Pasar al contenido principal

El Foro Económico Mundial tiene claro cuál es la mejor fórmula para proteger hospitales e infraestructuras de ciberataques: reducir las contraseñas y apostar por la biometría

Sanitarios ante el coronavirus.
Reuters/Nacho Doce

  • Un artículo publicado en la web del Foro Económico Mundial aboga por un mundo con menos contraseñas para defender mejor a infraestructuras críticas de ciberataques.
  • De hecho, un informe de la entidad destaca que el sector sanitario en EEUU fue uno de los que más dinero perdió en 2019 —antes de la pandemia de coronavirus— por incidentes de ciberseguridad.
  • Las contraseñas podrían ir a menos a medida que avanzan las tecnologías que permitirán identificar a los usuarios mediante biométrica, como el reconocimiento facial, la huella dactilar, o el reconocimiento por voz.
  • Sin embargo, por ahora estas soluciones tecnológicas siguen teniendo desafíos, como resolver todo el problema que ha generado el universo de los deepfakes, o la posibilidad de robar tu huella dactilar.
  • Descubre más historias en Business Insider España.

Los ciberataques a hospitales se han sucedido en las últimas semanas en distintos países europeos. Solo en España, y en el contexto de la pandemia de coronavirus, la Policía Nacional detectó un intento de ataque con un ransomware, Netwalker, a un hospital. No hubiese sido la primera vez: ya a finales del año pasado hospitales privados de Vithas sufrieron otro asalto informático.

Los ciberataques con ransomware lo que hacen es infectar un ordenador y propagar dicha infección a todos los dispositivos de la red, procediendo así a cifrar los archivos. Es en ese momento en el que las mafias organizadas de ciberdelincuentes exigen un rescate —un ransom, en inglés— para que las víctimas puedan descifrar y volver a acceder a sus archivos.

Leer más: Escribir resultados a mano y diagnosticar más lento el coronavirus: así afecta un ciberataque a hospitales y centros de investigación en plena pandemia

En el contexto de crisis provocada por la COVID-19 la preocupación para los ciberexpertos es todavía más redundante. No es lo mismo atacar a una gran empresa que hacerlo a un hospital, cuyos archivos informáticos son mucho más sensibles. Los médicos y empleados de un centro sanitario acceden mediante sus ordenadores al historial médico de sus pacientes, a pruebas diagnósticas, o incluso a las pantallas con las que facilitan sus operaciones quirúrgicas.

Aunque un ciberataque con ransomware no requiere necesariamente de robar contraseñas —basta con engañar a un empleado para que pinche en un enlace en el que no debiera, y así descargar el programa malicioso—, lo cierto es que el Foro Económico Mundial lo tiene bastante claro. Un mundo con menos contraseñas facilitaría la defensa de hospitales e infraestructuras críticas en situaciones de emergencia.

Lo ha hecho en un post en su página web, en el que citan un informe de enero de este año. El documento al que refieren recuerda cómo las contraseñas son uno de los principales agujeros de la ciberseguridad.

El asunto no es menor. Un informe de IBM Security sobre el coste por sectores de las brechas de ciberseguridad detectaba que en los primeros 6 meses del año pasado solo el sector sanitario perdió más de 6,45 millones de dólares por incidentes de ciberseguridad. Más que otras industrias o sectores como el financiero (5,86 millones), la energía (5,6) o el sector farmacéutico (5,20 millones).

Leer más: La Europol prevé que suban los precios de armas, drogas y medicamentos falsos en la 'dark web' y que el número de ciberataques se multiplique por el coronavirus

"Las contraseñas se inventaron en los 60 y nunca tuvieron la intención de proteger cuentas bancarias, registros médicos, correos electrónicos, etc", destacan los autores del artículo: Ori Eisen, el fundador y CEO de Trusona —una forma especializada en ciberseguridad y contraseñas— y William Dixon, el jefe de Operaciones del Centro de Ciberseguridad del Foro Económico Mundial.

Cómo sería un mundo con menos contraseñas

Un mundo con menos contraseñas, detallan Eisen y Dixon, significaría que se ha alcanzado la posibilidad de verificar de forma acertada y segura la identidad de los usuarios "sin el uso de nombres de usuarios, contraseñas, SMS" o nada para lo que sea necesario "teclear". "Supondría la adopción de nuevas tecnologías, como las biométricas, análisis de comportamientos y otras características en nuestros dispositivos, que validarían nuestra identidad sin necesidad de introducir contraseñas".

El informe del Foro Económico, fechado a enero de este año, abunda en que para 2022 el 60% de las grandes empresas y el 90% de las firmas medianas habrán implementado este tipo de métodos de identificación. Para ello, da 4 claves: mejorarían la seguridad, fomentarían la transformación digital, reducirían costes, y ampliaría las posibilidades de uso de los terminales móviles que hoy usamos.

Leer más: Emotet, el 'malware' que secuestra tus datos y afecta a muchas empresas españolas, ahora te puede infectar por SMS: así puedes evitarlo

Los seres humanos somos más que predecibles para las máquinas. Así lo demostraron, por ejemplo, dos hackers e investigadores españoles en una ponencia que celebraron el año pasado, en el evento del CCN-CERT, el Equipo de Respuesta a Incidentes de Ciberseguridad del Centro Criptológico Nacional.

En su charla, Jaime Sánchez y Pablo Caro explicaban cómo habían desarrollado una herramienta cuya función era reunir y acceder a repositorios de palabras y a sus hashes —códigos cifrados— análogos. De este modo, el programa era capaz de reventar contraseñas por la fuerza bruta de una forma mucho más sofisticada.

Leer más: Dos hackers españoles demuestran con una herramienta lo fácil que es reventar contraseñas atendiendo a las pautas con las que se crean las más comunes

Ya no es solo cuestión de que los usuarios desatiendan la seguridad de sus contraseñas —suelen emplear la misma para distintos servicios, no incluyen caracteres extraños, muchas veces son sólo minúsculas...—: es que el programa de estos 2 hackers españoles era capaz de anticiparse a los cambios que los internautas puedan hacer a palabras comunes para poder reventar sus contraseñas. Por ejemplo: convertir la palabra banana en b4n4n4!.

Con todo, todavía queda para que la identificación por biométrica sea una realidad absoluta que se ha impuesto a las contraseñas tecleadas. Todavía afrontan muchos riesgos: desde que te roben tu propia huella dactilar hasta que se consiga reemplazar tu voz mediante programas que modulen tonos.

Y además