Nuevo estudio: algunas cuestiones difíciles sobre las ‘Preguntas de Seguridad’

¿Cuál fue el nombre de tu primera mascota? 
¿Cuál es tu comida favorita? 
¿Cuál es el nombre de tu madre? 

¿Qué tienen en común estas preguntas aparentemente aleatorias? Todas ellas son ejemplos conocidos de ‘preguntas de seguridad’. Es posible que hayas tenido que contestar alguna de ellas, ya que numerosos servicios en Internet las utilizan para ayudar a los usuarios a recuperar el acceso a las cuentas cuando olvidan sus contraseñas o como una capa de seguridad adicional para proteger contra accesos sospechosos.

Pero, a pesar de su predominio, apenas se ha estudiado en profundidad la seguridad y la efectividad de estas preguntas. Dentro de nuestros esfuerzos constantes para mejorar la seguridad de las cuentas, hemos analizado cientos de millones de preguntas y respuestas secretas usadas por millones y millones de usuarios para la recuperación de cuentas en Google para, a continuación, estudiar la posibilidad que existe de que los hackers adivinen dichas respuestas.

Nuestras conclusiones, resumidas en un artículo que hemos presentado recientemente en WWW 2015, nos han indicado que las preguntas secretas no son lo suficientemente seguras o fiables como para usarlas como mecanismos únicos para la recuperación de cuentas, porque este método tiene un fallo básico: es posible que las respuestas sean seguras y fáciles de recordar, pero muy raramente se cumplen ambas condiciones.

Las preguntas fáciles no son seguras

No resulta sorprendente observar que las preguntas fáciles de responder son menos seguras. A menudo, las respuestas fáciles contienen información conocida o de dominio público o se encuentran en un conjunto reducido de posibles contestaciones por motivos culturales (por ejemplo, un apellido habitual en ciertos países).

Estas son algunas conclusiones específicas:

  • Con un único intento, un hacker podría tener un 19,7% de probabilidades de averiguar la respuesta de un usuario de habla inglesa a la pregunta «¿Cuál es tu comida favorita» (por cierto, la respuesta es ‘pizza’) 
  • Con diez intentos, un hacker podría tener casi un 24% de probabilidades de averiguar la respuesta de un usuario de habla árabe a la pregunta «¿Cuál es el nombre de tu primer profesor?» 
  • Con diez intentos, un hacker podría tener casi un 21% de probabilidades de averiguar la respuesta de un usuario de habla hispana a la pregunta, ‘¿Cuál el segundo nombre de tu padre?’ 
  • Con diez intentos, un hacker podría tener un 39% de probabilidades de averiguar la respuesta de un usuario de habla coreana a la pregunta: «¿cuál es tu ciudad de nacimiento?» y un 43% de posibilidades de averiguar su comida favorita. 

Muchos usuarios distintos proporcionan también respuestas idénticas a las preguntas secretas que esperamos que sean muy seguras como, por ejemplo: ‘¿Cuál es tu número de teléfono?’ o ‘¿Cuál es tu número de viajero frecuente de una línea aérea? Hemos estudiado este asunto con más profundidad y hemos observado que el 37% de las personas ofrece de forma intencionada una respuesta falsa a las preguntas realizadas, porque pensamos que, de esta forma, podemos hacer más difícil que otras personas las averigüen. Sin embargo, esto puede ser contraproducente, porque los individuos suelen elegir las mimas respuestas (falsas), incrementando así la posibilidad de que un atacante acceda a la cuenta.

Las preguntas difíciles no son útiles 

¡Sorpresa, sorpresa! No suele ser fácil recordar el lugar donde tu madre hizo la educación primaria o el número de tu tarjeta de la biblioteca. Las preguntas secretas y las respuestas difíciles son, a menudo, difíciles de usar. A continuación mostramos algunas conclusiones sobre esto:

  • El 40% de nuestros usuarios de EE.UU. de habla inglesa no pudo recordar las respuestas a sus preguntas secretas cuando las necesitaron. Estos mismos usuarios pudieron recordar los códigos de reinicio enviados a través de mensajes SMS más del 80% de las veces y los enviados por email cerca del 75% de las veces. 
  • Algunas de las preguntas potencialmente más seguras—»¿Cuál es el número de tu tarjeta de la biblioteca?» y » ¿Cuál es tu número de viajero frecuente de una línea aérea?»—solo pudieron recordarse un 22% y un 9% de las veces, respectivamente. 
  • La respuesta de los usuarios de EE.UU. de habla inglesa a la pregunta más fácil, «¿Cuál es el segundo nombre de tu padre?» tuvo un 76% de éxito, mientras que la otra pregunta potencialmente más segura: «¿Cuál fue tu primer número de teléfono?» solo pudo responderse correctamente un 55% de las veces. 


¿Por qué no incorporamos más preguntas secretas? 

Está claro que es más difícil averiguar la respuesta correcta a dos (o más) preguntas, en vez de a una sola. Sin embargo, la incorporación de más preguntas tiene también su precio, ya que reduce considerablemente la posibilidad de que los usuarios recuperen sus cuentas. Hemos realizado un estudio para ilustrar esta idea (Google nunca realiza múltiples preguntas de seguridad).

Según nuestros datos, la pregunta y la respuesta más fácil es ‘¿En qué ciudad naciste?’—Los usuarios recuerdan esta respuesta más del 79% de las veces. El segundo ejemplo más sencillo es ‘¿Cuál es el segundo nombre de tu padre?’, recordado por los usuarios el 74% de las veces. Si un atacante tuviera diez intentos, tendría un 6,9% y un 14,6% de posibilidad de averiguar las repuestas correctas a estas preguntas (respectivamente).

Pero cuando los usuarios tienen que responder ambas preguntas, la diferencia entre la seguridad y la utilidad de las preguntas secretas se hace cada vez más evidente. La probabilidad de que un atacante pueda averiguar ambas respuestas en diez intentos es del 1%, pero los usuarios recordarían ambas respuestas solo el 59% de las veces. El uso de más preguntas secretas dificulta la recuperación de sus cuentas para el usuario y, por ello, no es una buena solución.

La siguiente pregunta: ¿Qué podemos hacer? 

Las preguntas secretas han sido, desde hace tiempo, un mecanismo básico para la autenticación y la recuperación de cuentas en Internet. Pero, en vista de las conclusiones extraídas en el estudio, resulta importante que los usuarios y los propietarios de sitios web se lo piensen dos veces antes de utilizar dicho método.

Nosotros animamos firmemente a los usuarios de Google para que se aseguren de que la información para la recuperación de cuentas de Google esté actualizada. Pueden hacerlo de forma rápida y sencilla en nuestro sitio para Comprobación de la Seguridad. Durante años, solo hemos utilizado preguntas de seguridad para la recuperación de cuentas como último recurso, cuando los mensajes de SMS o las direcciones de respaldo de correo electrónico no funcionan, y nunca las utilizaremos como una prueba única para demostrar la propiedad de una cuenta.

De forma paralela, los propietarios de los sitios deberían usar otros métodos de autenticación, como los códigos de acceso enviados mediante SMS o las direcciones de correo electrónico adicionales, para autenticar a sus usuarios y para ayudarles a volver a tener acceso a sus cuentas. Estos dos métodos son más seguros y ofrecen una mejor experiencia al usuario.

Publicado por Elie Bursztein, Anti-Abuse Research Lead e Ilan Caron, Software Engineer
Source: Google Oficial