«Las contraseñas son una de las peores cosas en Internet», dijo Mark Risher, director sénior de seguridad de cuentas, identidad y abuso de Google a The Verge. Aunque son esenciales para la seguridad y para ayudar a las personas a iniciar sesión en muchas aplicaciones y sitios web, «son una de las formas principales, si no la principal, en que las personas terminan siendo comprometidas.»
Es algo extraño para un ejecutivo de seguridad de Google decirlo porque la última vez que iniciaste sesión en Gmail, probablemente escribiste una contraseña. Pero la compañía ha estado tratando de alejar a los usuarios del modelo durante años, o al menos minimizar el daño. Y en las próximas semanas, una de las herramientas más silenciosas de Google en esa lucha, la función de Verificación de contraseñas, tendrá un perfil más alto, ya que se une al panel de control de seguridad integrado en cada cuenta de Google.
Risher tiene razón en preocuparse. Aunque puedes usar una herramienta como un administrador de contraseñas para hacer un seguimiento de tus inicios de sesión, muchas personas acaban reutilizando contraseñas para muchas cuentas. El cincuenta y dos por ciento de las personas reutilizan la misma contraseña para varias cuentas, según los resultados de una encuesta publicada en febrero de 2019 por Google y la firma de encuestas Harris. El trece por ciento de las personas reutilizan esa contraseña para todas sus cuentas, según la encuesta. Y Microsoft dijo en 2019 que 44 millones de cuentas de Microsoft usaban inicios de sesión que se habían filtrado en línea.
Si bien reutilizar contraseñas puede ser una forma de recordar una palabra, frase o combinación compleja de letras, números y símbolos que crees que nadie podrá adivinar, la práctica puede poner en peligro tu información personal. Si esa contraseña reutilizada se filtra como parte de una filtración de datos, los hackers podrían tener la clave de muchas de sus otras cuentas en línea, sin importar cuán compleja sea la frase.
«Sabemos por otras investigaciones que hemos realizado en el pasado que las personas que han tenido sus datos expuestos por una violación de datos tienen 10 veces más probabilidades de ser secuestradas que una persona que no está expuesta por una de estas violaciones», dijo Kurt Thomas, miembro del equipo de investigación de seguridad y antiabuso de Google.
Google ha estado tratando de ayudar a los usuarios a crear mejores hábitos de contraseña durante algún tiempo, lenta pero seguramente. Durante años, la compañía ha ofrecido un administrador de contraseñas integrado en las cuentas de Google en Chrome y Android que puede guardar sus contraseñas y rellenarlas automáticamente en sitios web y aplicaciones, por ejemplo.
Pero durante el último año, Google también ha estado trabajando para ayudar a las personas a crear contraseñas mejores de forma proactiva con la verificación de contraseñas. La herramienta comprueba los inicios de sesión con una base de datos de 4 mil millones de credenciales filtradas, para ver si la contraseña que está escribiendo coincide con una que ya se filtró. Se lanzó por primera vez como una extensión de Chrome en febrero de 2019, y Google lo horneó en las cuentas de Google en octubre y en Chrome en diciembre.
No es una idea nueva, pero Google está excepcionalmente bien posicionado para ofrecer algo como Chequeo de contraseñas. La compañía tiene acceso a miles de millones de contraseñas y la escala para implementar la verificación de contraseñas a miles de millones de usuarios de una manera que se integra con las herramientas de seguridad de cuentas en las que muchas personas ya confían.
Descubrir cómo dejar que el chequeo de contraseñas señalara credenciales comprometidas de una manera respetuosa con la privacidad fue un problema técnico difícil que requirió un esfuerzo combinado de Google y Stanford. El desafío era encontrar una manera de verificar automáticamente las credenciales de un usuario contra una base de datos de inicios de sesión violados sin revelar esa información a Google o dar al usuario acceso a toda la base de datos, todo mientras escalaba esa solución a la enorme base de usuarios de Google, me dijeron investigadores de ambas organizaciones.
Para ello, Google almacena una versión cifrada y con hash de cada nombre de usuario y contraseña conocidos expuestos por una filtración de datos. Cada vez que inicies sesión en una cuenta, Google enviará una versión cifrada y con hash de tu información de inicio de sesión contra esa base de datos. De esa manera, Google no puede ver tu contraseña y tú no puedes ver la lista de inicios de sesión conocidos comprometidos de Google. Si Google detecta una coincidencia, Google mostrará una alerta recomendándole que cambie su contraseña para ese sitio.
Google obtiene inicios de sesión comprometidos de «múltiples fuentes diferentes y socios de confianza», dijo Thomas, incluidos foros subterráneos donde se comparten abiertamente los volcados de contraseñas. «Tenemos una política ética de que nunca pagaremos a los delincuentes por los datos robados», continuó. «Pero solo en virtud de cómo funcionan estos mercados, muy a menudo, surgirán burbujas y estarán disponibles.»El uso de personas que Google tiene en esos mercados, la empresa puede adquirir los datos, dijo.
La comprobación de contraseñas tardó entre dos y tres años desde su creación hasta que apareció en muchos productos de Google, según Thomas. Más adelante, Google quiere que el Chequeo de seguridad te envíe un correo electrónico cuando detecte que un inicio de sesión almacenado se ha visto comprometido en una violación de datos, que la compañía planea lanzar en los próximos meses. Y a finales de este año, Google tiene como objetivo permitir que las personas usen la verificación de contraseñas en Chrome, incluso si no están conectados a una cuenta de Google.
Google no es la única empresa que ofrece algún tipo de funcionalidad de comprobación de contraseñas. Administrador de contraseñas de pago 1Password recomienda cambiar contraseñas débiles o duplicadas y también ofrece Watchtower, que verifica sus inicios de sesión con la base de datos de He sido Pwned de Troy Hunt de más de 9 mil millones de cuentas comprometidas y marca cualquier coincidencia. Y Apple anunció ayer que su próxima versión de Safari tendrá una herramienta de monitoreo de contraseñas que parece funcionar de manera similar a la Verificación de contraseñas.
Pero Google tiene la ventaja de ayudar a las personas con sus contraseñas gracias a su escala masiva. Y herramientas como la comprobación de contraseñas y el gestor de contraseñas integrado alcanzan un objetivo más amplio para facilitar la seguridad en línea a los usuarios.
» Lo que me gusta que sea la seguridad, y de lo que creo que es un buen ejemplo, es: «¿cómo haces que sea más fácil para la gente común hacer lo correcto?»El vicepresidente de ingeniería de seguridad de Google, Royal Hansen, le dijo a The Verge. «No se trata de alerta con más y más problemas», dijo. «Se trata de hacer que sea más fácil para ti hacer, francamente, el paso más básico.»
Actualización el 23 de junio, 4: 06PM ET: Se agregó contexto sobre dónde ya está disponible la comprobación de contraseñas.