabilidades de seguridad de las preguntas de seguridad te resultarán familiares. En resumen, el problema es una combinación de escasa higiene cibernética y alta susceptibilidad al hackeo.
Los usuarios tienden a elegir contraseñas que son fáciles de recordar, que también acaban siendo muy fáciles de hackear. Además, es probable que las respuestas sobre seguridad se seleccionen con prisas y dando prioridad a la facilidad de recordarlas.
En resumen, al igual que las contraseñas, las preguntas de seguridad hacen recaer demasiada responsabilidad en los usuarios a la hora de proteger su privacidad. En muchos sentidos, las preguntas de seguridad son incluso más vulnerables que las contraseñas. Ahora te explicamos por qué.
Las empresas eligen las mismas preguntas de seguridad
Dado que las mismas preguntas personales tienen las mismas respuestas, la repetición de preguntas en distintos sitios web significa que si tu respuesta se ve comprometida, por ejemplo, en una filtración de datos, puede desbloquear el acceso a más de un sitio web o cuenta a la vez.
Las respuestas a las preguntas de seguridad son demasiado fáciles de hackear
Como ya sospecharás, la premisa de que solo tú puedes responder correctamente a la pregunta de seguridad es errónea. Para un intruso o ciberdelincuente motivado, encontrar la respuesta que desbloquee tu cuenta puede ser pan comido.
Las respuestas a las preguntas de seguridad pueden ser descubiertas por:
Técnicas de hackeo convencional. Como cualquier dato personal, los intrusos pueden utilizar ingeniería social, como el phishing para vulnerar tus datos o tus propias respuestas de seguridad.
La adivinación. Jugar con las probabilidades o utilizar pistas contextuales puede hacer que las respuestas sean fáciles de adivinar, especialmente cuando se extraen de un conjunto limitado de respuestas posibles.
La investigación. Si tus respuestas se basan en información pública, los ciberdelincuentes pueden descubrirlas con un poco de acecho.
La familia. Es posible que tus seres queridos, tus enemigos o tus ex ya conozcan tus respuestas porque saben la historia de tu vida.
Una pregunta de seguridad es como una solicitud de contraseña con muchas pistas incorporadas, lo que da demasiada información a un posible hacker. Es probable que la pregunta revele el formato (alfabético o numérico) e incluso que señale una gama reducida de respuestas.
Algunas preguntas de seguridad son mejores que otras
Como ya se ha mencionado, las preguntas de seguridad no cumplen un nivel de seguridad adecuado. No obstante, algunas preguntas son mejores que otras, y utilizar preguntas mejores puede mitigar los riesgos de este método de autenticación.
Lo que hace que las preguntas de seguridad sean más o menos seguras se mide por las respuestas que suscitan en los usuarios. Las respuestas más seguras siguen más o menos las mismas pautas que las contraseñas sólidas. Deben ser únicas y difíciles de adivinar.
Ejemplos de preguntas de seguridad deficientes
Una pregunta de seguridad deficiente es demasiado difícil de responder correctamente para el usuario o demasiado fácil de adivinar para un delincuente.
| Pregunta de seguridad deficiente | ¿Qué hace que sea deficiente? |
|---|---|
| ¿Cuál es el apellido de tu madre? | Demasiado común. Al igual que ocurre con las contraseñas, es una mala idea utilizar las mismas preguntas y respuestas en todos los sitios. Si tu pregunta y respuesta se filtran, pueden ser utilizadas para desbloquear varias cuentas. |
| ¿Cuándo es tu cumpleaños? | No es privado. Los delincuentes pueden encontrar esta información indagando un poco en las redes sociales o en sitios de registros. |
| ¿Cuándo es tu aniversario de boda? | No es aplicable. Las preguntas deben ser lo más generales posible para que todo el mundo pueda utilizarlas por motivos de seguridad. |
| ¿Cuál es tu sabor de helado favorito? | No es coherente. Las preguntas sobre gustos pueden cambiar con el tiempo, por lo que los usuarios pueden tener dificultades para recordar sus respuestas. |
| ¿Cuál es tu color favorito? | Demasiado predecible. Sin duda, la lista de nombres de colores es ilimitada. Sin embargo, los usuarios suelen elegir más «azul» o uno de los siete colores del arco iris en vez de «índigo». |
Ejemplos de mejores preguntas de seguridad
Una buena pregunta tiene todas las características que le faltan a una pregunta de seguridad deficiente. Una buena pregunta de seguridad es fácil de responder para ti, pero difícil para un ciberdelincuente.
