16 Sep 2016

Cómo hackeé las preguntas de seguridad de mi Apple ID

Amenazas

A principios de 2012, me compré un MacBook. En ese momento, sabía poco sobre gadgets y no planeaba comprar ningún otro dispositivo de Apple. Encendí el portátil y creé una cuenta Apple ID. Como me solicitaba, elegí una contraseña y varias preguntas de seguridad.

Cuatro años después, también tengo un iPad y, por supuesto, he comprado varias aplicaciones interesantes (algunas las encontré en esta lista confeccionada por mi colega). Mi cuenta se hizo valiosa para mí y empecé a pensar sobre su protección y, por ello, decidí activar el doble factor de autentificación.

No fue tan fácil como debió haber sido. Apple no me permitía cambiar nada de mi ajustes de seguridad hasta que respondiera a mis preguntas de seguridad a la perfección. Y las respuestas que introducía no coincidían.

Cuando intenté cambiar las preguntas de seguridad, me di cuenta de que el e-mail secundario utilizado para realizar dichas operaciones no estaba verificado. Aún no sé por qué Apple marcaría un e-mail sin verificar como activo, pero así lo hizo y empezó un círculo sin fin.

Hice clic en el enlace para verificar el e-mail en varias ocasiones, pero no recibí ninguna confirmación. Todo iba mal. No era un buen momento para solicitar ayuda al equipo de soporte, así que no me quedó otra que hackear mis propias preguntas de seguridad.

¿Por qué hackear las preguntas?

Las preguntas que escogí hace cuatro años no eran tan difíciles, pero al pensar en las repuestas me di cuenta de que cualquiera podría averiguarlas al mirar en mi CV o en la cuenta de mi red social.

¿Cuál fue tu primer trabajo?
LinkedIn parece un lugar obvio para encontrar la respuesta a esta pregunta.

¿Dónde se conocieron tu madre y tu padre?
Mis padres se criaron, se conocieron y se casaron en la misma ciudad en la que nací yo. Muchas personas tienen la misma historia y muchas ponen en sus redes sociales sus ciudades natales (¡las redes sociales les piden que lo hagan!). Esta pregunta no es, para nada, segura.
¿Cuál es tu libro infantil favorito?
Bueno, cuando era pequeña tuve varios libros favoritos, pero la respuesta más probable era El Hobbit, de J.R.R. Tolkien. Al igual que las otras respuestas, esta no era un secreto: en primer lugar, el libro es muy popular. En segundo, mis amigos de la universidad y y compañeros de clase saben que hice varios trabajos sobre El Hobbit. ¡Mi tesis sin acabar trataba sobre once traducciones de El Hobbit al ruso! Al final, el único misterio sobre esta pregunta era cómo lo había escrito hace cuatro años (en inglés, hay dos posibles títulos: The Hobbit o There and Back Again).

Si sabía todas las respuestas, ¿por qué mis respuestas no funcionaban?. Fácil: tenía como idioma principal de mi cuenta el inglés y eso significaba que las preguntas de seguridad se mostraban también en inglés. Pero hace cuatro años las respondí en ruso. Cuando cambié el idioma y volví a introducir las respuestas, funcionaron. Pero, incluso para las personas que no cambian el idioma, las preguntas de seguridad pueden ser un problema: ¿usaste bien las mayúsculas? ¿Abreviaciones? ¿Motes?

Empecé a pensar en lo que hace que una pregunta de seguridad (y la respuesta) sea buena.

¿Cuál es una buena pregunta de seguridad? Si tienes que escogerla de una lista, ¿cuál deberías usar?

Cinco criterios nos ayudan a distinguir una pregunta de seguridad buena de una mala.

1. Oscuridad: las preguntas deben ser difíciles de averiguar y de encontrar. Por ejemplo, la favorita de muchos bancos es el nombre de soltera de tu madre. No te haré perder el tiempo explicándote las 9 000 maneras que hay de averiguar la respuesta.

2. Estabilidad: la respuesta no debe cambiar con el tiempo. Evita las preguntas sobre “favoritos”: tu trabajo/comida/banda/película/restaurante favoritos.

3. Recordación: a menudo usamos contraseñas, pero es raro que tengamos que responder las preguntas de seguridad. Aunque recuerdes el nombre de tu maestro del colegio, puede que lo hayas olvidado cuando llegues a los treinta (o sesenta) años, así que no elijas preguntas cuyas respuestas olvidarás en una o dos décadas.

4. Simplicidad: hay preguntas con varias respuestas correctas. ¿Dónde fue tu primer beso? La respuesta podría ser “Nueva York”, “Ciudad de Nueva York”, “NYC”, “Central Park”, entre otras opciones. No elijas opciones fáciles de fallar y evita las preguntas que puedas responder de varias formas.

5. Elige multiplicidad: las preguntas que se contestan con un “sí” o un “no” son horribles. ¡Hasta un extraño tiene un 50 % de probabilidades de acertarla! Las buenas preguntas de seguridad deberían poder responderse de varias formas (y tú ser el único que sepa la respuesta correcta).

Cuidado con el phishing en las redes sociales

Puede que hayas visto encuestas en las redes sociales o concursos que te provocarán nostalgia y te harán compartir los “siete primeros sitios en los que he trabajado…” o “tu primer viaje en avión…”. Son tesoros para los ingenieros sociales. De hecho, terminan haciéndose delincuentes.

Si quieres, puedes cambiar la respuesta de la peor de las preguntas de seguridad para que nadie pueda averiguarla (¿cuál es el apellido de soltera de tu madre? XCU*(&S1020!), pero claro, debes tener cuidado con no confundirte.

Como opción mejor, quizá debas coger el apellido de soltera Woodhouse y utilizar solo las consonantes: wdhs. También puedes intercalar la fecha de nacimiento 04.08.80 y escribirla 04wd08hs80. No es un truco brillante, pero es mejor que dejarlo tal cual.

Este tipo de método es mejor para aquellas preguntas de seguridad que debas responder a menudo (por ejemplo, cuando llames a tu banco). Si tienes que recordarla de vez en cuando, la combinación se mantendrá fresca en tu memoria.

Por último, aun con todo, hay mejores formas de proteger tus cuentas que usando preguntas de seguridad (por ejemplo, con el doble factor de autentificación).