Las preguntas de seguridad son un método común de autenticación de identidad, uno con el que probablemente te hayas encontrado antes. Al crear una cuenta o registrarse en un servicio en línea, los usuarios compartirán confidencialmente las respuestas a preguntas secretas con un proveedor.
Normalmente, estas preguntas y respuestas de seguridad se utilizan para la recuperación de contraseñas de autoservicio: ingresar la respuesta correcta verifica al usuario y le permite restablecer su contraseña, aunque también puedes implementar preguntas de seguridad como un factor de autenticación adicional para los inicios de sesión.
Sin embargo, no recomendamos confiar únicamente en las preguntas de seguridad para ninguno de estos casos de uso. Si bien son fáciles de configurar, las respuestas de seguridad son vulnerables a ser hackeadas, adivinadas y robadas de la misma manera que las contraseñas. Dicho esto, si aún estás interesado en proteger tu organización con preguntas de seguridad, esta entrada de blog te ayudará a comprender qué constituye una buena pregunta y respuesta de seguridad, y las mejores prácticas para usarlas de manera efectiva.
Tipos de preguntas de seguridad
Existen dos tipos principales de preguntas de seguridad:
- Las preguntas definidas por el usuario permiten a los usuarios elegir una pregunta de una lista establecida a la que les gustaría proporcionar una respuesta. Si bien es fácil para los desarrolladores implementar estas preguntas como parte del proceso de creación de la cuenta, solo son efectivas si el usuario elige una respuesta sólida que sea difícil de descubrir.
- Las preguntas definidas por el sistema se basan en información que el proveedor de servicios ya conoce sobre el usuario (por ejemplo, dirección o fecha de nacimiento). Estas preguntas dependen de que el sistema contenga suficiente información sobre el usuario, y de que la respuesta sea difícil de averiguar para un actor de amenazas.
Exploraremos la viabilidad de ambos tipos de preguntas a lo largo del resto de esta publicación, pero primero, examinemos qué hace que algunas preguntas de seguridad sean mejores que otras.
¿Qué hace que una pregunta de seguridad sea buena?
Las preguntas de seguridad deben tener las siguientes características si van a contribuir positivamente a la autenticación segura:
- Confidencialidad: Nadie más debería ser capaz de adivinar, investigar u obtener la respuesta por otros medios. Este es el rasgo más importante que debe tener una respuesta: si la respuesta es fácil de averiguar, entonces sabotea la seguridad de una cuenta. Si una información es conocida por alguien cercano al usuario o se puede encontrar en línea, no es confidencial.
- Capacidad de memorización: Los usuarios deben recordar la respuesta, posiblemente durante mucho tiempo después de crear una cuenta. Idealmente, el usuario puede recordar inmediatamente la respuesta; no deberían tener que escribirla ni buscarla.
- Consistencia: La respuesta a la pregunta no puede cambiar con el tiempo. Es mejor evitar las respuestas que solo están garantizadas en el momento, como los favoritos y las opiniones; en cambio, piensa en hechos históricos o información permanente.
- Simplicidad: La respuesta debe ser precisa, clara para el usuario y fácil de dar. Las preguntas con respuestas ambiguas o respuestas que requieren distinción entre mayúsculas y minúsculas o un formato particular pueden ser difíciles de seguir.
- Multiplicidad: Debería haber múltiples respuestas posibles a la pregunta. Cuantas más respuestas posibles, mejor será la seguridad: será menos probable que alguien logre adivinar o forzar la respuesta. Muchos proveedores de servicios incluso bloquearán a los usuarios de una cuenta después de varios intentos fallidos.
Lista de preguntas de seguridad
Teniendo en cuenta los principios anteriores, hemos creado una lista de preguntas de seguridad comunes. Sigue leyendo para descubrir qué hace que algunas sean más seguras que otras.