| Mejor pregunta de seguridad | ¿Qué la hace mejor? |
|---|---|
| ¿Cómo se llama tu jefe favorito? | Únicas. Una buena pregunta debe ser original, no la típica pregunta de seguridad. |
| ¿Cuál es tu villano de película favorito? | Deben ser privadas o difíciles de descubrir por otros medios. Es poco probable que un usuario documente o publique esta información. |
| ¿Cuál es el apellido de tu abuela materna? | Aplicables. La aplicabilidad universal es un reto y la mejor forma de evitarla es mediante opciones de preguntas múltiples. Sin embargo, las preguntas deben ser aplicables al mayor número posible de personas. |
| ¿En qué calle vivías en tu primer año de instituto? | Permanentes. Las preguntas sobre el historial de los usuarios son estáticas. |
| ¿Cómo se llamaba tu peluche favorito de la infancia? | Impredecibles. Las preguntas deben tener tantas respuestas diferentes como sea posible. |
Una buena pregunta de seguridad es un acto de equilibrio. Las preguntas que fomentan respuestas más seguras, más únicas y más variables pueden correr el riesgo de ser difíciles de recordar para los usuarios. Lo ideal es que, además de las orientaciones anteriores, las preguntas susciten respuestas memorables y directas.
Prácticas recomendadas para tener unas preguntas de seguridad más seguras
Puedes sacar el máximo partido de las preguntas de seguridad aplicando estas prácticas recomendadas.
Para crear preguntas (para las empresas)
Las preguntas de seguridad no son una mala idea en el contexto de una protección secundaria. A largo plazo, las empresas deberían empezar la transición a un segundo factor de autenticación más seguro, pero mientras tanto, las preguntas de seguridad son mejor que nada.
Consejo estrella: Ayuda a los usuarios a practicar una buena higiene de las preguntas de seguridad
Tu protocolo de preguntas de seguridad debe facilitar al máximo que los usuarios practiquen un comportamiento seguro. Utiliza las siguientes medidas para preparar a tus usuarios para el éxito.
Utiliza varias preguntas y deja que los usuarios elijan las suyas.
Crea «mejores» preguntas que reflejen las características señaladas anteriormente.
Restringe a los usuarios la elección de respuestas falsas comunes como «123456».
Pide a los usuarios que renueven sus preguntas y respuestas con frecuencia.
Por último, como parte de un programa de ciberseguridad más holístico, las empresas deben mantener a salvo los datos confidenciales de los usuarios con un almacenamiento cifrado de extremo a extremo para reducir el riesgo de filtración de datos personales.
Para responder a las preguntas de seguridad (para los usuarios)
Sabiendo lo que sabes ahora, puedes elegir un segundo factor de autenticación alternativo cuando tengas la opción. Sin embargo, cuando no lo hagas, puedes practicar una mejor higiene de las preguntas de seguridad eligiendo preguntas más seguras que den lugar a respuestas más difíciles de adivinar.
Consejo estrella: Utiliza preguntas de seguridad
Dado que las respuestas de seguridad tienen vulnerabilidades similares a las contraseñas, se pueden proteger de forma similar.
Trata tus respuestas de seguridad como contraseñas. Que sean únicas y consistan en una serie aleatoria de caracteres alfanuméricos y símbolos de al menos veinte caracteres de longitud. Si el formato de respuesta es restringido, proporciona una respuesta «incorrecta».
