See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/316338446

Nivel de Seguridad en las Contraseñas de WebSISE, PUCMM.

Research · April 2017

DOI: 10.13140/RG.2.2.19205.14563

CITATIONS READS
0 383

1 author:

Miguel Solano
Pontificia Universidad Católica Madre y Maestra
1 PUBLICATION   0 CITATIONS   

SEE PROFILE

All content following this page was uploaded by Miguel Solano on 21 April 2017.

The user has requested enhancement of the downloaded file.

 Pontificia Universidad Católica Madre y Maestra
Facultad de Ciencias de la Ingeniería
Departamento de Ingeniería Telemática

Temas Especiales
ST-ITT-521-001

Nivel de seguridad en las contraseñas de WebSISE, PUCMM.

Presentado por:
María Amelia Sánchez 2012-0298
Miguel E. Solano Abreu 2012-0091
Presentado a:
Ing. Arlene Estévez

En fecha:
05/12/2016
Santiago de los Caballeros, República Dominicana

1
Contenido

Resumen.......................................................................................................................................... 3
Introducción .................................................................................................................................... 4
Marco teórico .................................................................................................................................. 6
1. Telecomunicaciones ................................................................................................................ 6
1.1 Origen y Evolución .............................................................................................................. 6
2. Contraseñas .............................................................................................................................. 9
2.1 Historia y Evolución ............................................................................................................ 9
2.2 Importancia ........................................................................................................................ 12
2.3 Tipos de ataques de contraseñas ........................................................................................ 13
2.4 Políticas de seguridad de contraseñas ................................................................................ 17
2.5 Practicas recomendadas para el usuario ............................................................................. 20
2.6 La entropía, complejidad de la contraseña ......................................................................... 22
3. Ingenierías en la Universidades de República Dominicana .................................................. 23
3.1 Universidades Públicas y Privadas. ................................................................................... 23
3.2 Pontificia Universidad Católica Madre y Maestra. ............................................................ 24
3.3 Ingenierías en la Pontificia Universidad Católica Madre y Maestra. ................................ 25
3.4 Web de Sistema Integrado de Servicios al Estudiante (WebSISE) ................................... 27
Revisión de la Literatura ............................................................................................................... 28
Método del estudio ........................................................................................................................ 37
Resultados ..................................................................................................................................... 46
Discusiones ................................................................................................................................... 56
Referencias Bibliográficas ............................................................................................................ 59
Apéndice ....................................................................................................................................... 61

2
Resumen

El estudio consiste en una investigación sobre los niveles de seguridad en las contraseñas

implementadas en el WebSISE (Web de Sistema Integrado de Servicios al Estudiante), de los

estudiantes de la facultad de ingeniería, de la Pontificia Universidad Católica Madre y Maestra

(PUCMM), campus Santiago. Fue realizado mediante una encuesta aplicada en total a 93

estudiantes de las diversas ingenierías, en el semestre de agosto-diciembre en el 2016. Para

obtener el nivel de seguridad de las contraseñas de los encuestados se implementó un algoritmo

en el cual se toma en cuenta la longitud de la contraseña y la cantidad de los diversos tipos de

caracteres (letras minúsculas, letras mayúsculas, números y símbolos). La implementación de

este algoritmo en las respuestas de las encuestas resultó en que los estudiantes de la Ingeniería

Electrónica presentaron el mayor índice o nivel de seguridad.

Estos resultados obtenidos sirvieron como base para refutar la hipótesis establecida en la

investigación: “Los estudiantes de Ingeniería Telemática presentan el mayor nivel de seguridad

en las contraseñas”.

3
Introducción

La seguridad en las contraseñas es un tema de alta importancia en la actualidad, debido a los

grandes daños que pueden ocurrir en la ausencia de esta. Una manera efectiva de mantener los

sistemas y la data confidencial de manera segura, es midiendo justamente el nivel de seguridad y

analizando si se están implementando lo que se conoce como buenas prácticas en el tema de

seguridad.

El presente trabajo consiste en un estudio realizado con el objetivo general de conocer qué tan

seguras son las contraseñas implementadas por los estudiantes de Ingeniería en el WebSISE de

PUCMM, Santiago. Como objetivos específicos, se desea conocer las respuestas a las siguientes

preguntas de investigación que se definieron en el estudio:

- ¿Son más seguras las contraseñas de los estudiantes de Ingeniería Telemática y Sistemas

que los de otras Ingenierías?

- ¿Influye en la seguridad de las contraseñas que la carrera esté relacionada o no con

tecnologías?

- ¿Los estudiantes de Telemática muestran la mayor seguridad en su contraseña?

Este estudio pretende responder a estas preguntas y verificar la veracidad de la siguiente

hipótesis: “Los estudiantes de Ingeniería Telemática y Sistemas utilizan contraseñas más seguras

que los estudiantes de las demás carreras de Ingeniería”.

4
La razón fundamental para realizar este tipo de estudios es, investigar si las contraseñas creadas

para el uso de WebSISE son realmente seguras, ya que la falta de seguridad en estas crea una

vulnerabilidad en la red de la universidad. Es por esto que este estudio, se basa en medir el nivel

de seguridad de estas contraseñas, específicamente en los estudiantes de Ingeniería del campus

de Santiago, PUCMM.

El presente trabajo de investigación servirá de muestra a los encargados de seguridad de redes en

la universidad mencionada, para establecer mejores políticas en la creación de las contraseñas, en

caso que sea necesario. Además, será útil debido a que el estudio presenta información de los

conocimientos que tienen los usuarios sobre este tema, y lo que estos piensan sobre el hecho de

tener que cambiar la contraseña cada 3 meses en el Websise; siendo esta una de las políticas

establecidas para el WebSISE de PUCMM. Con este estudio, se podrá tomar decisiones para

mejorar lo que es la seguridad en las contraseñas creadas para WebSISE, ya que se proveen

recomendaciones en base a los resultados del estudio.

5
Marco teórico

1. Telecomunicaciones

1.1 Origen y Evolución

El término de Telecomunicaciones surge en Grecia y significa “comunicación a

distancia” (Brian B., 2006). Cabe destacar, que las telecomunicaciones han existido desde

que el hombre existe, pues siempre ha surgido la necesidad de comunicarse con los

demás. La diferencia está en las diversas formas que ha buscado el hombre para

comunicarse, y la efectividad de éstas a medida que va evolucionando. A continuación, se

presentará brevemente, cómo ha evolucionado las telecomunicaciones.

- En los tiempos antiguos, la forma de comunicación era el uso de la luz (por ejemplo,

el fuego) y el sonido (baterías) (Brian B., 2006). Sin embargo, este tipo de

comunicación no era eficiente y llevó al hombre a seguir innovando y a buscar

mejores formas de comunicación.

- En 1800 se podría decir que empezó la era de las telecomunicaciones modernas, con

la invención de la celda eléctrica por Alessandro Volta (Brian B., 2006). Con esto, el

hombre determinó que con las ondas electromagnéticas se podía transportar

información y quizá de la manera más rápida posible (idealmente a la velocidad de la

luz).

6
- Samuel Morse, en 1843, inventó el código Morse. Esta fue una forma de

comunicación donde Morse propuso que a cada letra y número se le asignara un

código ternario (es decir un punto, línea y un espacio). Junto con esta tecnología de

Morse, y el hecho de que se encontrara una forma de hacer que las señales fueran

audibles, las telecomunicaciones dieron un giro (Brian B., 2006).

- 1870: surgió una competencia sobre quién haría de primero el invento del teléfono.

Alexander Graham Bell obtuvo la patente de la invención del primer teléfono, a pesar

de que otra persona contribuyó al invento del mismo (Brian B., 2006).

- A finales de 1870 empieza la construcción de las líneas telefónicas. Se construyó la

primera línea telefónica entre Boston y Somerville en Massachusetts. Para finales de

1880 ya se habían construido cerca de 48,000 teléfonos en los Estados Unidos

(Gardiner, 2013).

- Luego de haber creado las líneas telefónicas, se hizo por primera vez en 1915 la

conexión telefónica entre San Francisco y New York. De esta manera, las personas

ubicadas en New York podrían comunicarse con las personas en San Francisco. Ya

para 1926 se hizo una conexión entre New York y Londres. Las telecomunicaciones a

nivel de telefonía iban creciendo más y más a medida que pasaba el tiempo y

evolucionaban las tecnologías (Gardiner, 2013).

7
- En 1923 se inventó la televisión (Gardiner, 2013).

