Las preguntas secretas han sido, desde hace tiempo, un mecanismo básico para la autenticación y la recuperación de cuentas en Internet. Sin embargo, Google pone en duda su utilidad y seguridad. El gigante de Internet ha elaborado una encuesta que demuestra que pueden ser útiles, pero no seguras y al contrario.
Según explica la compañía de Mountain View, las preguntas de seguridad, habitualmente utilizadas para recuperar cuentas, tienen un "fallo básico": es posible que las respuestas sean seguras y fáciles de recordar, pero muy raramente se cumplen ambas condiciones.
PREGUNTAS: UTILIDAD VS SEGURIDAD
En cuanto a las preguntas fáciles, Google ha determinado con su encuesta que rara vez son seguras, porque son al mismo tiempo fáciles de recordar y de averiguar. Con un único intento, un hacker podría tener un 19,7% de probabilidades de averiguar la respuesta de un usuario de habla inglesa a la pregunta "¿Cuál es tu comida favorita" (siendo la respuesta 'pizza').
Con diez intentos, un hacker podría tener casi un 24% de probabilidades de averiguar la respuesta de un usuario de habla árabe a la pregunta "¿Cuál es el nombre de tu primer profesor?". Y con el mismo número de intentos podría tener casi un 21% de probabilidades de averiguar la respuesta de un usuario de habla hispana a la pregunta, '¿Cuál el segundo nombre de tu padre?'.
De nuevo, con diez intentos, un hacker podría tener un 39% de probabilidades de averiguar la respuesta de un usuario de habla coreana a la pregunta: "¿cuál es tu ciudad de nacimiento?" y un 43% de posibilidades de averiguar su comida favorita. Es decir, que determinadas preguntas, por muy personales que sean, son muy sencillas de encontrar, aunque ni siquiera se conozca al usuario a quien se intenta hackear.
Si hablamos de preguntas difíciles, se pone en duda su utilidad. Por ejemplo, el 40% de los usuarios de EE.UU. de habla inglesa entrevistados por Google no pudo recordar las respuestas a sus preguntas secretas cuando las necesitaron. Estos mismos usuarios pudieron recordar los códigos de reinicio enviados a través de mensajes SMS más del 80% de las veces y los enviados por email cerca del 75% de las veces.
Algunas de las preguntas potencialmente más seguras son "¿Cuál es el número de tu tarjeta de la biblioteca?" o "¿Cuál es tu número de viajero frecuente de una línea aérea?". En estos casos, solo un 22% y un 9% de las veces, respectivamente.
La respuesta de los usuarios de EE.UU. de habla inglesa a la pregunta más fácil, "¿Cuál es el segundo nombre de tu padre?" tuvo un 76% de éxito, mientras que la otra pregunta potencialmente más segura: "¿Cuál fue tu primer número de teléfono?" solo pudo responderse correctamente un 55% de las veces.
De esta forma, el hecho de que sea complicado para un usuario que ha olvidado su contraseña recordar la respuesta a una pregunta secreta, dificulta también la recuperación de la misma. De esta forma, si se combinan ambos tipos de preguntas, una útil y una difícil, se reducen las posibilidades de que un atacante tenga éxito, pero del mismo modo dificulta que el usuario legítimo acceda a su cuenta bloqueada.
En este sentido, Google apunta que la probabilidad de que un atacante pueda averiguar ambas respuestas en diez intentos es del 1%, pero los usuarios recordarían ambas respuestas solo el 59% de las veces. "El uso de más preguntas secretas dificulta la recuperación de sus cuentas para el usuario y, por ello, no es una buena solución", señala la compañía del buscar.
¿CUÁL ES LA MEJOR OPCIÓN?
Según las conclusiones del estudio de Google, "resulta importante que los usuarios y los propietarios de sitios web se lo piensen dos veces antes de utilizar dicho método", recomienda la compañía. "Nosotros animamos firmemente a los usuarios de Google para que se aseguren de que la información para la recuperación de cuentas de Google esté actualizada". En el caso de Google, ofrece cuenta con un sitio para Comprobación de la Seguridad.
"Durante años, solo hemos utilizado preguntas de seguridad para la recuperación de cuentas como último recurso, cuando los mensajes de SMS o las direcciones de respaldo de correo electrónico no funcionan, y nunca las utilizaremos como una prueba única para demostrar la propiedad de una cuenta", apunta el gigante de Internet.
De forma paralela, los propietarios de los sitios "deberían usar otros métodos de autenticación, como los códigos de acceso enviados mediante SMS o las direcciones de correo electrónico adicionales, para autenticar a sus usuarios y para ayudarles a volver a tener acceso a sus cuentas", recomienda Google.