¿Cuál es el nombre de tu primera mascota?
¿Cuál es tu comida favorita?
¿Cuál es el apellido de soltera de tu madre?
¿Qué tienen en común estas preguntas aparentemente al azar? Todos son ejemplos comunes de “preguntas de seguridad”. Es probable que hayan tenido que responder a una de estas antes; muchos servicios en línea las utilizan para ayudar a los usuarios a recuperar el acceso a sus cuentas cuando olvidan sus contraseñas o como una capa adicional de seguridad para protegerlos contra accesos sospechosos.
Pese al uso generalizado de las preguntas de seguridad, su eficacia y seguridad rara vez han sido estudiadas en profundidad. Así que, como parte de nuestros esfuerzos constantes para mejorar la seguridad de las cuentas, analizamos cientos de millones de preguntas y respuestas secretas que fueron utilizadas por millones de solicitudes de recuperación de cuenta en Google. Luego medimos la probabilidad de que los hackers pudieran adivinar las respuestas.
Nuestros resultados, resumidos en un investigación que recientemente presentamos en WWW 2015, nos llevaron a la conclusión de que las preguntas secretas no son ni seguras, ni lo suficientemente confiables para usarlas como mecanismo de recuperación de cuenta independiente. Esto debido a que tienen un defecto fundamental: sus respuestas o son seguras o fáciles de recordar, pero rara vez ambas.
Las respuestas fáciles no son seguras
Como era de esperar, las respuestas fáciles de recordar son menos seguras. Las respuestas fáciles a menudo contienen información común o de dominio público, o se encuentran en un pequeño conjunto de posibles respuestas debido a razones culturales (por ejemplo, un apellido común en ciertos países).
Aquí hay algunos hallazgos específicos:
-
Con un solo intento para adivinar, un atacante tendría una probabilidad del 19.7% de adivinar la respuesta – para usuarios que hablen inglés – a la pregunta: “¿Cuál es tu comida favorita? ” (fue “pizza “, por cierto)
-
Con diez intentos para adivinar, un atacante tendría una probabilidad de casi el 24% de adivinar la respuesta – para usuarios que hablen árabe – a la pregunta: “¿Cuál es el nombre de tu primer maestro?”
-
Con diez intentos para adivinar, un atacante tendría una probabilidad del 21% de adivinar la respuesta – para usuarios que hablen español – a la pregunta: ¿Cuál es el segundo nombre de tu padre?”
-
Con diez intentos para adivinar, un atacante tendría una probabilidad del 39% de adivinar la respuesta – para usuarios que hablen coreano – a la pregunta: “¿Cuál es tu ciudad natal?” y un probabilidad del 43% de adivinar su comida favorita.
Muchos usuarios diferentes también usaron respuestas idénticas a preguntas secretas que normalmente esperamos que sean altamente seguras, tales como: “¿Cuál es tu número de teléfono?” o “¿Cuál es tu número de viajero frecuente? Indagamos esto a profundidad y encontramos que el 37% de las personas proporcionan – de manera intencional – respuestas falsas a las preguntas de seguridad, pensando que así son más difíciles de adivinar. Sin embargo, esto resulta contraproducente ya que la gente elige las mismas respuestas (falsas), aumentando la probabilidad de que un atacante pueda adivinarlas.
Las respuestas difíciles no son prácticas
Sorpresa, sorpresa: no es fácil recordar dónde estudió la escuela primaria su madre o cuál es el número de su tarjeta de la biblioteca. Como resultado, las preguntas y respuestas secretas difíciles como éstas a menudo son difíciles de usar. Estas son algunas de las conclusiones específicas que encontramos:
-
El 40% de nuestros usuarios de EE.UU. que hablan inglés no pudieron recordar las respuestas a sus preguntas secretas cuando lo necesitaron. Sin embargo, estos mismos usuarios pudieron recordar los códigos de restablecimiento que les fueron enviados mediante mensajes de texto SMS más del 80% de las veces y por correo electrónico casi el 75% del tiempo.
-
Algunas de las preguntas potencialmente más seguras – “¿Cuál es el número de su tarjeta de la biblioteca?” y “¿Cuál es su número de viajero frecuente?” – sólo pudieron recordarlas el 22% y 9% de las veces, respectivamente.
-
Para los usuarios de EE.UU. que hablan inglés, la pregunta más sencilla: “¿Cuál es el segundo nombre de tu padre?” tuvo una tasa de éxito del 76% al momento de recordarla, mientras que la pregunta potencialmente más segura “¿Cuál fue tu primer número de teléfono?” sólo tuvo una tasa de éxito del 55%.
¿Por qué no agregar más preguntas secretas?
Por supuesto que es más difícil adivinar la respuesta correcta a dos (o más) preguntas en lugar de sólo una. Sin embargo, agregar preguntas también tiene un precio: la posibilidad de que la gente recupere sus cuentas se reduce significativamente. Hicimos un análisis posterior para ilustrar esta idea (Google en realidad nunca hace varias preguntas de seguridad).
De acuerdo con nuestros datos, la pregunta y respuesta “más fácil” es “¿En qué ciudad naciste?” – los usuarios recordaron esta respuesta más del 79% del tiempo. El segundo ejemplo más sencillo es “¿Cuál es el segundo nombre de tu padre?”, que fue recordada por los usuarios el 74% del tiempo. Si un atacante tuviera diez oportunidades de adivinar, tendría una probabilidad del 6.9% y 14.6% de adivinar las respuestas correctas a estas preguntas, respectivamente.
Sin embargo, cuando los usuarios tienen que responder a los dos juntas, el margen entre la seguridad y la facilidad de uso de las preguntas secretas se vuelve cada vez más escueto. La probabilidad de que un atacante pueda adivinar ambas respuestas en diez intentos es del 1%, pero los usuarios recordarán ambas respuestas sólo el 59% del tiempo. Adicionar más preguntas secretas hace que sea más difícil para los usuarios recuperar sus cuentas, por lo que no es una buena solución.
La siguiente pregunta es: ¿Qué hacer?
Las preguntas secretas han sido un elemento básico de la recuperación de cuenta y la autenticación en línea. Pero, teniendo en cuenta estos resultados, es importante para los usuarios y propietarios de sitios web pensar dos veces sobre esto.
Alentamos a los usuarios de Google a asegurarse de que su información de recuperación de cuenta es actual. Pueden hacer esto de manera rápida y sencilla en nuestro sitio de chequeo de seguridad. Ahora sólo usamos las preguntas de seguridad para la recuperación de cuenta como último recurso cuando los SMS o las direcciones de correo electrónico de recuperación no funcionan y nunca las usamos como prueba única para demostrar la propiedad de la cuenta.
De forma paralela, los propietarios de un sitio web deben utilizar otros métodos de autenticación, tales como códigos de seguridad vía SMS o direcciones de correo electrónico secundarias para autenticar a sus usuarios y ayudarles a recuperar el acceso a sus cuentas. Estos son más seguros y ofrecen una mejor experiencia al usuario.