- En 1946 se creó el Plan Numérico Nacional (NationalNumbering Plan). Aquí se

especificaban algunos códigos que iban a tener las regiones, países, y hasta los

abonados, de manera que una llamada pudiera realizarse correctamente (Gardiner,

2013).

- Por otro lado, en el año 1946 también se creó lo que se denominó ENIAC. Primera

computadora que marca la era de la informática (Brian B., 2013).

- A partir de los años 70, se creó el primer teléfono móvil. El inventor (y considerado

como padre del teléfono móvil) fue Martin Cooper mientras trabajaba para Motorola

(Gardiner, 2013).

- En 1991 se lanza la tecnología 2G en Finlandia en el estándar de GSM. En 2001 se

introdujo ya la tecnología 3G ofreciendo velocidades más altas que las tecnologías

anteriores, en cuanto a la data se refiere (Gardiner, 2013).

- En 2012 se introduce el servicio de 4G en Reino Unido. Esta tecnología ofrecía

velocidades aún mayores que la tecnología 3G (Gardiner, 2013).

8
2. Contraseñas

2.1 Historia y Evolución

Una contraseña es un conjunto de caracteres que permite a un usuario tener acceso a un

archivo, a un ordenador, o a un programa.

La creación de las contraseñas surgió por la necesidad de controlar de que una persona no

autorizada acceda a un ordenador o dispositivo que no está supuesto a tener acceso. Es

decir, las contraseñas surgieron por la necesidad de controlar o evitar que intrusos entren

a los sistemas privados. Es por esto que se requiere que las contraseñas sean lo más

seguras posibles para evitar el robo de las mismas. A medida que pasa el tiempo, surgen

ataques hacia las contraseñas de los usuarios, y es por esto que las políticas de seguridad

de las contraseñas, han incrementado.

Pero antes de comenzar con la evolución o los cambios que se han tenido al momento de

crear las contraseñas, primero ¿qué es una política de seguridad de las contraseñas? Una

política de contraseñas es un conjunto de requerimientos que debe tener la contraseña

para que sea considerado como segura. En estas políticas se aclaran la longitud que debe

tener la contraseña, y cómo se debería crear (si utilizando mayúsculas o minúsculas, etc.).

9
A continuación, se mostrará cómo han ido evolucionando las contraseñas:

- La primera vez que se utilizaron las contraseñas fue con la creación de una

computadora de contraseñas. Es decir, el MIT creó una computadora de tiempo

compartido, donde cada usuario tendría que poner sus credenciales para poder

acceder al sistema. La idea bajo esta innovación en ese tiempo, era que muchos

usuarios pudieran utilizar la computadora sin necesidad de tener una por usuario, ya

que el costo de una computadora era alto en aquellos tiempos (1961). A esta

computadora de tiempo compartido se le llamó CTSS (Computer Time-

SharingSystem) (Nielsen P, 2012).

Para ese entonces, el sistema almacenaba las contraseñas en un lugar no tan seguro, y

las contraseñas tampoco eran tan complejas. La razón de esto es que en ese tiempo no

había las herramientas que se tienen en la actualidad para romper o robar las

contraseñas (Nielsen P, 2012).

En 1962, un investigador –Allan Scherr – imprimió todas las contraseñas que se

almacenaba en el sistema CTSS, lo que implicó la búsqueda de algo que pudiera

hacer que las contraseñas sean más seguras o almacenarlas en un lugar seguro. Desde

este momento se empieza a considerar las políticas de seguridad en las contraseñas

(Nielsen P, 2012).

10
- A medida que las computadoras fueron siendo más asequibles y utilizadas por la

mayoría, la seguridad en la contraseña incrementó. En la década de los 60, Robert

Morris –un criptógrafo – inventó la encriptación de una vía denominada como

“hashing”. La encriptación es una forma de codificar la información de manera que

sólo las personas que tengan acceso puedan verla. El hashing lo que hacía era traducir

cada contraseña a un valor numérico. Esto hacía que la persona que robara la

contraseña, no viera la contraseña en sí sino el valor del hash (Hiscott R., 2013).

Sin embargo, este método de hashing no fue el mejor porque pudo ser hackeado e

incluso en un website listaron todas las contraseñas hash (es decir, las contraseñas que

aun siendo encriptadas pueden ser adivinadas). Esto llevó a seguir buscando mejores

técnicas para proteger las contraseñas.

- La necesidad de seguir protegiendo aún más las contraseñas, conllevó a la creación de

un algoritmo denominado DES (Data Encryption Standard) en 1979. Dicho

algoritmo, que servirá para encriptar de mejor forma las contraseñas, fue inventado

por la Federación Nacional de Estándares (National Bureau of Standards). Con la

creación de este algoritmo, se pudo definir más o menos qué debía incluirse en una

contraseña para que sea calificada como segura (Hiscott R., 2013).

11
 DES permaneció como el algoritmo estándar para proteger las contraseñas

aproximadamente por 20 años, hasta que un hacker encontró que se podría romper la

llave DES en sólo 56 horas. Esto condujo a que se siguiera implementando algoritmos

más robustos y seguros.

- Luego de DES se creó el algoritmo AES (AdvancedEncryption Standard), el cual

tomaría aproximadamente 2^55 años para romperlo (Nielsen P, 2012).

En general, la seguridad que se utiliza para proteger las contraseñas siempre irá

evolucionando debido a que los ataques a ésta siguen evolucionando de igual forma. Así

como existen herramientas para proteger las contraseñas de los intrusos, existen

herramientas para romper esas contraseñas que son “seguras”. La seguridad de las

contraseñas debe llevar un paso adelante a los hackers para evitar que estos intrusos

tengan acceso a información incluso confidencial.

2.2 Importancia

La importancia de las contraseñas es que protegen la información de los usuarios. “Una

contraseña es tan importante como la información que protege. Con ella se cuida que la

información privada no se vuelva del dominio público” (Castro Ayora M. J., 2009). Con

las contraseñas se evita que los intrusos no puedan leer o tener acceso a las cosas privadas

de un usuario. De ahí nace también la importancia o más bien por qué una contraseña

debe ser lo más segura posible.

12
 No sólo basta con saber que las contraseñas son importantes porque protegen la

información, sino que es necesario saber qué ocurre cuando las contraseñas no cumplen

con los requerimientos de una contraseña buena o segura. Para saber la respuesta de esta

interrogante, se debe tener conocimiento sobre los ataques que generalmente se hacen a

los usuarios para obtener su contraseña o sus credenciales en general. Este tema se

abundará con más detalles en la sección 2.3.

2.3 Tipos de ataques de contraseñas

Los ataques de contraseñas son aquellas herramientas que se utilizan para obtener la

contraseña de la víctima. A continuación, se explicará brevemente cuáles son estos tipos

de ataques que se utilizan para obtener las contraseñas:

- Ataque de Diccionario

Este tipo de ataque utiliza un archivo que contiene palabras que están en el

diccionario (Winder D., 2011). Es un método utilizado para romper las contraseñas

probando cada palabra de diccionario como contraseña hasta encontrar la real.

Los ataques de diccionario funcionan porque aún existen sistemas en los que las

contraseñas utilizadas son palabras ordinarias que se pueden encontrar en un

diccionario. Este tipo de ataques no funcionaría bien cuando se hace una mezcla de

letras mayúsculas y minúsculas, y cuando se utilizan palabras que obviamente no

están en el diccionario (Rouse M., 2005).

13
 Es por esto que en muchas políticas de seguridad en las contraseñas se le recomienda

al usuario no utilizar palabras de diccionario como contraseña. Este ataque

generalmente se implementa enviando correos spams.

- Ataque de fuerza bruta

Este es otro método de romper las contraseñas. A diferencia del ataque anterior, este

puede obtener contraseñas alfanuméricas (combinación de letras con números)

haciéndolo a fuerza bruta, como su nombre lo indica. Es decir, trata de probar todas

las combinaciones que les sea posible hasta encontrar la contraseña que buscaba.

Puede encontrar contraseñas desde aaa1 hasta zzz10 (Winder D., 2011).

Es una de las últimas herramientas que utilizaría un atacante para romper una

contraseña, ya que este tipo de ataques es uno de los menos eficientes y que más

tiempo se toma para cumplir con el objetivo (Schneier, 2012).

Este método de fuerza bruta es eficiente solo para contraseñas que son cortas, y

empieza a ponerse difícil cuando las contraseñas tienen como longitud mínima 7.

Otro dato importante sobre este tipo de ataque es que el atacante debe saber por lo

menos cuál es la longitud de la contraseña que anda buscando. Sin embargo, con este

tipo de ataque siempre se podrá encontrar la contraseña, pero el dato está en qué

tiempo lo hará (Schneier, 2012).

