BBVA API Market
Cuando los desarrolladores trabajan para el diseño de proyectos o aplicaciones, en numerosas ocasiones se encuentran con la necesidad de introducir procesos de identificación de usuarios, procesos que dependen en la mayoría de ocasiones de un nombre de usuario y una contraseña. Es en esa contraseña en la que está basado el nivel de privacidad del usuario, que al final es, en último extremo, el cliente final de un producto o servicio digital.
Sin seguridad no hay productos o servicios en internet. Solo nos acordamos de ella cuando alguien la pone en riesgo, la quiebra y accede a datos privados que deberían estar protegidos. Siempre que sucede es un exceso. Correos electrónicos, servicios de pago online, aplicaciones móviles… Los usuarios tienden a utilizar contraseñas que son fáciles de recordar, pero donde el riesgo de que se vean comprometidas por un ataque es especialmente alto.
En muchas ocasiones ni siquiera es problema del usuario, sino de los niveles de seguridad que escapan a su comportamiento. Según un informe de seguridad de Akamai referente al tercer trimestre de 2015, se disparó el número de ataques DDoS más comunes a aplicaciones web: inyección SQL (SQLi), inclusión de fichero local (LFI), inclusión de fichero remoto (RFI), inyección PHP (PHPi), inyección de comando (CMDi), inyección OGNL Java y subida de ficheros maliciosos (MFU). Esos ataques se producen a veces en servidores que almacenan cientos de webs y contraseñas, y cuando son hackeados, la seguridad también lo es. A veces a empresas de internet tan prestigiosas como la red social Facebook o el servicio de chat Snapchat.
Al margen de los ataques DDoS, existen otros dos métodos de sustracción de contraseñas muy utilizados entre el crimen digital:
● Ataques de fuerza bruta, muy usados por los ‘piratas’ para infringir la seguridad de los sistemas o de los usuarios, probando de forma escalonada posibles combinaciones que den con la contraseña.
● Ataque de diccionario, un método de cracking por el que se averigua una contraseña concreta probando todas las palabras del diccionario. Estos métodos exigen cambios al escoger contraseñas.
Existen algunos consejos prácticos que mejoran la seguridad de las contraseñas habituales que usan los usuarios para acreditarse en sistemas de autenticación de credenciales. Algunos de ellos se repiten cientos de veces:
● Crear contraseñas de ocho o más caracteres: quebrar la seguridad de una contraseña puede ser una cuestión de combinaciones y tiempo. Cuantos menos caracteres tenga una contraseña, el número de combinaciones necesario para descubrirla es inferior que si tiene muchos caracteres. Hoy en día se estima que una contraseña por encima de ocho caracteres tiene unos niveles de seguridad altos.
● La contraseña perfecta combina letras y números: entre las contraseñas más inseguras del mundo siempre se encuentran aquellas que solo están formadas por números (‘1234’) o letras (‘password’). La combinación de ambos elementos sube el nivel de seguridad.
● Utilizar símbolos de teclado: si se introducen símbolos de teclado dentro de la contraseña, el nivel de seguridad ante posibles pirateos es más elevado. Ejemplos de símbolos que pueden usarse: $ % & € # () [] @.
● Aumentar el número de contraseñas usadas para correo, servicios de pago o redes sociales: si el usuario dispone de una única contraseña para todos los servicios que utiliza, el riesgo es muy alto porque si la pierde estará más expuesto que un usuario más conservador.
● No guardar contraseñas cuando se inicie sesión: dejar contraseñas guardadas en los equipos al entrar en una red social o en un correo provoca que terceros puedan acceder a ellos con solo conocer el nombre de usuario. Además, es muy recomendable abandonar con cierre de sesión los lugares donde se han hecho uso de credenciales.
Las frases contraseña son la opción más segura contra cualquier intento de quebrar la seguridad y, además, aportan algunas ventajas interesantes para los usuarios, ventajas que a veces les llevan a escoger contraseñas inseguras: por ejemplo la capacidad para recordarlas de forma sencilla. Este tipo de frases contraseña dejan a un lado el concepto de palabra clave y optan por construcciones con mayor número de caracteres, letras y también números.
Según las indicaciones de una empresa tecnológica como Microsoft, las frases contraseña deben tener algunas características básicas para ser seguras:
● Entre 20 y 30 caracteres.
● Formada por varias palabras.
● Nada de frases hechas o presentes en literatura o música.
● Sin palabras que se puedan encontrar en el diccionario.
● No contiene el nombre de usuario, empresa o nombre real.
● Buscar frases contraseña nuevas.
Lo primero es elegir un hecho o un pensamiento cercano, próximo, fácil de recordar. Y a partir de ahí enmascararlo con el uso de la recomendaciones de las que ya hemos hablado. Ejemplos válidos para una frase contraseña:
● Hecho: ‘Mi fecha de nacimiento es el 23 de enero de 1992’. Frase contraseña adecuada: M1f3ch@d3n@c1m13nt023/01/1992.
● Pensamiento: ‘Me encanta leer cómics españoles’. Frase contraseña segura: M33nc@nt@l33rc0m1cs3sp@ñ0l3s. Más corta que la anterior y relacionada con una afición personal que es muy sencilla de recordar.
Las dos están entre los 20 y 30 caracteres; combinan letras, números y símbolos de teclado; no son frases que se encuentren en literatura o música; no son nombres reales, de usuario o de empresa y son nuevas.
Síguenos en @BBVAAPIMarket
Se espera que durante los próximos años se regule el ‘open finance’, lo que dará lugar a un nuevo ecosistema de datos abiertos El open finance está abriéndose paso en el terreno legal mediante la consolidación de varias iniciativas que le darán blindaje jurídico. Una vez esto se haya completado, los clientes confiarán en un […]
Las APIs son el futuro de la automatización de servicios bancarizados. Albert Pla, Head of SME eSales en Global Markets de BBVA, explica esta tecnología. Las API son una de las herramientas más recientes y esperadas de Open Banking. Con ellas es posible automatizar procesos empresariales y realizar operaciones bancarias sin salir de los entornos […]
Los pagos en tiempo real se han convertido en una de las innovaciones más relevantes de la industria financiera. Su crecimiento en los últimos años está siendo muy importante gracias a las posibilidades que proporciona a las empresas, especialmente en las relaciones con sus clientes.