Aunque es un paso de seguridad importante, este método conlleva un peligro de usabilidad: cuidado con el riesgo de que olvides la respuesta falsa o la «contraseña».
Para evitarlo, puedes guardar la respuesta de tu pregunta en tu gestor de contraseña.
Alternativas más seguras a las preguntas de seguridad
Los expertos en tecnología siguen desarrollando formas nuevas y más fiables de verificar la identidad de las personas, diseñadas para agilizar la autenticación y frustrar los ciberataques. En función de cómo se clasifiquen los numerosos tipos de autenticación, se puede llegar hasta ocho tipos o «factores» diferentes.
Por ahora, limitémonos a lo básico. La forma más elemental de clasificar los factores de autenticación es la siguiente:
algo que sabes
algo que eres
algo que tienes
Las contraseñas y las preguntas de seguridad entran en la categoría de «algo que sabes». Estas son algunas de las alternativas más populares a este tipo de autenticación.
Autenticación biométrica
La autenticación biométrica utiliza tus características físicas únicas para identificarte; es «algo que eres». Las huellas dactilares y el reconocimiento facial son los identificadores biométricos más comunes.
La ventaja de utilizar la autenticación biométrica es que es única para ti, difícil de robar y siempre la llevas contigo. Sin embargo, debes tener en cuenta los riesgos asociados a vincular tus características físicas inmutables con el acceso a tus cuentas.
La autenticación sin contraseña
La autenticación sin contraseña ha sido objeto de mucho debate recientemente, gracias a los esfuerzos de la Alianza FIDO (Fast Identity Online), una coalición mundial de la que forma parte NordPass. Esta organización trabaja para reducir la dependencia mundial de las contraseñas.
La autenticación sin contraseña es una amplia categoría de autenticación definida por lo que no es. Teniendo en cuenta las vulnerabilidades de los tipos de autenticación «algo que sabes», como las contraseñas y las preguntas de seguridad, la autenticación sin contraseña se basa en una combinación de otros factores, y se centra en la facilidad de uso.
Un método estándar de autenticación sin contraseña incluye «algo que tienes», como un token físico. La Yubikey es un ejemplo de esto.
Autenticación multifactor
Teniendo en cuenta que ningún tipo de autenticación es a prueba de balas, la autenticación multifactor utiliza múltiples factores para verificar tu identidad. Utilizar varios factores a la vez es como tener un enfoque de queso suizo en cuanto a la ciberseguridad. Aunque cada método de autenticación puede ser imperfecto, se vuelven mucho más sólidos cuando se utilizan juntos.
La autenticación multifactor es una práctica recomendada de ciberseguridad y sigue encabezando la lista de recomendaciones de ciberseguridad para la orientación general y el cumplimiento normativo.
En particular, la fortaleza de este método reside en su diversidad. Cuando se apilan varios métodos de autenticación, pero no se varían, como contraseñas y preguntas de seguridad, se habla de autenticación de dos factores.
Para crear una autenticación multifactor, añade «algo que tienes» o «algo que eres» a la autenticación por contraseña o pregunta de seguridad.
En resumen
Las preguntas de seguridad son susceptibles de fraude, lo que las convierte en un factor de autenticación imperfecto. Sin embargo, como son fáciles de aplicar y las empresas se enfrentan a una presión cada vez mayor para aumentar la ciberseguridad, lo más probable es que las preguntas de seguridad no vayan a desaparecer pronto. Y, para ser claros, añadirlas como segundo factor es mejor que nada.
Para los usuarios, se pueden superar las vulnerabilidades más comunes a las preguntas de seguridad tratándolas básicamente como contraseñas y almacenando las respuestas (falsas) en el gestor de contraseñas.
Del mismo modo, las empresas que todavía necesitan avanzar hacia métodos de autenticación más seguros pueden fomentar el comportamiento seguro de sus usuarios siguiendo las prácticas recomendadas y realizando la diligencia debida en materia de seguridad de datos.