14
- Ataque de RainbowTable

El ataque de RainbowTable consiste en una lista de hashes precomputados –el valor

numérico de una contraseña encriptada que se utilizan en la mayoría de los sistemas–

y esos son los hashes de todas las combinaciones posibles de contraseñas (Winder D.,

2011). Este ataque va dirigido a aquellos algoritmos que utilizan el hash como

método de encriptación, como por ejemplo MD5 (Schneier, 2012).

Una manera de protegerse contra este ataque es tomar en consideración otros tipos o

métodos de encriptación que sean más robustos.

- Phishing

Es una forma de pedirle al atacante por sus credenciales. Por ejemplo, si el atacante

quisiera saber las credenciales que utiliza la persona para entrar a Facebook el

atacante hará lo siguiente:

a) Creará un clon de la página de Facebook, para engañar a la víctima haciéndole

creer que es la página original de Facebook.

b) Le enviará un correo a la víctima con el link de la página clonada

El atacante dirá algo por el correo para persuadir a la víctima a que abra el link. De

esta forma, el usuario introducirá sus credenciales y el atacante podrá ver cuál es la

contraseña.

15
- Ingeniería Social

La ingeniería social consiste en hacerse pasar por ciertas personas (quizá que formen

parte de la empresa) para obtener información como las credenciales. Por ejemplo, un

atacante podría hacerse pasar por un profesional IT de seguridad de la empresa “x”,

llamar por teléfono a esa empresa “x” y entablar una conversación hasta obtener las

credenciales.

- Malware

El Malware es cualquier tipo de programa cuyo objetivo sea dañar un sistema

(Rivero,2016). El malware se podría utilizar para instalar en el usuario una

herramienta utilizada por los hackers llamada KeyLogger.

Con el Keylogger el atacante puede observar todo lo que hace la vícitima e incluso

tomar printscreen durante las sesiones (Winder D., 2011). Esta herramienta graba y

registra todas las pulsaciones de las teclas de la víctima, y de esta forma el atacante

puede obtener las credenciales de la víctima, sin el consentimiento de ésta.

- Guessing

Es el método que utilizan los atacantes para obtener las contraseñas de sus víctimas,

utilizando la lógica y tratando de adivinar qué contraseña pudo haber creado esa

persona. Generalmente las contraseñas que se pueden adivinar son aquellas que el

usuario crea por lo fácil que es de recordar. Por otro lado, los atacantes utilizan este

método sólo cuando conocen a la víctima (Winder D., 2011).

16
2.4 Políticas de seguridad de contraseñas

Las políticas de contraseñas son una serie de reglas diseñadas para mejorar la seguridad

de computadoras, mediante la realización de sugerencias a los usuarios para implementar

contraseñas más fuertes, con mayor complejidad, y un uso correcto de las mismas.

Estas políticas son parte de las regulaciones utilizadas en algunas empresas o enseñadas

en entrenamientos para que los usuarios mejoren sus conocimientos sobre la seguridad.

Estas reglas o políticas que utilizan las organizaciones para aplicárselas a los usuarios

cubren una gran amalgama de características de las contraseñas algunos generales,

tamaño mínimo de 12 caracteres; otros más específicos, no utilizar su nombre o apellido;

por lo que es posible encontrar que cada organización presenta sus propias políticas de

contraseñas, algunas pueden ser similares, pero otras solo se encuentran en esa empresa.

Políticas de contraseñas, de mayor implementación por las entidades, usadas al momento

de la creación de las mismas por los usuarios.

- Tamaño de contraseña.

En muchas organizaciones se encuentra que se requiere una longitud mínima de la

contraseña. Lo más típico en una contraseña de ocho caracteres, y como es lógico las

contraseñas más largas suelen ser más seguras porque estas suelen ser más difíciles de

romper que las breves.

17
- Fortaleza de la contraseña.

Esta consiste en una serie de requisitos que, son sugeridos o impuestos y, ayudan en

aumentar la complejidad de la contraseña que el usuario pueda elegir. Como, por

ejemplo:

o El uso de mayúsculas y minúsculas (sensibilidad de mayúsculas y

minúsculas)

o Inclusión de uno o más dígitos numéricos

o La inclusión de caracteres especiales, como @, #, $

o Prohibición de palabras encontradas en una lista negra de contraseñas

o Prohibición de palabras encontradas en la información personal del

usuario

o Prohibición del uso del nombre de la empresa o una abreviatura

o Prohibición de contraseñas que coincidan con el formato de las fechas del

calendario, número de licencias, de teléfono, u otras combinaciones de

números comunes.

- Historial de contraseñas.

Es establecer la frecuencia con la que se pueden volver a usar las contraseñas

antiguas. Con esta política, se puede evitar que los usuarios alternen entre varias

contraseñas comunes. Básicamente la entidad realiza un seguimiento de las

contraseñas antiguas mediante un historial de contraseñas único para cada usuario

para que estos no puedan volver a utilizar ninguna de las contraseñas almacenadas.

18
- Duración de contraseña.

Algunas políticas requieren que los usuarios cambien las contraseñas periódicamente,

generalmente cada 90 o 180 días. Aunque esta política parece de gran ayuda sus

beneficios son discutibles.

- Listas negras de contraseñas.

Las listas negras de contraseñas son listas de contraseñas que siempre están

bloqueadas. Las listas negras contienen contraseñas construidas con combinaciones

de caracteres que de otro modo cumplen con la política de la empresa, pero que no

deben utilizarse porque han sido consideradas inseguras por una o más razones, como

ser fácilmente adivinadas, siguiendo un patrón común o divulgación pública de

violaciones de datos anteriores. Los ejemplos más comunes son Password1,

Pa$$aw0rd, Qwerty123 o Qaz123wsx.

19
2.5 Practicas recomendadas para el usuario.

Las contraseñas más difíciles de romper, para una longitud determinada y conjunto de

caracteres, son cadenas de caracteres aleatorios; si es suficiente como para resistir ataques

de fuerza bruta (porque hay muchos caracteres) y adivinar ataques (debido a la entropía

alta). Sin embargo, tales contraseñas suelen ser las más difíciles de recordar. La

imposición de un requisito para dichas contraseñas en una política de contraseñas puede

alentar a los usuarios a anotarlas, almacenarlas en PDA o teléfonos celulares o

compartirlas con otras personas como una salvaguarda contra fallas de memoria, es decir,

la posibilidad de que se le olviden. A continuación, se presenta las prácticas que se

recomiendan que el usuario mantenga presente para proteger su contraseña.

- No compartir sus contraseñas con otras personas.

- Abstenerse de escribir contraseñas y en caso de hacerlo mantenerlas en sitios seguros.

- No compartir información personal que ayude a descubrir la contraseña.

- No utilizar la misma contraseña para más de una cuenta, en caso de utilizar la misma

contraseña que se en cuentas y aplicaciones de baja seguridad, periódicos en línea,

sitios web de entretenimiento, etc.

- En las opciones de recuperación de contraseña que implementa preguntas de

verificación, utilizar preguntas que no se obtenga la respuesta por medio de pishing o

ingeniería social.

- Realizar cambios de contraseñas de manera regular.

- Si se utiliza una contraseña en una computadora no confiable, se debe de cambiar la

contraseña lo más pronto posible.

20
- No mantener las contraseñas por defecto del sistema.

No teclear la contraseña si hay alguien mirando.

21
2.6 La entropía, complejidad de la contraseña

Es habitual en la industria informática especificar la fuerza de la contraseña en términos

de entropía de la información, medida en bits, un concepto de la teoría de la información.

En lugar de la cantidad de conjeturas necesarias para encontrar la contraseña con certeza,

se da el logaritmo base-2 de ese número, que es el número de "bits de entropía" en una

contraseña. Una contraseña con, por ejemplo, 42 bits de fuerza calculada de esta manera

sería tan fuerte como una cadena de 42 bits elegidos al azar, por ejemplo, con un

lanzamiento de moneda justo. Dicho de otra manera, una contraseña con 42 bits de fuerza

requeriría 242 intentos de agotar todas las posibilidades durante una búsqueda de fuerza

bruta. Por lo tanto, la adición de un bit de entropía a una contraseña duplica el número de

suposiciones necesarias, lo que hace que la tarea de un atacante sea dos veces más difícil.

En promedio, un atacante tendrá que probar la mitad de las contraseñas posibles antes de

encontrar la correcta.

