Los administradores de sistemas te dirán que las contraseñas increíblemente débiles son “el pan de cada día”.
Correcto. Pero en este caso no hablamos de un grupo de usuarios de la vieja escuela que creen que es más que suficiente utilizar una única sencilla contraseña para securizar todos los servicios. De lo que estamos hablando es de que los redactores de un manual de máquinas de votar están aconsejando a los usuarios que utilicen contraseñas débiles y las reutilicen.
Motherboard ha publicado un informe de Kim Zetter sobre estos manuales, que según Zetter se utilizan en 10 estados.
Los manuales dicen que se deben utilizar contraseñas fáciles de acertar y, al contrario de lo que aconsejan multitud de expertos en seguridad, también recomienda reutilizarlas cuando por mandato federal se exija cambiar las credenciales.
Motherboard, no ha podido verificar qué proveedor ha creado ese manual, pero dado que es para una máquina de votar de Unisyn, y que “unisyn” es una de las contraseñas que recomienda, tenemos algunas sospechas sobre este asunto. Sin embargo, el martes no habían contestado a las preguntas de Zetter sobre el tema.
Las máquinas de Unisyn se utilizan en 3.629 distritos y en 12 estados más Puerto Rico.
Por favor, credenciales simples y compartidas
Motherboard informa que el manual para la máquina de votar de Unisyn indica que el nombre de usuario para el sistema de gestión de las elecciones es por defecto el ubicuo “administrator”, y que la contraseña del administrador es una simple cadena de cinco letras al que se le añade un número, por ejemplo: admin1, admin2, admin3. La contraseña root sería el nombre de la empresa (unisyn) más el mismo número.
En caso de tener que cambiar las contraseñas, los manuales dicen que lo único que debemos de hacer es cambiar el número final por el siguiente.
Todo esto salió a la luz cuando Harri Hursti, fundador de Nordic Innovation Labs y un conocido experto en seguridad en elecciones, encontró una carpeta con folios sueltos mientras realizaba una evaluación de riesgos en una oficina electoral.
Al principio, Hursti pensó que el manual sería de un proveedor externo. Pero cuando apareció una segunda carpeta con las mismas directrices en otra oficina de otro estado, donde ese proveedor externo no tiene presencia, Hursti concluyó que el manual debía ser del propio Unisyn.
Un empleado del proveedor externo dijo a Motherboard que sí se utilizan contraseñas sencillas y que se reúsan en varias oficinas, de esa manera no tienen que llamar a los usuarios para preguntar por la contraseña cada vez que necesitan acceder al sistema.
Joseph Lorenzo Hall, director tecnológico para el Centro para la Democracia y Tecnología dijo a Motherboard que la práctica de reusar la misma contraseña en las distintas jurisdicciones podría permitir un ataque coordinado con acceso físico a las maquinas.
Motherboard señala que las recomendaciones de la Elections Assistance Commission (EAC) urge a los responsables de las votaciones el cambiar las contraseñas tras una votación y seguir las siguientes directrices:
- Las contraseñas deben tener al menos 6 caracteres, preferiblemente 8.
- Al menos uno de ellos debe ser una letra mayúscula.
- Al menos uno de ellos debe ser una letra minúscula.
- Al menos uno de ellos debe ser un número.
- Al menos uno de ellos debe ser un carácter especial.
Aunque supone una gran mejora sobre las recomendaciones de la máquina de Unisyn, este tipo de fórmulas también son problemáticas. Si las contraseñas siguen directrices predeterminadas, se reduce el número de contraseñas posibles, y por lo tanto se reduce el número de intentos que un atacante necesita para acertarla.
Las directrices también sugieren que las contraseñas “deben ser fáciles de memorizar (así no hay necesidad de escribirlas)” aunque “lo suficientemente aleatorias para que no se puedan acertar fácilmente”.
Si quieres saber cómo crear una contraseña robusta, solo tienes que seguir los consejos que te dimos en esta entrada.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario