Con el aumento del robo de datos y los ciberataques, algunas personas han comenzado a confiar en un truco poco convencional para proteger sus cuentas: ingresar información incorrecta al registrarse o responder preguntas de seguridad. Es como escribir el nombre falso de tu profesor favorito o una respuesta aleatoria a la pregunta de en qué ciudad naciste. La idea parece simple, pero plantea una pregunta importante: ¿este tipo de "engaño positivo" realmente ayuda a proteger tus cuentas? En este artículo, exploramos el concepto desde todos los ángulos, explicando cuándo es efectivo y cuándo puede hacer más daño que bien.
Estamos en el año 2025 y, a pesar de todos nuestros administradores de contraseñas y claves de acceso, el robo de cuentas en línea sigue siendo común. Una forma en que me protejo de estos ataques es la antigua tradición de mentir.
¿Qué son las preguntas de seguridad?
Las preguntas de seguridad son una forma de autenticación multifactor (MFA) donde, después de ingresar su contraseña, se espera que responda una pregunta que “sólo usted sabe”. Estas preguntas incluyen datos como el nombre de su primera mascota o su ciudad natal. Es una de las formas más antiguas de autenticación multifactor en Internet debido a su simplicidad.
A pesar de su antigüedad y de la difusión de métodos de autenticación multifactor más avanzados, las preguntas de seguridad siguen siendo populares en línea. De hecho, tuve que crear una cuenta importante la semana pasada, lo que requirió crear tres preguntas de seguridad diferentes. Para proteger la seguridad de mi cuenta, no les respondí con la verdad.
¿Por qué las preguntas de seguridad se consideran inseguras?
Aunque es un método simple de autenticación multifactor (MFA), es muy sencillo. Se basa en gran medida en una premisa falsa: que estas preguntas sólo las puedo responder yo. Por ejemplo, muchas personas conocen el nombre de su abuela al nacer. Está en registros judiciales, documentos genealógicos, obituarios y quién sabe dónde más.
He notado que muchas de las preguntas de seguridad asumen que no creciste con Internet. Si tuviste acceso a Internet cuando eras niño, especialmente a blogs y redes sociales, probablemente aún encuentres publicaciones circulando sobre tu primera mascota. De hecho, sé exactamente dónde puedes buscar en línea para responder preguntas como ésta sobre mí.
A esto se le puede llamar inteligencia de fuentes abiertas, a menudo abreviada como OSINT. Si sabe mucho sobre OSINT, sabrá lo fácil que es encontrar información precisa sobre alguien en Internet utilizando herramientas simples.
Además de navegar por Internet, hackear preguntas de seguridad es tan fácil como tener una conversación conmigo o con alguien cercano a mí. Esto se llama ingeniería social. Por ejemplo, alguien podría hacerse pasar por una figura de autoridad, como un funcionario de Hacienda, y pedirme que “confirme mi identidad” respondiendo una pregunta como el nombre de nacimiento de mi abuela. Para evitar que sus preguntas de seguridad se vean comprometidas, debe estar siempre alerta ante estos ataques ocultos.
Pero podemos ir más allá. Supongamos que usted y todos los que conoce están familiarizados con la ingeniería social. También debes darte cuenta de que las personas que te conocen pueden aprovecharse de este hecho. Pregúntele a cualquier sobreviviente de abuso: solo porque alguien sea cercano a usted no significa que sea confiable. Suponer que alguien lo suficientemente cercano a usted como para saber las respuestas a sus preguntas de seguridad también puede confiar en que podrá acceder a su cuenta es otra suposición falsa acerca de las preguntas de seguridad.
La mejor opción para las preguntas de seguridad: Mentira
Con todo eso en mente, dejé de responder preguntas de seguridad honestamente. Si tengo que usar una pregunta de seguridad para proteger mi cuenta y que no sea hackeada, respondo con una respuesta inventada y extraña. ¿Donde naciste? Narnia. ¿Cual fue mi primera mascota? Un ciervo llamado Bob. Estas no son mis respuestas reales, por supuesto, pero entiendes la idea.
Algunos van más allá y ni siquiera ponen ninguna palabra conocida en la respuesta a la pregunta de seguridad. ¿Cuál era el nombre de nacimiento de tu abuela? Quizás H41%hg67Vc0s5^jQ. Esto es similar a usar una contraseña secundaria fuerte y hace que su pregunta de seguridad sea resistente a ataques de diccionario. Sin embargo, no estoy completamente convencido de que esto sea necesario, ya que mi proveedor de cuenta en línea probablemente bloqueará mi cuenta si alguien intenta más de unas pocas conjeturas para la pregunta de seguridad.
Bueno, no deberías hacer nada de esto si no estás completamente seguro de memorizar tus respuestas. Las preguntas de seguridad tradicionales tienen una gran ventaja: son fáciles de recordar. Mentir en tus preguntas de seguridad te priva de este beneficio, porque ahora tienes que memorizar datos inexactos sobre ti mismo.
Puede ser útil escribir estas respuestas, tal vez en forma de árbol genealógico o de una historia corta que describa una vida imaginaria. Si eres como yo, dibujar imágenes de personas, lugares y mascotas imaginarias también te ayudará.
Por supuesto, asegúrate de guardar todo lo que escribas en un lugar seguro. Puedes guardarlo en un administrador de contraseñas o, para mayor seguridad, en un administrador de contraseñas independiente. Lo importante es no perder el acceso a tu cuenta manteniéndola segura.
El uso de información incorrecta en algunos campos puede proporcionar cierto nivel de protección, especialmente contra ataques que se basan en información personal filtrada. Pero no sustituye el uso de contraseñas seguras, la habilitación de la autenticación de dos factores y el monitoreo regular de la actividad de la cuenta. Si decide utilizar este método, asegúrese de documentar la información falsa que utilizó en un lugar seguro para no perder la capacidad de recuperar su cuenta más adelante. Un truco inteligente solo está completo cuando está bien pensado y se integra con otras medidas de seguridad básicas.