22
3. Ingenierías en la Universidades de República Dominicana

3.1 Universidades Públicas y Privadas.

La definición otorgada a universidad por la real academia de la lengua española es:

“Institución de enseñanza superior que comprende diversas facultades, y que confiere los

grados académicos correspondientes. Según las épocas y países puede comprender

colegios, institutos, departamentos, centros de investigación, escuelas profesionales,

etc.”

Las universidades públicas son aquellas instituciones que son en gran medida apoyadas

por fondos estatales. Las universidades privadas, por otro lado, son apoyadas por la

matrícula, la dotación, y las donaciones de antiguos alumnos, contribuyentes y amigos.

En la provincia de Santiago de los caballeros en República Dominicana, existen

actualmente 5 universidades de las cuales solo una califica como una universidad

pública la cual es el Instituto Superior de Agricultura (ISA), mientras que las otras 4, son

consideradas como privadas son la Universidad Tecnológica de Santiago (UTESA),

Pont. Univ. Católica Madre y Maestra (PUCMM), Universidad Abierta para Adultos

(UAPA), Universidad Nacional Evangélica (UNEV).

23
3.2 Pontificia Universidad Católica Madre y Maestra.

La Pontificia Universidad Católica Madre y Maestra (PUCMM), institución católica,

privada, que proporciona servicio a la comunidad. En septiembre 9 de 1962 fue

establecida por la Conferencia del Episcopado Dominicano. Es una institución de

educación superior y que está abierta a todas las personas sin distinción de raza, clase

social, ideología o creencias religiosas. Con la misión de “Buscar soluciones científicas a

los desafíos que enfrenta el pueblo dominicano y su entorno global, y formar

profesionales líderes, dotados de principios éticos, humanísticos y cristianos, necesarios

para el desarrollo material y espiritual de la sociedad, manteniendo el carácter de espacio

abierto para la libre discusión de las ideas” y con su visión de “Ser una institución de

educación superior apegada al humanismo cristiano, de referencia nacional y regional

por la calidad y pertinencia de su quehacer y con programas acreditados

internacionalmente”(PUCMM)

Según se establece en los Estatutos el nombre oficial de la Institución es: Pontificia

Universidad Católica Madre y Maestra. Sus siglas son: PUCMM.

En la actualidad consta de las facultades de Ciencias Sociales y Administrativas,

Ciencias y Humanidades, Ciencias de la Ingeniería y Ciencias de la salud. Dos sedes,

siendo el principal, el campus en Santiago de los Caballeros y el campus de Santo

Domingo, así como una extensión en Puerto Plata.

24
3.3 Ingenierías en la Pontificia Universidad Católica Madre y Maestra.

Las ingenierías en la Pont. Univ. Católica Madre y Maestra están bajo la facultad del

mismo nombre, Ciencias de la Ingeniería, esta faculta tiene la misión de:

“Formar ingenieros, a través de la búsqueda, desarrollo y divulgación del conocimiento

y de satisfacer las necesidades humanas y sociales de las áreas de aplicación particular

de las carreras que componen la Facultad, la cual está dotada de principios éticos,

humanísticos y cristianos, tanto a nivel docente como investigativo, con carácter

innovador y competitivo, enfrentando así el reto de educar a los ingenieros del futuro,

con perfiles solucionadores de problemas, creadores de nuevos conocimientos, capaces

de llegar más allá de simples implementaciones tecnológicas e inspirados por la sed de

la innovación.”(PUCMM)

Las ingenierías que se encuentra bajo esta faculta son 6, a continuación, se mencionan y

se expresa de manera genera los conocimientos que cada una forma a los estudiantes de

las ingenierías, extraídos de las informaciones proporcionadas en la página de la

universidad:

- Ingeniería Civil: se relaciona con actividades de diseño, construcción y operación de

proyectos de infraestructura en las áreas de edificación, hidráulica, transportación,

geotecnia y ambiental.(PUCMM)

25
- Ingeniería Electromecánica: El Ingeniero Electromecánico se dedica a la selección,

instalación y mantenimiento de equipos eléctricos y/o mecánicos, sistemas de

refrigeración y climatización; al diseño, rediseño y adaptación de máquinas y

procesos de producción y a la dirección y supervisión de operaciones.(PUCMM)

- Ingeniería Electrónica: el ingeniero electrónico es un profesional, con formación

integral, capacidad para el diseño, construcción, mantenimiento, operación de equipos

y sistemas electrónicos para satisfacer necesidades específicas.(PUCMM)

- Ingeniería Industrial: inculca conocimientos que le permitirá planear, diseñar y dirigir

procesos y obtener su adecuada valoración técnica, comercial, económica y social,

apegado a los valores éticos y morales del humanismo cristiano.(PUCMM)

- Ingeniería Sistemas y Computación: especialización en el desarrollo de software a

nivel científico, desarrollando modelos abstractos y tecnologías que avancen las

ciencias de la computación y a nivel aplicativo-profesional, conceptualizando,

planificando, diseñando, implementando y administrando soluciones de sistemas en

software para las necesidades de las distintas organizaciones, así como de la sociedad

en general.(PUCMM)

- Ingeniería Telemática: las actividades profesionales, están altamente asociadas con el

transporte y distribución de la información, utilizando como medio las más modernas

tecnologías: los enlaces de fibra óptica de alta velocidad, los canales satelitales, los

sistemas de microondas, Internet, las redes privadas o públicas de datos, sistemas de

redes convergentes, los accesos de banda ancha, la seguridad en los datos, los

sistemas distribuidos, etc.(PUCMM)

26
3.4 Web de Sistema Integrado de Servicios al Estudiante (WebSISE)

WebSISE es un servicio en línea que ofrece la Pont. Univ. Católica Madre y Maestra,

PUCMM, a sus estudiantes a través de su sitio Web. Permite consultar informaciones y

acceder a un conjunto de aplicaciones relacionadas con los procesos académicos y

administrativos de la institución. Esta forma parte del Sistema Integrado de Servicios al

Estudiante (SISE) desarrollado por la Universidad.

Mediante el WebSISE el estudiante puede realizar algunas de los procesos que le son

requeridos durante su permanencia en la universidad tales como pre-matricula,

inscripciones entre otros.

Para acceder al WebSISE se necesita de una contraseña de seguridad. Además, esta

contraseña es utilizada para acceder a otras partes del Sistema Integrado de Servicios al

Estudiante (SISE).

La universidad requiere, a las entidades que requieren de esta contraseña, que cumpla

con las siguientes políticas.

- Longitud mínima de ocho caracteres.

- Debe de ser diferentes de las 3 últimas contraseñas.

27
Revisión de la Literatura

Los estudios que se han realizado anteriormente, tienen una relación estrecha con el tema de

investigación a pesar de que no se haya realizado alguno en la universidad de PUCMM. Dentro

de los estudios más importantes y relacionados al tema de investigación se encuentran los

siguientes:

1. Midiendo la Fortaleza de las contraseñas utilizando algoritmos

password-cracking.

Las contraseñas basadas en texto resultan el tipo dominante de contraseñas a pesar de los

tipos de ataques que se pueda hacer contra estas. Como respuesta a estos ataques, las

políticas al momento de crear las contraseñas se han vuelto complejas y ha incrementado

a medida que pasa el tiempo y surgen más ataques (P. GageKelley, S. Komanduri, 2012).

Este estudio se enfoca en analizar 12,000 contraseñas obtenidas vía un estudio online.

Además, este estudio se enfocó además en desarrollar un método eficiente para calcular

cómo algunos algoritmos adivinadores de contraseñas adivinan estas mismas.

Metodología de la colección de la data.

El estudio se llevó a cabo recolectando contraseñas obtenidas vía un estudio online

utilizando MechanicalTrunk de Amazon. El método que utilizaron para persuadir a los

participantes que formaran parte del estudio fue abonándole dinero (P. GageKelley, S.

Komanduri, 2012).

28
Cada participante se le otorgó un escenario para crear contraseñas y se le pidió que las

contraseñas cumplieran con las políticas que se les exigía. El estudio se dividió en dos

escenarios:

a) Escenario de encuesta. En esta parte del estudio se les exigió a los participantes que

para las respuestas de la encuesta, se utilizaría una contraseña que ellos mismos

crearían y que por lo tanto tendrían que recordarla.

b) Escenario de correo. A los participantes le crearon un escenario imaginario donde los

mismos tendría que imaginar que el servidor del correo ha sido atacado. Por lo tanto,

el servidor de correo ha fortalecido sus políticas de seguridad y los usuarios deberán

crear nuevamente las contraseñas. Se les pidió que siguieran los pasos que

generalmente toman para recordar las contraseñas. En este escenario se midió la

incidencia de que las contraseñas hayan sido escritas o guardadas en el browser

(preguntándole al usuario o detectando almacenamiento en el browser).