Ejemplos de malas preguntas de seguridad
Estas preguntas de seguridad se consideran malas porque no son prácticas o están expuestas a la explotación:
Pregunta de seguridad ineficaz | Fundamento |
|---|---|
¿Cuál es tu fecha de nacimiento? | Fácil de adivinar para otros: no es confidencial. |
¿Cuál era el nombre de tu maestro de escuela favorito? | Los temas de la infancia pueden ser demasiado distantes para que la gente los recuerde. |
¿Cuál es tu película favorita? | Es probable que esto cambie con el tiempo. |
¿Cuál fue tu primer coche? | Es ambiguo qué nivel de detalle debe tener la respuesta. |
¿Cuál es su signo astrológico? | Existe una gama estrecha de posibles respuestas, y es algo que otros podrían adivinar o descubrir. |
Ejemplos de buenas preguntas de seguridad
Las preguntas anteriores no cumplen con la seguridad o la usabilidad por una razón u otra. A continuación, hemos revisado la lista de preguntas de seguridad, haciéndolas más prácticas o protectoras:
Pregunta de seguridad eficaz | Fundamento |
|---|---|
¿En qué ciudad nació? | En términos generales, este hecho es menos conocido, lo que dificulta que otros lo adivinen. |
¿Cuál es el segundo nombre de tu hermano mayor? | Por lo general, esto es algo íntimamente conocido entre hermanos y difícil de investigar para otros. |
¿Cuál fue el primer concierto al que asististe? | La respuesta no es propensa a cambiar. |
¿Cuál era la marca y el modelo de tu primer coche? | La pregunta solicita detalles precisos y específicos. |
¿En qué ciudad o pueblo se conocieron tus padres? | Este es un detalle personal. Y como hay muchas respuestas posibles, es más difícil para la gente adivinar. |
¿Es bueno usar preguntas de seguridad?
Las preguntas de seguridad son fáciles de implementar para las organizaciones; además, son familiares y sencillas para los usuarios. Pero los beneficios terminan ahí.
En un panorama de amenazas cada vez más sofisticado, las preguntas de seguridad ya tuvieron su día. Ofrecen protección de baja seguridad, e incluso las preguntas de seguridad de muestra que proporcionamos anteriormente están abiertas para que otros las exploten a través de conjeturas, redes sociales e investigación en línea. Además, tanto las respuestas de seguridad definidas por el usuario como por el sistema son tan vulnerables a ser robadas en una violación de datos o estafa de phishing como las contraseñas, una razón importante por la que los expertos en seguridad abogan por su desuso.
De la misma manera, no podemos recomendar las preguntas de seguridad como tu método principal de protección de cuentas. Como parte de una estrategia de seguridad más amplia, creemos que las buenas preguntas de seguridad pueden funcionar como un método adicional de autenticación, pero con algunas estipulaciones.
Mejores prácticas para preguntas de seguridad
Si bien las preguntas de seguridad no son el método más eficaz para proteger las cuentas, hay algunas cosas que las organizaciones, los empleados y los clientes pueden hacer para fortalecerlas.
Consejos para usar preguntas de seguridad
Si aún deseas utilizar preguntas de seguridad como un método de seguridad de apoyo para tus empleados o clientes, te sugerimos las siguientes prácticas recomendadas para mitigar las vulnerabilidades:
- Restringir las respuestas: Comprueba las respuestas con una lista de denegación de respuestas comunes, como el nombre de usuario o la dirección de correo electrónico, la contraseña actual del usuario y las cadenas de caracteres que se pueden adivinar como “123” y “contraseña”. Aplicar una longitud mínima para las respuestas también puede ayudar a evitar tales respuestas.
- Renueve las preguntas: Solicite periódicamente al usuario que revise sus preguntas de seguridad y confirme que todavía conoce las respuestas. Esto debería darles la oportunidad de actualizar cualquier respuesta que pueda haber cambiado, y hace que sea más probable que el usuario recuerde su respuesta más reciente en caso de que necesite recuperar su cuenta.
