Estudio de contraseñas cognitivas en la filtración de datos del Banco Nacional de Catar (QNB)

Cada vez que se produce una filtración de datos sensibles de usuario con contraseñas (en plano o reversibles) de por medio, alguien suele analizar cuáles y con qué frecuencia se utilizan. Siempre ganan «123456», «password» o similares. En el caso del reciente filtrado de datos del banco QNB (Qatar National Bank), lo hemos analizado desde otro punto de vista: las contraseñas «cognitivas», esas preguntas que se suelen hacer para recuperarlas y que sirven habitualmente como puerta de atrás para muchos ataques.

Hace poco se ha hecho público un filtrado de 1.4 gigabytes de datos de lo que ha resultado un ataque a QNB, el banco nacional de Catar. Al margen de todo el resto de información que aparece en la base datos (más que jugosa, entre ella bastantes tarjetas de crédito), nos ocupamos ahora de las contraseñas cognitivas. No están ni mucho menos desterradas. Las contraseñas cognitivas son esas preguntas supuestamente personales, que te permitirán recuperar la contraseña de un servicio si la has perdido. Las típicas son «¿Cuál es el apellido de soltera de tu madre?», «¿Cómo se llama tu mascota?»… y similares genialidades. Sirven para «demostrar que eres tú» a quien solicita un cambio de contraseña, algo que de base, traslada el riesgo desde una contraseña a un dato personal probablemente deducible o incluso directamente público. Este método siempre ha sido mala idea, pero hoy por hoy, gracias a la exhibición que realiza el usuario medio de su vida privada y gustos en redes sociales, lo es más. Históricamente han servido para conseguir acceso a cuentas de correo de famosos (recordemos el caso Paris Hilton, Sarah Palin o Scarlett Johansson) y millones de usuarios anónimos. Además están en periodo de extinción entre los servicios que se toman en serio la seguridad.

Estas preguntas se plantean principalmente en el proceso de creación de una cuenta de cualquier tipo. Puede encontrarse predeterminada o configurarla el propio usuario. En el caso de esta filtración del banco, parece que los usuarios podían elegirlas, lo que permite además analizar qué tipo de preguntas o temas escogen como «pista» para ellos mismos. Como ejercicio en este sentido, hemos analizado los datos de la filtración de QNB y el resultado no deja de ser curioso. Hemos encontrado dos grupos de datos: 39 preguntas y respuestas en claro elegidas por los usuarios «VIP» con su respectiva respuesta que reproducimos a continuación. Los datos son públicos desde la filtración y entre estos usuarios hay perfiles tan curiosos como espías (al menos así los califica el propio banco), políticos de Medio Oriente, policía, servicios especiales, periodistas de Al Jazeera, personal de otros bancos…

question:ville de naissance?; answer:el biar;
question:where i grew up ;answer:ballinteer;
question:what is my age? ;answer:26;
question:Favourite Pet? ;answer:Harvey;
question:my name ;answer:khalaf;
question: alex school;answer:voltaire;
question:job ;answer:presenter;
question:whats ur yahoo pin ;answer:yahoo ;
question:jjjj ;answer:kkkk;
question:cat ;answer:toyota;
question:what is your color ;answer:red;
question:c’est repare ;answer:c’est ok;
question:country ;answer:avezzano;
question:what is ur ;answer:hazem zoom;
question:football and birthday ;answer:foot;
question:je merite ;answer:no;
question:WHAT IS YOUR FAVORITE CITY ;answer:RAMALLAH;
question:TOOTS ;answer:my number;
question:my wifes name ;answer:Kerry;
question:Didier hint ;answer:Venus;
question:What is your husband’s nick name ;answer:Ba;
question:WHAT IS MY MOTHER NAME ;answer:FATIMA;
question:A;cigarette ;answer:555;
question:mothers maiden name ;answer:Screech;
question:car; ;answer:lexus;
question:what is your daughter’s name? ;answer:tanu;
question:Your mother maiden name ;answer:Neale;
question: what is your bank ;answer:qnb;
question:my s mom ;answer:cora;
question:who am i ;answer:roc;
question:teacher ;answer:angelina;
question:truck ;answer:ford150;
question:dogs name ;answer:herman;
question:what is your place of birth?  ;answer:tuzla;
question:rs28 ;answer:dannyc;
question: A;wife;s name ;answer:carole;
question:father’s name ;answer:claude;
question:chien ;answer:u;ysse;
queston:A;golf ;answer:clubs;