Medidor de seguridad de la contraseña

Según los autores, ellos desarrollaron una técnica (calculador número-adivinador) para

determinar si y cuando un algoritmo de adivinador de contraseña (password-guessing),

entrenado con un data set, adivinaría una contraseña específica (P. GageKelley, S.

Komanduri, 2012). En pocas palabras, desarrollaron un algoritmo que les permite

calcular qué tanto tiempo le tomaría a un atacante para adivinar algunas contraseñas de

las que se tiene de muestra.

29
 Otra forma que se puede utilizar para calcular la seguridad de contraseñas, es el cálculo

de la probabilidad de que una contraseña en específica pueda ser adivinada por un

atacante. O también utilizando el concepto de entropía introducido por Shannon, para

representar la fortaleza de la contraseña (P. GageKelley, S. Komanduri, 2012).

Finalmente, este estudio fue realizado en Estados Unidos, pero la muestra que contribuyó

al estudio fue de diversos países ya que el estudio fue en línea y no se seleccionó un país

en específico.

2. ¿Cómo se puede valorar tu contraseña? El efecto de los medidores de

contraseñas al momento de crearlas.

Para ayudar a los usuarios a crear mejores contraseñas basadas en texto, muchos sitios

web han desarrollado un medidor de contraseñas que provee un feedback visualmente de

la fortaleza de la contraseña. Aunque estos medidores estén en gran uso, sus efectos en la

seguridad y la usabilidad de la contraseña no han sido bien estudiados (BlaseUr, P.

GageKelley). Este estudio se basa en medir cuáles efectos tienen los medidores de

contraseñas en la seguridad.

Método de recolección de datos

El estudio fue realizado online donde se crearon 2,931 contraseñas en la presencia de 14

medidores de contraseñas (BlaseUr, P. GageKelley).

30
Resultados

Según los autores y los resultados del estudio, los medidores con una variedad de

apariencias visuales llevaron a los usuarios a crear contraseñas más largas. Sin embargo,

los mejores medidores fueron aquellos más estrictos que forzaban al usuario a incluir más

dígitos, símbolos, y letras en mayúsculas (BlaseUr, P. GageKelley).

Los medidores de contraseñas tuvieron una gran influencia en los usuarios al momento de

crear las contraseñas. Luego de haber creado las contraseñas y ver el efecto que tienen los

medidores, se utilizó un algoritmo para tratar de adivinar las contraseñas. Se encontró que

las contraseñas creadas sin un medidor fueron más crackeadas que las que sí utilizaron un

medidor de contraseñas (BlaseUr, P. GageKelley).

En conclusión, otra forma de medir las contraseñas o más bien la fortaleza de estas,

puede ser utilizando las barras que son medidores que generalmente utilizan los sitios

web. Sin embargo, los mejores son aquellos que tienen más interacción con el usuario y

que son más robustos. Aquellos que le indican visualmente al usuario qué políticas de

seguridad está violando.

31
3. Protección de Contraseñas: comportamiento de seguridad del usuario

final.

Autenticación de contraseña es uno de los servicios esenciales en nuestra vida para la

protección de datos. Durante esta investigación tuvo como objetivo el analizar cuestiones

clave para el establecimiento de contraseñas Y se realizó mediante la aplicación de

encuestas a 262 estudiantes de la Universidad de Aizu, Japón. Además, se hicieron

comparaciones de los datos obtenidos y los resultados proporcionados por el Instituto

Nacional de Tecnología estándar (NIST) y otros.

Método de recolección de datos

La metodología que fue aplicada en la realización de esta investigación fue la de aplicar

encuestas a 262 estudiantes, de la universidad de Aizu, Japón.

32
 Resultados

Los resultados obtenidos en la investigación, como lo expresaron los autores, “Se

encontró que los estudiantes de la Universidad de Aizu con especialización en Ciencias

de la Computación no prestan atención a las cuestiones prácticas relativas a la protección

de contraseña. Son bastante realistas al evaluar la fuerza de sus propias contraseñas. Se

comportan similar a los usuarios de otros países cuando la selección de la longitud de la

contraseña y de la estructura contraseña. Se comportan de manera diferente al elegir tipos

de caracteres para las contraseñas y las contraseñas de fuerza. No entienden claramente

que la contraseña es fuerte. Esta es una de las razones por las que no aceptan la demanda

para cambiar la contraseña en la base regular durante el uso de los servicios de Internet

fuera de la universidad. Estudiantes de 3er año tienen más experiencia en aplicaciones

informáticas y de Internet. Ellos tienen más variaciones en la longitud de la contraseña en

comparación con los estudiantes de 2º año.” (Kato & Klyuev, 2014).

4. Cinco criterios para crear contraseñas seguras

Este artículo se basa en los criterios que se deben de seguir para que lograr que las

contraseñas sean seguras. Es decir, para que pueda ayudar a tener algunos conceptos y

criterios asociados a la creación de su clave, a fin de que, justamente, se asegure el que no

sean fácilmente adivinados. Como son las secuencias, Diccionarios, Datos personales,

heterogeneidad y temporalidad.

33
5. Contraseñas. Memorabilidad y Seguridad: algunas de las deficiencias de la

autentificación por contraseñas.

Si los humanos no tienen que recordar sus contraseñas, una contraseña segura al máximo

tendría máxima entropía: consistiría en una cadena, siempre que el sistema permite con

caracteres seleccionados de entre aquellos permite el sistema de una manera que no

proporciona redundancia, es decir, la selección totalmente al azar. Se llevó a cabo una

investigación empírica de esta disyuntiva en una población de usuarios de contraseña. La

investigación en psicología cognitiva ha definido muchos límites de la actuación humana

en el laboratorio en el que se pidió a los sujetos experimentales de memorizar secuencias

aleatorias y pseudoaleatorios de símbolos.

Metodología de la colección de la data.

Los autores preguntaron a los estudiantes que asistieron a la conferencia de introducción

a participar en un experimento de selección de la contraseña. De los 300 alumnos de la

conferencia, 288 aceptaron participar en el experimento. En la sesión de tutoría, se les

asignó aleatoriamente a los estudiantes a uno de tres grupos experimentales y dio a cada

grupo una hoja de consejos.

1. El grupo de control (95 miembros) tradicional consejo, es decir, "Tu contraseña

debe tener al menos siete caracteres y contener al menos uno que no se una letra."

2. El grupo de contraseñas al azar (96 miembros) una hoja de papel con las letras A-

Z y los números 1-9 imprimir varias veces en la misma. Se les dijo que

seleccionaran una contraseña al cerrar sus ojos y escoger al azar ocho caracteres.

34
 3. El grupo frase de paso (97 miembros) para elegir una contraseña basada en una

frase mnemotécnica.

Un mes después de las sesiones de tutoría, se tomó una instantánea de todos los archivos

de contraseña y se realizaron cuatro tipos de ataque sobre las contraseñas:

1. Ataque de diccionario: Sólo tiene que utilizar diferentes archivos de diccionario

para descifrar contraseñas.

2. La permutación de palabras y números: Para cada palabra de un archivo de

diccionario, permutar con 0, 1, 2 y 3 dígitos (s) para la construcción de posibles

candidatos contraseña. También, hacer sustituciones número común, por ejemplo,

un 1 para I, 5 de S, y así sucesivamente.

3. Ataque de información del usuario: Explotar los datos de usuario recogidos de los

archivos de contraseñas (por ejemplo, ID de usuario, nombre completo del

usuario, y la subcadena inicial del nombre) para descifrar contraseñas.

4. Ataque de fuerza bruta: tratar todas las posibles combinaciones de teclas. este

cuarto ataque se intentó únicamente en contraseñas que eran seis caracteres de

longitud.

35
6. De contraseñas y personas: la medición del efecto de las políticas de

Composición de Contraseñas

Se presenta un estudio a gran escala que investiga la seguridad de la contraseña, el

comportamiento del usuario, y el sentimiento de usuario a través de cuatro políticas de

contraseña de composición. Caracterizaron la previsibilidad de las contraseñas mediante

el cálculo de la entropía, y encontraron que una serie de creencias comunes sobre la

composición de la contraseña y la fuerza son inexactas. Además, correlacionaron los

resultados con el comportamiento del usuario y el sentimiento para producir una serie de

recomendaciones para las políticas de contraseña de composición que dan lugar a

contraseñas seguras y sin imponer una carga excesiva a los usuarios.

