Para acceder al correo electrónico ponemos contraseñas de ocho o más caracteres, con requisitos de complejidad cada vez más exigentes. Incluso hay quien las cambia regularmente. O, al menos, de vez en cuando. Y no falta quien se decide a utilizar la autenticación con dos factores.
Y después, cuando toca proteger el uso de la tarjeta bancaria, lo habitual es contentarse con un PIN de cuatro dígitos. Que lo normal es no cambiar nunca.
Sí, es cierto que lo normal es que la tarjeta quede bloqueada si se producen tres intentos fallidos. Pero eso no termina de convencerme de que un espacio de 10.000 (diez mil) contraseñas es lo suficientemente grande. Sobre todo porque, en materia de contraseñas y PINs, eso de la entropía no funciona como debiera.
DataGenetics publicó en 2.012 un intersante estudio sobre los PINs de tarjetas bancarias más utilizados. Quien tenga interés en leerlo puede pasarse por:
http://www.datagenetics.com/blog/september32012/
Resumiendo mucho, la idea es que tendemos a elegir ciertos PINs, igual que nos pasa con las contraseñas. Vaya ahí una tabla de los más utilizados:
| PIN | PORCENTAJE |
| 1234 | 10,713 |
| 1111 | 6,016 |
| 0000 | 1,881 |
| 1212 | 1,197 |
| 7777 | 0,745 |
| 1004 | 0,616 |
| 2000 | 0,613 |
| 4444 | 0,526 |
| 2222 | 0,516 |
| 6969 | 0,512 |
| 9999 | 0,451 |
| 3333 | 0,419 |
| 5555 | 0,395 |
| 6666 | 0,391 |
| 1122 | 0,366 |
| 1313 | 0,304 |
| 8888 | 0,303 |
| 4321 | 0,293 |
| 2001 | 0,290 |
| 1010 | 0,285 |
Con estos datos en la mano, se puede calcular que probando quince PINs se abrirían las puertas de casi una cuarta parte de las tarjetas que hay por ahí sueltas. Más aún, una sexta parte de las tarjetas tienen uno de los dos primeros PINs.
Y, aunque la información presentada en el artículo pudiera contener errores o basarse en una muestra no suficientemente grande, está claro que la tendencia está ahí.
De modo que un delincuente que dispusiera de una serie de tarjetas podría probar con ellas a través de Internet los dos PINs más comunes. Es le bastaría para conseguir operar con algunas de ellas. Para el resto... habría que esperar unos días. Los suficientes para que el legítimo propietario realizara alguna operación, introduciendo el PIN correcto con lo que el contador de errores se volvería a poner a cero. Y entonces se podrían probar otros dos códigos de acceso. Y repetir el proceso mientras sea rentable.
Condiméntese este procedimiento con el uso de técnicas y herramientas como una botnet con la que no levantar sospechas y el resultado podría ser devastador. Es la herencia que dejan los teclados de los cajeros automáticos, con su pinta de calculadora, nuestra tendencia a buscar cosas fáciles que memorizar y el que ahora tengamos en Internet aquello que antes sólo existía en el mundo físico.
Pero hace poco tuve una experiencia que me dejó más preocupado aún. Estaba yo en casa de alguien y llegó su pareja.
No. No me preocupó que llegara su pareja. Lo que me dio miedo fue la conversación que oí:
- Cariño, tienes carta de <póngase aquí el nombre de cierta entidad emisora de tarjetas>.
- Ah, sí. Es que metí mal varias veces el PIN y bloqueé la tarjeta. Así que pedí que me mandaran un nuevo PIN.
- Pues aquí tienes.
Saber que el PIN había viajado por correo ordinario ya me dejó boquiabierto. Pero lo mejor estaba por venir:
- ¡Ah, claro! ¡Éste era mi PIN!
Pedí que me lo confirmara y había entendido bien: No le habían cambiado el PIN. Le habían enviado por correo su PIN "de toda la vida". El que había estado usando hasta pocos días antes, cuando se equivocó y metió otro varias veces.
O sea: que la entidad emisora conoce el PIN de la tarjeta. Y que lo guarda en algún sitio en texto claro o, al menos, texto descifrable.
Y eso me da que pensar. Si tu PIN no es tu PIN, tu dinero puede dejar de ser tu dinero.
No hay comentarios:
Publicar un comentario