Quizás unas 40 muestras no sean representativas, pero llama la atención cómo los usuarios han asimilado las preguntas «típicas» y las han hecho suyas. Si les dan a elegir, repiten los patrones impuestos desde siempre por los servicios en la red… el nombre de soltera de la madre, mascotas, gustos, lugar de nacimiento… todos datos muy fácilmente deducibles o con un rango de error muy pequeño con fuerza bruta (¿cuál es tu color favorito?). Muy pocos echan mano de la imaginación.

Por otro lado existe, en la misma filtración, otro fichero con las preguntas de usuarios «no VIP», del banco. Usuarios corrientes. En este caso, la respuesta no está en texto claro y no se ha tenido acceso aún. Pero hemos estudiado las preguntas. Contamos con 106634 preguntas y usuarios, eliminando algunas que no hemos podido decodificar por el uso de caracteres no latinos. Las hemos clasificado libremente por temática. Por ejemplo, buscando «pet» para cualquier pregunta relacionada con mascotas, o «mother» para preguntas del tipo «what is the maiden name of my mother» y sus variantes… intentando aglutinar así todo tipo de preguntas en una misma temática, puesto que cada uno lo ha escrito de una forma, grafía, estilo e incluso sintaxis diferente. Algunas preguntas están redactadas en francés, aunque la inmensa mayoría usa el inglés. Los porcentajes pueden no ser del todo ajustados puesto que puede haber temáticas que se solapen (cumpleaños de la mascota, por ejemplo). Y estos son los resultados.

• Un 35,32% apela al nombre de alguien.
• Un 7,69% se acuerda de su madre.
• Un 4,90% lo asocia con su día de nacimiento.
• Un 4,46% recuerda una «primera vez«.
• Un 4,17% habla de sus mascotas.
• Un 4,10% se refiere a algo de los coches.
• Un 3,81% recuerda algún dato de su esposa o marido.
• Un 3,03% se acuerda de su padre.
• Un 2,66% habla de nombres o fechas de su hijo.
• Un 2,09% del apellido de soltera.
• Un 2,07% de algo «favorito«.

Con esta muestra, más allá de la anécdota, en realidad se pretende dar una idea de los elementos entorno a los que construimos nuestras contraseñas o las salvaguardamos. Parece claro que asociamos habitualmente la custodia de unos datos valiosos (una cuenta de un banco) a nuestros seres o recuerdos queridos. A ellos se dedican buena parte de las veces las contraseñas pero más aún estas preguntas cognitivas que sirven de pista. La razón es sencilla: son datos que no son muy cercanos y por tanto no vamos a olvidar. ¿Qué mejor fórmula para definir algo que se nos ha dicho que sirve como recordatorio?

Evidentemente, este resultado puede estar sesgado por el tipo de datos filtrados y el perfil de usuarios, idioma, cultura… pero puede ser representativo.

¿Soluciones?

Por definición, no es sensato supeditar el acceso a información privada al conocimiento de una serie de datos que no lo son. La solución es mentir si nos obligan a usar esas contraseñas cognitivas, empleando cadenas aleatorias a modo de contraseñas que, junto con la real del servicio, serán almacenadas en un buen gestor de contraseñas (sabiendo que, si se almacena bien la real, ni siquiera se necesitarán las cognitivas).