Metodología de la colección de la data.

Los autores llevaron a cabo el estudio en línea en dos partes usando MechanicalTurk de

Amazon servicio. Se reclutaron 5.000 participantes, cada uno asignados aleatoriamente a

una de las cinco condiciones. En la primera parte, se pidió a los participantes para crear

una contraseña, completar una encuesta en línea, a continuación, introduzca la

contraseña. Dos días más tarde se les pidió que volver a nuestro sitio web, inicio de

sesión utilizando su contraseña y completar una segunda encuesta.

36
Método del estudio

Debido a que esta investigación “Usa recolección de datos para probar hipótesis con base en la

mediación numérica y el análisis estadístico para establecer patrones de comportamiento”,

Hernández, et al., (2003, p.6) se puede afirmar que es de un enfoque cuantitativo.

Esta investigación fue realizada en la Pontificia Universidad Católica Madre y Maestra,

PUCMM, durante el semestre de agosto-diciembre del año 2016, como parte de los requisitos de

la asignatura de Temas Especiales en la carrera de Ingeniería Telemática.

Fue realizada y aplicada a los estudiantes de dicha universidad, específicamente a los estudiantes

de la facultad de Ingeniería que estaban asistiendo durante el semestre previamente indicado. La

Pontificia Universidad Católica Madre y Maestra presento aproximadamente mil trescientos

cincuenta y cinco (1355) estudiantes matriculados bajo la facultad de ingeniería. De este dato se

extrajo una muestra de 400 estudiantes la cual de, debido a falta de recursos, tiempo, personal y

operatividad del alumnado, se redujo a aproximadamente un 23%, es decir a unos 93 estudiantes.

Cabe destacar que la fórmula utilizada para extraer lamuestra fue la siguiente:

𝑁 ∗ 𝑍2 ∗ 𝑃 ∗ 𝑄
𝑛= 2
𝑑 ∗ (𝑁 − 1) ∗ 𝑍 2 ∗ 𝑃 ∗ 𝑄

Donde n es la muestra, Nes el universo o población, Z es el nivel de confianza (se usó 0,95), P es

la probabilidad de éxito (0,5), Q es la probabilidad de fracaso (0,5).

37
Es necesario notar que los resultados obtenidos del estudio, son resultados que no se pueden

generalizar dado que la muestra obtenida no se aproxima a lo que es la muestra real calculada.

Por cuestión de tiempo, se eligió una muestra que se pudiera evaluar en el tiempo propuesto para

realizar el estudio.

Como en esta investigación no se realizó ninguna experimentación, es decir no se modificó

ninguna variable al momento de realizarse, conlleva a que es una investigación de tipo no

experimental de forma de encuesta de opinión porque se utiliza una encuesta para ser llenada en

un momento determinado.

Como previamente fue mencionado, en esta investigación se implementó el uso de encuesta las

cuales fueron aplicada de manera digital (mediante Google Forms), permitiéndoles a cada

encuestado la privacidad de llenar la encuesta. Se distribuyó mediante redes sociales, además de

la impresión de link y el código, de barras bidimensional cuadrada, QR los cuales fueron

repartidos en las aéreas de la Biblioteca, centro de estudiantes y el laboratorio general de las

ingenierías.

38
En las siguientes páginas se mostrará un modelo de la encuesta realizada, de la cual fue separada

en 3 secciones. En la primera sección se obtuvieron datos de identificación del usuario como

edad, género, e ingeniería que está cursando. En la segunda se recolectó información base de uso

de contraseñas y los conocimientos básicos de los encuestados. Y en la última se enfocó en las

contraseñas delWebSISE (Web de Sistema Integrado de Servicios al Estudiante), donde se les

pidió una serie de características de la contraseña que implementaron en la misma, como son la

cantidad de caracteres, y la cantidad de los diferentes tipos (letras minúsculas, letras mayúsculas,

números y caracteres especiales). Estos últimos datos recolectados se utilizaron como variables

en un algoritmo, para obtener un nivel de seguridad aproximado.

El algoritmo utilizado consiste en una serie de características que debe de cumplir una contraseña

para ser considerada compleja, fue extraído de un comprobador en línea.” Comprobador de

Contraseñas/Password”. La fórmula utilizada por este algoritmo para medir el nivel de

confiabilidad en una contraseña es:

𝑁𝑆 = 4𝑛 + 2(𝑛 − 𝑤) + 2(𝑛 − 𝑥) + 4𝑦 + 6𝑧 + 2𝑎 − 𝑏(𝑛)

Donde:

- NS es el nivel de seguridad de la contraseña,

- n es la longitud o cantidad de caracteres de la contraseña,

- w es la cantidad de letras mayúsculas,

- x es la cantidad de letras minúsculas,

- y es la cantidad de números,

- z es la cantidad de caracteres especiales o símbolos,

39
 - a es la cantidad de requisitos mínimos cumple y,

- b cantidad de malas prácticas al crear contraseñas.

Los requisitos mínimos para que este algoritmo considere una contraseña como confiable o

segura son:

- Tamaño mínimo de 8 caracteres,

- contener al menos 3 letras en mayúsculas,

- contener al menos 3 letras en minúsculas,

- contener al menos 3 números y,

- contener al menos 3 símbolos.

Las malas prácticas definidas por este algoritmo medidor de seguridad en las contraseñas se

basan principalmente en una contraseña que solo utilice letras, o solo números.

Por otro lado, las preguntas formuladas en la encuesta digital, fueron las siguientes:

1. Sexo:

a) Femenino

b) Masculino

2. Edad:

a) 17-19

b) 20-22

c) 23-25

d) 26 o más

3. Año de matrícula: ___________.

40
4. ¿A qué carrera de Ingeniería pertenece?

a) Civil

b) Sistemas y Computación

c) Industrial

d) Electromecánica

e) Electrónica

f) Telemática

5. Seleccione las opciones que utiliza al momento de crear las contraseñas (puede

seleccionar más de una opción):

a) Fecha de nacimiento (de sus padres, familiares, etc.)

b) Fecha de aniversario

c) Nombre de la pareja (o las iniciales del nombre)

d) Nombre de la madre o del padre (o las iniciales del nombre)

e) Nombre de la mascota (perro, gato, etc.)

f) Nombre de alguna comida favorita, algún cantante, actor/actriz

g) Uso de frases célebres

h) Contraseñas que son basadas en diccionario (que se encuentran en los diccionarios)

i) Uso de letras de canciones o nombre de canciones

j) Sólo uso de minúsculas

k) Combinación de números con letras en minúsculas

l) Combinación de números con letras en minúsculas y mayúsculas

m) Combinación de números con letras en minúsculas y minúsculas, y símbolos

n) Uso de palabras con caracteres sustituidos (ejemplo: “P4$$w0rd”)

41
 o) Combinación de números con significado (teléfono, cédula, placa, etc.)

p) Otro: _______________________

6. Marque las acciones que realiza con respecto a sus contraseñas:

a) Repetir contraseña (más de una cuenta con la misma contraseña)

b) Compartir las contraseñas con otras personas

c) Almacenar la contraseña en los browsers (Google Chrome, Internet Explorer, Firefox

Mozilla, etc.)

d) Escribirlas en un papel

e) Guardarlas en un documento en la computadora

f) Guardarlas en dispositivos móviles

7. En escala del 1 al 5 de manera general, ¿qué tan segura considera usted que son sus

contraseñas? Donde 1 significa el menor nivel de seguridad.

8. ¿Sabe lo que es una política de seguridad de contraseñas?

a) Sí

b) No

9. ¿Cambia sus contraseñas con regularidad?

a) Sí

b) No

c) Algunas de ellas

10. ¿Cada cuánto tiempo, en meses, cambia sus contraseñas? __________________

11. ¿Cuántos caracteres en promedio implementa en sus contraseñas? _________________

42
12. ¿Utiliza alguna aplicación o programa para almacenar las contraseñas?

a) Sí

b) No

13. ¿Utiliza alguna aplicación o programa para crear las contraseñas?

a) Sí

b) No

14. ¿Tiene conocimiento de algunas amenazas que se le puede hacer a las contraseñas?

a) Sí

b) No (salte a la pregunta 16).