- Sin preguntas autoescritas: permitir que los usuarios escriban sus propias preguntas introduce riesgos. Podría resultar en preguntas fuertes y únicas que sean difíciles de responder para los hackers, pero también podría resultar en preguntas débiles y fácilmente explotables. Las preguntas autoescritas se basan en el propio comportamiento de seguridad del usuario, por lo que invitar a los usuarios con menos conciencia de seguridad a establecer sus propias preguntas realmente puede aumentar el riesgo de apropiación de cuentas.
- Establezca varias preguntas de seguridad: Hacer a los usuarios varias preguntas al mismo tiempo puede mejorar el nivel de garantía de las preguntas de seguridad, especialmente si las respuestas son variadas y requieren que un atacante obtenga información más oscura. La combinación de preguntas definidas por el usuario y por el sistema es un enfoque potencial para esto. De cualquier manera, cuando a un usuario se le haga una pregunta de una selección, no le permita elegir otra pregunta hasta que la haya respondido correctamente. Esto minimiza la posibilidad de que los atacantes puedan adivinar u obtener las respuestas que necesitan para acceder a las cuentas.
- Usa almacenamiento cifrado: Las respuestas pueden contener información personal sobre los usuarios y pueden reutilizarse en diferentes cuentas. Considera usar algoritmos hash seguros para evitar que los hackers obtengan respuestas de seguridad de tu sistema.
Consejos para configurar respuestas de seguridad
La implementación de preguntas de seguridad solo es efectiva si los usuarios conocen las mejores prácticas. Aquí hay algunos consejos que puedes brindar a los empleados y clientes para fortalecer sus respuestas de seguridad:
- Use respuestas falsas: En lugar de responder con información significativa que otros puedan averiguar, use una respuesta falsa que otros no puedan verificar, idealmente con una cadena aleatoria de caracteres. En ese sentido, trate las respuestas de seguridad como contraseñas: cuanto más oscuras, mejor.
- Utiliza un administrador de contraseñas: Recordar cadenas de texto aleatorias es mucho más difícil que los detalles personales veraces. Por eso vale la pena usar un administrador de contraseñas para almacenar tus respuestas de seguridad, para que no las pierdas de vista.
¿Cuáles son algunas alternativas mejores a las preguntas de seguridad?
Si prefiere dejar de lado las preguntas de seguridad por completo, existe una gran variedad de otras medidas disponibles, cada una con diferentes niveles de garantía.
Antes de seleccionar uno para proteger a tu fuerza laboral y a tus clientes, es importante conocer los riesgos y los beneficios de cada uno, y cuáles ofrecen el nivel más alto de seguridad. Aquellos que dependen de algo que el usuario sabe (por ejemplo, preguntas de seguridad y contraseñas) son los menos seguros, mientras que aquellos que dependen de algo que el usuario tiene o uno de sus atributos ofrecen el nivel más alto de garantía.
La autenticación biométrica, por ejemplo, es más resistente a las amenazas que otras porque se basa en identificadores que son exclusivos de cada usuario, como la voz, las huellas dactilares, el ADN y el reconocimiento facial. Los usuarios no tienen que recordar o almacenar rasgos biométricos como lo hacen con las respuestas de seguridad, lo que hace que sean más difíciles de comprometer.
La autenticación multifactor (MFA), por otro lado, es un enfoque de autenticación que tiene en cuenta el contexto. Puede implementar una combinación de factores de autenticación para satisfacer las necesidades de su organización y analizar las señales de riesgo de los intentos de inicio de sesión de los usuarios para determinar qué métodos de autenticación son los más apropiados. Con esta configuración, tiene la flexibilidad de usar preguntas de seguridad y contraseñas como una de las muchas opciones de autenticación, implementándolas para mayor seguridad en contextos de bajo riesgo o renunciando a ellas por completo.
Las preguntas de seguridad son vulnerables a la explotación porque se basan en el conocimiento; si un atacante adivina, investiga o pesca una respuesta de seguridad, por ejemplo, la cuenta se ve comprometida. Ni siquiera las mejores preguntas de seguridad son inmunes a estos ataques. Para comenzar a ir más allá de las preguntas de seguridad y obtener más información sobre la solución Adaptive MFA de Okta, consulta nuestra hoja de datos.
