Una pregunta de seguridad es una forma de secreto compartido [1] que se utiliza como autenticador . Es comúnmente utilizado por bancos , compañías de cable y proveedores inalámbricos como una capa de seguridad adicional.
Las instituciones financieras han utilizado preguntas para autenticar a los clientes desde al menos principios del siglo XX. En un discurso de 1906 en una reunión de una sección de la Asociación Estadounidense de Banqueros , el banquero de Baltimore William M. Hayden describió el uso de preguntas de seguridad por parte de su institución como complemento a los registros de firmas de los clientes . Describió las tarjetas de firma utilizadas para la apertura de nuevas cuentas , que tenían espacios para el lugar de nacimiento del cliente, "residencia", apellido de soltera de la madre, ocupación y edad. [2]
Hayden señaló que algunos de estos elementos a menudo se dejaban en blanco y que la información de "residencia" se usaba principalmente para contactar al cliente, pero el apellido de soltera de la madre era útil como una "prueba sólida de identidad". Aunque observó que era raro que alguien ajeno a la familia del cliente intentara retirar dinero de la cuenta de un cliente, dijo que el apellido de soltera de la madre era útil para la verificación porque rara vez se conocía fuera de la familia y que incluso las personas que abrían las cuentas eran "A menudo no estoy preparado para esta pregunta". [2] De manera similar, según la práctica moderna, un proveedor de tarjetas de crédito podría solicitar el apellido de soltera de la madre de un cliente antes de emitir un reemplazo para una tarjeta perdida. [1]
En la década de 2000, las preguntas de seguridad se hicieron de uso generalizado en Internet . [1] Como forma de autoservicio de restablecimiento de contraseña , las preguntas de seguridad han reducido los costos del servicio de asistencia técnica de tecnología de la información . [1] Al permitir el uso de preguntas de seguridad en línea , se vuelven vulnerables al registro de pulsaciones de teclas y ataques de adivinación por fuerza bruta , [3] así como al phishing . [4] Además, mientras que un representante humano de servicio al cliente puede ser capaz de hacer frente adecuadamente a respuestas de seguridad inexactas, las computadoras son menos hábiles . Como tal, los usuarios deben recordar la ortografía exacta y, a veces, incluso las mayúsculas y minúsculas de las respuestas que proporcionan, lo que plantea el riesgo de que se escriban más respuestas, exponiéndolos a robo físico.
Debido a la naturaleza común de las redes sociales, muchas de las preguntas de seguridad tradicionales más antiguas ya no son útiles ni seguras. Una pregunta de seguridad es simplemente otra forma de mecanismo de contraseña. Por lo tanto, una pregunta de seguridad no debe compartirse con nadie más ni incluir información fácilmente disponible en sitios web de redes sociales, y debe ser simple, memorable, difícil de adivinar y constante en el tiempo. Al comprender que no todas las preguntas funcionarán para todos, RSA (un proveedor de seguridad de red estadounidense, una división de EMC Corporation) ofrece a los bancos 150 preguntas para elegir. [1]
Muchos han cuestionado la utilidad de las preguntas de seguridad. [5] [6] [7] El especialista en seguridad Bruce Schneier señala que, dado que son datos públicos sobre una persona, son más fáciles de adivinar para los piratas informáticos que las contraseñas. Los usuarios que saben esto crean respuestas falsas a las preguntas y luego olvidan las respuestas, frustrando así el propósito y creando un inconveniente que no vale la pena invertir. [8]