15. De las siguientes opciones de ataques, seleccione los que conoce.

a) Ataque de Diccionario

b) Fuerza bruta

c) Rainbowtable

d) Phishing

e) Ingeniería Social

f) Malware

g) Guessing

h) Otro: ______________

16. ¿Ha sido víctima de robo de contraseña?

a) Sí

b) No

43
17. Si respondiste de manera afirmativa la pregunta anterior, ¿dónde ocurrió?

a) Red Social

b) Web SISE

c) Correo Electrónico

d) Otro: __________________

18. ¿Tiene habilitadas otras opciones de seguridad para sus cuentas (por ejemplo, preguntas

de seguridad) ?:

a) Sí

b) No

19. Seleccione las acciones que realiza con respecto a las contraseñas de WebSISE

a) Repetir contraseña (reutilizar contraseñas anteriores de WebSISE)

b) Compartir las contraseñas con otras personas

c) Duplicar las contraseñas (utilizarla en otros sitios además de WebSISE)

d) Almacenarla en los browsers

e) Te limitas a crear una contraseña como especifica WebSISE con una longitud mínima

de 8 caracteres

f) Ninguna de las anteriores

20. ¿Le es molesto cambiar de contraseña cada 3 meses?

a) Sí

b) No

21. ¿Cuántos caracteres utiliza en su contraseña de WebSISE?

22. ¿Qué cantidad de letras mayúsculas utiliza en su contraseña de WebSISE?

23. ¿Qué cantidad de letras minúsculas utiliza en su contraseña de WebSISE?

44
 24. ¿Qué cantidad de números utiliza en su contraseña de WebSISE?

25. ¿Qué cantidad de caracteres especiales (símbolos: @#$) utiliza en su contraseña de

WebSISE?

26. Del 1 al 5, ¿qué tan segura considera usted que es su contraseña de WebSISE donde el 1

representa el menor nivel de seguridad?

Se utilizó esta técnica de hacer la mayoría de las preguntas de manera cerrada, para que al

momento de recolectar los datos se facilitara el análisis de los mismos.

45
Resultados

Los resultados del presente estudio, no fueron los esperados ya que la hipótesis que se tenía para

el estudio resultó ser falsa de acuerdo con los resultados obtenidos. Se esperaba que las

contraseñas creadas por los Ingenieros Telemáticos fueran las más seguras, ya que de acuerdo al

área en que se encuentran tienen más conocimiento del tema y de las implicaciones que se

tendría en la falta de seguridad en una contraseña.

Según los resultados del estudio, y según el método utilizado para medir el nivel de seguridad en

los estudiantes, los estudiantes de Ingeniería Electrónica resultaron tener el mayor nivel de

seguridad en comparación con los demás estudiantes de Ingeniería. A continuación, se presentará

el análisis y respuestas a las preguntas de investigación del estudio, basándose en los resultados

obtenidos de la encuesta.

46
¿Son más seguras las contraseñas de los estudiantes de Telemática y Sistema que los de

otras Ingenierías?

La encuesta realizada dio como resultado que ni los estudiantes de la ingeniería telemática, ni los

de sistemas fueron lo que mostraron un mayor nivel de seguridad en sus contraseñas, sino los

estudiantes de ingeniería electrónica (observar gráfico 1). Los estudiantes de ingeniería

telemática fueron los terceros con mejor nivel de seguridad de contraseñas.

Se calculó el nivel de seguridad de cada encuestado y luego se realizó una media ponderada de

cada ingeniería, donde se muestra en el siguiente gráfico:

Nivel de Seguridad Promedio por Ingenieria

Nivel de Seguridad
113.3 109.6
99.6
90.5 94.4 92.3

Civil Electromecánica Electrónica Industrial Sistemas y Telemática

Computación

Gráfico 1: nivel de seguridad por Ingeniería.

47
El método implementado para determinar los niveles de seguridad mediante el algoritmo

extraído del sitio Web “Asociación de Internautas – Comprueba la fiabilidad de tu contraseña” el

cual utilizan diferentes factores para calcular la seguridad:

- Número de caracteres.

- Letras mayúsculas

- Letras minúsculas

- Números

- Mitad números o símbolos

- Solo letras

- Solo números

- Caracteres repetidos

- Letras mayúsculas consecutivas

- Letras minúsculas consecutivas

- Secuencia de letras (3+)

- Secuencia de números

48
La manera en que este sitio web evalúa el nivel de confiabilidad es permitiéndole al usuario

ingresar su contraseña y el programa evalúa solamente los factores mencionados anteriormente.

Para la encuesta, como no se les exigió a los usuarios que facilitaran las contraseñas, no se pudo

calcular el nivel de seguridad en base a todos esos factores. Por otro lado, cabe destacar que

tampoco se tomó en cuenta si la contraseña contiene fechas de nacimiento, fecha de aniversario,

palabras de diccionario y demás, para calcular el nivel de seguridad. Por lo tanto, los estudiantes

de Ingeniería Electrónica encuestados tuvieron el mayor nivel de seguridad en cuanto a la

cantidad de caracteres utilizados, así como la cantidad de símbolos y el uso de mayúsculas y

minúsculas.

La razón por la que se optó por calcular el nivel de seguridad de esta forma, es por la gran

variedad de respuestas que se obtuvo en cuanto a las acciones que realizan los usuarios al

momento de crear las contraseñas. Lo cual hizo más difícil encontrar un patrón para una gran

cantidad de encuestados dentro de una misma carrera.

49
 Diferencia de nivel de seguridad entre sexos:

Durante la investigación se encontró la información que las contraseñas creadas por mujeres

tuvieron un mayor nivel de seguridad promedio al compararse con la de los hombres, por un

pequeño margen.

INGENIERIAS
Sistemas &
Civil Electromecánica Electrónica Industrial Telemática Total
Computación
Hombre
5 7 6 12 12 20 62
SEXO

Mujer
6 3 0 9 2 11 31
Total
11 10 6 21 14 31 94
Tabla 1: nivel de seguridad por sexo.

50
 Nivel de Seguridad de Contraseñas por Sexo
Hombres Mujeres

100.6

98

Nivel de Seguridad

Gráfico 2: nivel de seguridad por sexo.

¿Influye en la seguridad de las contraseñas que la carrera esté relacionada o no con

tecnologías?

Según los resultados, el hecho de que estudies una carrera que tenga que ver con tecnología no

influye en la seguridad que tenga la contraseña. Por ejemplo, los estudiantes que obtuvieron el

nivel de seguridad más alto fueron los de Ingeniería Electrónica, y según los resultados de la

encuesta, estos estudiantes no tienen suficiente conocimiento como para tener la mejor seguridad

en la contraseña.

51
En el siguiente gráfico se puede observar el porcentaje de los estudiantes de Ingeniería

Electrónica que tienen conocimiento de las amenazas de seguridad en las contraseñas:

Gráfico 3: conocimiento de amenazas por parte de los ITE.

Como se puede observar en el gráfico 3, más de la mitad de los estudiantes de Ingeniería

Electrónica encuestados, no tienen conocimiento de las amenazas que se le puede hacer a una

contraseña. Sin embargo, de acuerdo al método empleado para calcular el nivel de seguridad,

fueron quienes obtuvieron el mayor nivel de seguridad.

52
Por otro lado, se podría pensar que quizá los estudiantes de Ingeniería Electrónica tienen este

nivel de seguridad mayor debido a quizás alguna experiencia en cuanto al robo de contraseñas.

Sin embargo, este no fue el caso, porque según los resultados más de un 50% de los estudiantes

de ITE encuestados, no han sido víctimas de robos de contraseñas. Esto se puede demostrar con

el siguiente gráfico 4:

Gráfico 4: porcentaje de estudiantes ITE que han sido víctimas de robo de contraseña.

53
En cuanto a los estudiantes de Ingeniería Telemática encuestados, la mayoría de estos, según los

resultados, tienen conocimiento en cuanto a las amenazas que se le puede hacer a las

contraseñas, sin embargo, no obtuvieron el mayor nivel de seguridad con el método empleado. A

continuación, estos resultados se pueden observar gráficamente:

Gráfico 5: conocimiento de seguridad.

54
 Gráfico 6: conocimiento de seguridad.

Como se puede observar en los gráficos anteriores (5 y 6), la gran mayoría de los estudiantes

Telemáticos encuestados sí tienen conocimiento de seguridad. Por lo que se puede concluir que a

pesar de que una carrera esté orientada a la tecnología, no significa que el nivel de seguridad en

las contraseñas de esos estudiantes, será el mayor.

¿Los estudiantes de Ingeniería Telemática muestran la mayor seguridad en su contraseña?

Según lo explicado anteriormente, y según el método utilizado para calcular el nivel de

seguridad, los estudiantes de Ingeniería Telemática no tienen el nivel de seguridad mayor.

