Por qué una pregunta de seguridad es la peor forma de proteger su cuenta

Las preguntas de seguridad fueron concebidas originalmente como un nivel adicional de seguridad. Se utilizaban para recuperar el acceso a una cuenta si la contraseña principal se perdía u olvidaba.

El principio de funcionamiento es simple: el servicio le ofrece elegir una pregunta de seguridad cuya respuesta, en teoría, solo usted conoce. Más tarde, esta respuesta se puede utilizar para confirmar su identidad. Sobre el papel, todo parece lógico, pero en la práctica, este método resultó ser uno de los eslabones más débiles en la protección de los datos personales.

Problemas con las preguntas de seguridad: ¿por qué son tan vulnerables?

1. Facilidad para adivinarlas

La mayoría de las preguntas de seguridad populares se basan en información que es fácil de encontrar o adivinar. Por ejemplo, preguntas como:

• ¿Cuál es tu comida favorita?
• ¿Cómo se llamaba tu primera mascota?
• ¿Dónde naciste?
• ¿Cómo se llamaba tu escuela?

Las respuestas a estas preguntas pueden estar disponibles en redes sociales, publicadas por usted mismo o ser conocidas por su entorno cercano. Incluso si cree que nunca ha mencionado el nombre de su primera mascota, un post inocente en Facebook puede proporcionar a un atacante la información necesaria.

2. Identificación a través de redes sociales

Las redes sociales modernas son un tesoro de información para los ciberdelincuentes. La mayoría de nosotros compartimos detalles importantes de nuestra vida: fotos, fechas, historias de nuestra etapa escolar e incluso recuerdos de la infancia. Todo esto se convierte en un arma en manos de los atacantes. Una simple búsqueda de su nombre puede revelar la respuesta a una pregunta de seguridad.

Por ejemplo, si la pregunta es "¿Dónde realizaste tu primer viaje?", una publicación con geolocalización de 2010 se convierte en una pista valiosa. Incluso si cree que su cuenta en redes sociales está protegida con configuraciones de privacidad, siempre existe el riesgo de una filtración de información a través de la cuenta comprometida de un amigo o fotos compartidas.

3. Ingeniería social

Los métodos de ingeniería social permiten obtener engañando al usuario la respuesta a una pregunta de seguridad. Por ejemplo, un estafador puede llamar, hacerse pasar por un empleado de soporte técnico y pedirle que confirme su identidad respondiendo una "pregunta de seguridad formal". Bajo estrés o prisa, muchas personas caen fácilmente en esta trampa.

4. Número limitado de opciones

Algunas preguntas tienen un rango de respuestas muy reducido. Por ejemplo, si su pregunta de seguridad es "¿Cuál es tu segundo nombre?", al atacante le bastará conocer su nacionalidad para reducir las opciones al mínimo. Esto es especialmente peligroso si la cuenta no está protegida por un sistema que limite el número de intentos fallidos.

5. Cambio y olvido

La memoria humana es inconstante. Las respuestas a las preguntas pueden cambiar con el tiempo o simplemente olvidarse. Por ejemplo, su película favorita en 2020 podría ser completamente diferente en 2024. Si olvida la respuesta que proporcionó hace años, no podrá recuperar el acceso a la cuenta.

6. Ataques automatizados

Los ciberdelincuentes utilizan bots para probar respuestas a preguntas de seguridad. Si un servicio permite intentos ilimitados, un bot puede probar diferentes combinaciones hasta encontrar la correcta.

Contexto histórico: por qué las preguntas de seguridad se hicieron populares

La idea de utilizar preguntas de seguridad se remonta a una época en la que la tecnología no ofrecía soluciones avanzadas de autenticación. Era una forma sencilla y económica de mejorar la seguridad. En los años 90, cuando internet empezaba a popularizarse, las preguntas de seguridad eran un método fiable. En aquel entonces, la principal amenaza no eran los hackers, sino el olvido de los usuarios. Sin embargo, con la evolución de la tecnología, los delincuentes adquirieron herramientas que hicieron obsoleta esta método.

Curiosamente, incluso grandes compañías como Yahoo y Microsoft utilizaron preguntas de seguridad en sus servicios durante mucho tiempo. Las vulnerabilidades críticas de este sistema quedaron en evidencia en 2014, cuando el hackeo de la cuenta de la actriz Jennifer Lawrence a través de preguntas de seguridad generó gran revuelo.

Alternativas modernas a las preguntas de seguridad

Hoy en día existen métodos mucho más seguros de autenticación que eliminan prácticamente las vulnerabilidades asociadas a las preguntas de seguridad:

1. Autenticación multifactor (MFA)

Este método requiere verificación mediante varios factores para acceder a una cuenta. Por ejemplo:

• Contraseña (lo que usted sabe).
• Código de una aplicación autenticadora (lo que usted posee).
• Datos biométricos (lo que usted es).

La MFA hace que el hackeo sea casi imposible sin acceso físico a su dispositivo.

2. Llaves de seguridad físicas

Llaves USB como YubiKey proporcionan un nivel adicional de seguridad. Incluso si un atacante conoce su contraseña, sin el dispositivo físico no podrá acceder a su cuenta.

3. Passkeys

Alternativa moderna a las contraseñas basada en claves criptográficas. El sistema genera un par de claves, una pública y una privada, almacenándose esta última solo en el dispositivo del usuario.

Conclusión: deje de usar preguntas de seguridad

Las preguntas de seguridad son una reliquia del pasado que hoy día representa un riesgo más que un beneficio. En un mundo donde las filtraciones de datos ocurren a diario, usar este método es una gran amenaza.

Si desea proteger sus datos de verdad, use métodos modernos de autenticación como MFA, llaves de seguridad físicas o biometría. Sus datos merecen una protección segura, y las preguntas de seguridad no son la solución.