Las preguntas de seguridad se concibieron originalmente como un nivel adicional de seguridad. Con ellas se podía recuperar el acceso a una cuenta si la contraseña principal se perdía o se olvidaba.
El principio de funcionamiento es simple: el servicio le propone elegir una pregunta de control, cuya respuesta se supone que solo usted conoce. Más tarde esa respuesta puede usarse para confirmar su identidad. En teoría suena lógico, pero en la práctica este método resultó ser uno de los eslabones más débiles en la protección de datos personales.
Problemas con las preguntas de seguridad: por qué son tan vulnerables?
1. Facilidad para adivinar
La mayoría de las preguntas de seguridad populares se basan en información que es fácil de encontrar o de adivinar. Por ejemplo, preguntas como:
- ¿Cuál es su plato favorito?
- ¿Cómo se llamaba su primera mascota?
- ¿Dónde nació?
- ¿Cómo se llamaba su escuela?
Las respuestas a estas preguntas pueden estar disponibles en redes sociales, publicadas por usted en acceso público o ser conocidas por su círculo cercano. Incluso si cree que no ha contado a nadie sobre su primera mascota, basta una publicación inocente en Facebook para que un atacante obtenga los datos necesarios.
2. Revelación a través de redes sociales
Las redes sociales modernas son una fuente de información para los ciberdelincuentes. La mayoría de nosotros compartimos detalles importantes de la vida: fotografías, fechas, relatos sobre los años escolares e incluso recuerdos de la infancia. Todo eso se convierte en un arma en manos de los atacantes. Una búsqueda simple de su nombre puede conducir a la respuesta de la pregunta de seguridad.
Por ejemplo, si la pregunta es "¿Dónde realizó su primer viaje?", una publicación con geolocalización de 2010 se convierte en una excelente pista. Incluso si considera que su cuenta en redes sociales está protegida por la configuración de privacidad, siempre existe la posibilidad de una filtración de información a través de la cuenta de un amigo hackeada o fotos compartidas.
3. Ingeniería social
Las técnicas de ingeniería social permiten engañar al usuario para obtener la respuesta a la pregunta de seguridad. Por ejemplo, un estafador puede llamar, hacerse pasar por un empleado del servicio de soporte y pedirle que confirme su identidad, formulando una "pregunta formal de seguridad". En situaciones de estrés o prisa, muchas personas caen en ese engaño.
4. Número limitado de opciones
Algunas preguntas tienen un rango estrecho de respuestas. Por ejemplo, si su pregunta de seguridad es "¿Cuál es su segundo nombre?", a un atacante le basta con conocer su origen para reducir al mínimo el número de intentos necesarios. Esto es especialmente peligroso si la cuenta no está protegida por un sistema que limite la cantidad de intentos fallidos de acceso.
5. Variabilidad y olvido
La memoria humana es inconstante. Las respuestas a las preguntas pueden cambiar con el tiempo o olvidarse. Por ejemplo, su película favorita en 2020 pudo ser muy distinta en 2024. Si olvidó la respuesta que dio hace años, no podrá recuperar el acceso a la cuenta.
6. Ataques automatizados
Los ciberdelincuentes usan activamente bots para probar respuestas a preguntas de seguridad. Si el servicio permite un número infinito de intentos, un bot puede iterar variantes hasta encontrar la correcta.
Contexto histórico: por qué las preguntas de seguridad se volvieron populares
La idea de usar preguntas de seguridad se remonta a una época en la que las tecnologías aún no ofrecían soluciones complejas de autenticación. Era una forma simple y económica de aumentar la seguridad. En los años 90, cuando internet empezaba a popularizarse, las preguntas de seguridad eran un método bastante fiable. Entonces la amenaza principal no provenía de hackers, sino del olvido de los usuarios. Sin embargo, con el desarrollo de la tecnología los atacantes obtuvieron herramientas que hicieron que este método quedara obsoleto.
Cabe destacar que incluso grandes empresas como Yahoo y Microsoft emplearon durante mucho tiempo preguntas de seguridad en sus servicios. Las vulnerabilidades críticas de este sistema se hicieron especialmente evidentes en 2014, cuando el hackeo de la cuenta de la actriz Jennifer Lawrence a través de preguntas de seguridad provocó un gran revuelo público.
Alternativas modernas a las preguntas de seguridad
Hoy existen formas mucho más seguras de autenticación que prácticamente eliminan las vulnerabilidades asociadas a las preguntas de seguridad:
1. Autenticación multifactor (MFA)
Es un método en el que para iniciar sesión se requiere la confirmación mediante varios factores. Por ejemplo:
- Contraseña (algo que usted sabe).
- Código de una aplicación de autenticación (algo que usted posee).
- Datos biométricos (algo que usted es).
La autenticación multifactor hace que el acceso no autorizado sea prácticamente imposible sin acceso físico a su dispositivo.
2. Llaves de seguridad físicas
Las llaves USB, como YubiKey, proporcionan un nivel adicional de protección. Incluso si un atacante conoce su contraseña, sin el dispositivo físico no podrá acceder a la cuenta.
3. Claves de acceso (Passkeys)
Una alternativa moderna a las contraseñas basada en claves criptográficas. El sistema crea un par de claves: pública y privada, siendo la última almacenada únicamente por el usuario. Esto elimina la posibilidad de interceptación o adivinación de los datos.
Consejos prácticos si el servicio aún requiere una pregunta de seguridad
A veces los usuarios se enfrentan a la situación en la que el servicio no ofrece alternativas, salvo usar una pregunta de seguridad. En esos casos, siga estas recomendaciones:
- Use respuestas no estándar. Por ejemplo, si le piden indicar el lugar de nacimiento, invente una respuesta como "Estrella de la Muerte" o "Andén 9 y 3/4". Lo importante es recordarla.
- Guarde las respuestas en un gestor de contraseñas. Los gestores modernos, como LastPass o Bitwarden, permiten almacenar de forma segura no solo contraseñas, sino también respuestas a preguntas de seguridad.
- Elija preguntas únicas. Si es posible, cree sus propias preguntas, cuyas respuestas solo usted conozca. Por ejemplo: "¿Cómo se llamaba mi amigo imaginario en la infancia?".
Conclusión: abandone las preguntas de seguridad
Las preguntas de seguridad son un relicto del pasado que hoy hace más daño que bien. En un mundo donde las fugas de datos ocurren a diario, usar este método de protección supone un gran riesgo.
Si desea proteger realmente sus datos, utilice métodos modernos de autenticación, como la autenticación multifactor, llaves de seguridad o biometría. Sus datos merecen una protección fiable, y las preguntas de seguridad no son la herramienta en la que conviene confiar.