55
Discusiones

Los objetivos propuestos, tanto de manera general como específicos, fueron cumplidos. Las

preguntas de investigación definidas para este trabajo fueron respondidas, y el nivel de seguridad

de las contraseñas utilizadas por los Ingenieros para WebSISE fueron medidos. Sin embargo, los

resultados del estudio no fueron los esperados en base a la hipótesis que se definió.

Dado los resultados del estudio realizado y en base al método seleccionado para medir el nivel de

seguridad, la hipótesis establecida es falsa. Resulta, como se mostró gráficamente en la sección

anterior, los estudiantes de Ingeniería Telemática no muestran la mayor seguridad en cuanto a las

contraseñas de WebSISE se refiere.

La falta de veracidad en la hipótesis se puede deber a que el hecho de haber seleccionado un

algoritmo que solamente considere la cantidad de caracteres (incluyendo mayúsculas,

minúsculas, símbolos, y demás) influya en el resultado del estudio. Es decir, la mejor manera

para medir el nivel de seguridad no solo es basándose en la cantidad (ya sea de letras, números,

caracteres especiales, etc.) sino también en el contenido de la contraseña (si utiliza palabra de

diccionario, o si utiliza combinaciones de significado con números, etc.). Pueda ser que los

estudiantes ITE sí tuvieran una mayor cantidad de caracteres, pero quizá no significa que estas

contraseñas no sean fáciles de adivinar con los tipos de ataques descritos en el presente trabajo.

Tampoco significa que no implementen malas prácticas de seguridad como, por ejemplo,

compartir contraseñas, almacenarlas en el browser, etc.

56
Viendo la situación desde otro aspecto, pueda ser que los estudiantes de Ingeniería Telemática no

tengan el mayor nivel de seguridad solamente en las contraseñas de WebSISE porque quizá no

tienen información confidencial que pueda ser comprometida. Pero quizás en sistemas como por

ejemplo Internet Banking, el asunto cambia; esto sería un punto que habría que evaluarlo.

Por otro lado, pueda ser que simplemente los estudiantes, a pesar de que tengan conocimientos

de seguridad, encuentrenun trabajo pesado aprenderse contraseñas difíciles, e incluso les parece

molesto cambiarla regularmente. Según los resultados obtenidos, un 78.5% de los encuestados

considera que es molesto cambiar de contraseña cada 3 meses (ver gráfico 7 en el apéndice).

Esto puede ser un factor que podría explicar por qué muchos de los usuarios implementan malas

prácticas al momento de crear las contraseñas, que no importa qué tanto conocimiento se tenga

de seguridad, es simplemente difícil almacenar tantas contraseñas diferentes y cambiarla

regularmente.

Lo primero a recomendar, sería primero validar con otro tipo de fuente la veracidad de este

estudio. Es decir, hacer otro estudio que mida el nivel de las contraseñas y verificar si

nuevamente los estudiantes de Ingeniería Electrónica resultan ser los que tienen el mayor nivel

de seguridad.

57
Otro punto importante sería que las instituciones provean programas donde se pueda crear

aleatoriamente las contraseñas de los usuarios (lógicamente que no se repitan) y el usuario

también tenga la facilidad de almacenarla en un programa que sea seguro. De la misma forma, el

programa se podría encargar de cambiar las contraseñas cada x tiempo que requiera la

institución. Así, la empresa o institución no tiene que preocuparse porque el usuario esté

implementando malas prácticas de seguridad que convierta a la empresa en un punto vulnerable.

Finalmente, según los resultados y como era de esperar en este aspecto, los estudiantes que no

estudian carreras que no tienen que ver con tecnología, no tienen conocimiento suficiente con el

tema de seguridad de contraseñas. Un aspecto importante que toda institución debería considerar

es, instruir o guiar al usuario, ensenarle qué implica tener malas prácticas en las contraseñas, ya

sea probándoselo a ellos mismos en tiempo real.

58
Referencias Bibliográficas

 B., B. (2006). A Brief History of Telecommunications | How Telecommunication Evolved. Extraído

el 6/11/2016 de: https://www.cellphones.ca/features/brief-history-telecommunications/
 Gardiner, H. (2013, May 25). The Evolution of Telecommunication | Visual.ly. Extraído el
6/11/2016 de: http://visual.ly/evolution-telecommunication
 Nielsen, P. (2012, June 12). The History of Password Security. Extraído el 6/11/2016 de
https://patrickmn.com/security/the-history-of-password-security/
 Hiscott, R. (2013, December 30). The Evolution of the Password— And Why It's Still Far From
Safe. Extraído el 6/11/2016 de http://mashable.com/2013/12/30/history-of-the-
password/#p_zWSGSEkkq4
 Castro Ayora, M. J. (2009, August 25). La importancia de una buena contraseña | infoALEPH.
Extraído el 6/11/2016 de https://infoaleph.wordpress.com/2009/08/25/la-importancia-de-una-
buena-contrasena/
 Winder, D. (2011, December 2). Top ten password cracking techniques | Alphr. Extraído el
6/11/2016 de http://www.alphr.com/features/371158/top-ten-password-cracking-techniques
 Rouse, M. (2005, October). What is dictionary attack? - Definition from WhatIs.com. Extraído el
6/11/2016 de http://searchsecurity.techtarget.com/definition/dictionary-attack
 Schneier, B. (2012). Password Cracking. Extraído el 6/11/2016 de
http://web.cs.du.edu/~mitchell/forensics/information/pass_crack.html
 Rivero, M. (2016).¿Qué son los Malwares? | InfoSpyware. Extraído el 6/11/2016 de
https://www.infospyware.com/articulos/que-son-los-malwares/
 Kelley, P. G., Komanduri, S., &Mazurek, M. (2012).Measuring Password Strength by simulating
password-cracking algorithms.IEEEXplore Full-Text PDF:.Extraído el 17/10/2016
de:http://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=6234434
 Ur, B., Kelley, P. G., &Komanduri, S. (2012). How does your password measure up? The effect of
strength meters on passwords creation. Extraído el 17/10/2016 de:
https://www.usenix.org/system/files/conference/usenixsecurity12/sec12-final209.pdf
 Kato, K., & Klyuev, V. (2014). Password Protection: End User Security Behavior. International
Journal of Computing, 13.
 Saranga, K., Shay, R., Gage Kelley, P., Mazurek, M. L., Bauer, L., Christin, N., y otros. (2011). Of
Passwords and People:. Canada: National Institute of Standards and Technology.
 Tecnología Diaria. (Agosto de 2010). Tecnología Diaria: 5 Criterios para crear contraseñas
seguras: contraseñas seguras, seguridad de la informacion. Recuperado el 12 de Octubre de

59
 2016, de Tecnología Diaria: http://www.tecnologiadiaria.com/2010/08/5-criterios-crear-
contrasenas-seguras.html
 Yan, J., Blackwell, A., Anderson, R., & Grant, A. (2004). Password Memorability and. IEEE Security
& Privacy , 25-30.

 Narisi, S. (6 de Noviembre de 2013). IT Manager Daily: Password Policy Template. Recuperado el

5 de Noviembre de 2016, de IT Manager Daily: http://www.itmanagerdaily.com/password-
policy-template/
 NIST. (s.f.). SP 800-63 - Electronic Authentication Guideline. Recuperado el 6 de Noviembre de
2016, de
https://web.archive.org/web/20040712152833/http://csrc.nist.gov/publications/nistpubs/800-
63/SP800-63v6_3_3.pdf
 Pontificia Universidad Catolica Madre y Maestra. (s.f.). Pontificia Universidad Catolica Madre y
Maestra. Recuperado el 7 de Noviembre de 2016, de Pontificia Universidad Catolica Madre y
Maestra: http://www.pucmm.edu.do/
 spaf. (19 de Abril de 2006). CERIAS: Security Myths and Passwords. Recuperado el 4 de
Noviembre de 2016, de CERIAS: http://www.cerias.purdue.edu/site/blog/post/password-
change-myths/
 Sutter, J. D. (20 de Agosto de 2010). How to create a 'super password. CNN .
 US-CERT. (21 de Mayo de 2009). US-CERT: Security Tip (ST04-002). Recuperado el 6 de
Noviembre de 2016, de US-CERT: https://www.us-cert.gov/ncas/tips/ST04-002

 Dirección del registro, PUCMM. (2009). Procedimientos Académicos. Manual del Estudiante.
Santiago de los Caballeros, Republica Dominicana: Pontificia Universidad Católica Madre y
Maestra.

60
 Apéndice

Gráfico 7.

61

View publication stats