Documentos de Académico
Documentos de Profesional
Documentos de Cultura
net/publication/316338446
CITATIONS READS
0 383
1 author:
Miguel Solano
Pontificia Universidad Católica Madre y Maestra
1 PUBLICATION 0 CITATIONS
SEE PROFILE
All content following this page was uploaded by Miguel Solano on 21 April 2017.
Temas Especiales
ST-ITT-521-001
Presentado por:
María Amelia Sánchez 2012-0298
Miguel E. Solano Abreu 2012-0091
Presentado a:
Ing. Arlene Estévez
En fecha:
05/12/2016
Santiago de los Caballeros, República Dominicana
1
Contenido
Resumen.......................................................................................................................................... 3
Introducción .................................................................................................................................... 4
Marco teórico .................................................................................................................................. 6
1. Telecomunicaciones ................................................................................................................ 6
1.1 Origen y Evolución .............................................................................................................. 6
2. Contraseñas .............................................................................................................................. 9
2.1 Historia y Evolución ............................................................................................................ 9
2.2 Importancia ........................................................................................................................ 12
2.3 Tipos de ataques de contraseñas ........................................................................................ 13
2.4 Políticas de seguridad de contraseñas ................................................................................ 17
2.5 Practicas recomendadas para el usuario ............................................................................. 20
2.6 La entropía, complejidad de la contraseña ......................................................................... 22
3. Ingenierías en la Universidades de República Dominicana .................................................. 23
3.1 Universidades Públicas y Privadas. ................................................................................... 23
3.2 Pontificia Universidad Católica Madre y Maestra. ............................................................ 24
3.3 Ingenierías en la Pontificia Universidad Católica Madre y Maestra. ................................ 25
3.4 Web de Sistema Integrado de Servicios al Estudiante (WebSISE) ................................... 27
Revisión de la Literatura ............................................................................................................... 28
Método del estudio ........................................................................................................................ 37
Resultados ..................................................................................................................................... 46
Discusiones ................................................................................................................................... 56
Referencias Bibliográficas ............................................................................................................ 59
Apéndice ....................................................................................................................................... 61
2
Resumen
El estudio consiste en una investigación sobre los niveles de seguridad en las contraseñas
(PUCMM), campus Santiago. Fue realizado mediante una encuesta aplicada en total a 93
este algoritmo en las respuestas de las encuestas resultó en que los estudiantes de la Ingeniería
Estos resultados obtenidos sirvieron como base para refutar la hipótesis establecida en la
en las contraseñas”.
3
Introducción
grandes daños que pueden ocurrir en la ausencia de esta. Una manera efectiva de mantener los
seguridad.
El presente trabajo consiste en un estudio realizado con el objetivo general de conocer qué tan
seguras son las contraseñas implementadas por los estudiantes de Ingeniería en el WebSISE de
PUCMM, Santiago. Como objetivos específicos, se desea conocer las respuestas a las siguientes
- ¿Son más seguras las contraseñas de los estudiantes de Ingeniería Telemática y Sistemas
tecnologías?
hipótesis: “Los estudiantes de Ingeniería Telemática y Sistemas utilizan contraseñas más seguras
4
La razón fundamental para realizar este tipo de estudios es, investigar si las contraseñas creadas
para el uso de WebSISE son realmente seguras, ya que la falta de seguridad en estas crea una
vulnerabilidad en la red de la universidad. Es por esto que este estudio, se basa en medir el nivel
de Santiago, PUCMM.
caso que sea necesario. Además, será útil debido a que el estudio presenta información de los
conocimientos que tienen los usuarios sobre este tema, y lo que estos piensan sobre el hecho de
tener que cambiar la contraseña cada 3 meses en el Websise; siendo esta una de las políticas
establecidas para el WebSISE de PUCMM. Con este estudio, se podrá tomar decisiones para
mejorar lo que es la seguridad en las contraseñas creadas para WebSISE, ya que se proveen
5
Marco teórico
1. Telecomunicaciones
distancia” (Brian B., 2006). Cabe destacar, que las telecomunicaciones han existido desde
que el hombre existe, pues siempre ha surgido la necesidad de comunicarse con los
demás. La diferencia está en las diversas formas que ha buscado el hombre para
- En los tiempos antiguos, la forma de comunicación era el uso de la luz (por ejemplo,
el fuego) y el sonido (baterías) (Brian B., 2006). Sin embargo, este tipo de
- En 1800 se podría decir que empezó la era de las telecomunicaciones modernas, con
la invención de la celda eléctrica por Alessandro Volta (Brian B., 2006). Con esto, el
luz).
6
- Samuel Morse, en 1843, inventó el código Morse. Esta fue una forma de
código ternario (es decir un punto, línea y un espacio). Junto con esta tecnología de
Morse, y el hecho de que se encontrara una forma de hacer que las señales fueran
- 1870: surgió una competencia sobre quién haría de primero el invento del teléfono.
Alexander Graham Bell obtuvo la patente de la invención del primer teléfono, a pesar
de que otra persona contribuyó al invento del mismo (Brian B., 2006).
(Gardiner, 2013).
- Luego de haber creado las líneas telefónicas, se hizo por primera vez en 1915 la
conexión telefónica entre San Francisco y New York. De esta manera, las personas
ubicadas en New York podrían comunicarse con las personas en San Francisco. Ya
para 1926 se hizo una conexión entre New York y Londres. Las telecomunicaciones a
nivel de telefonía iban creciendo más y más a medida que pasaba el tiempo y
7
- En 1923 se inventó la televisión (Gardiner, 2013).
especificaban algunos códigos que iban a tener las regiones, países, y hasta los
2013).
- Por otro lado, en el año 1946 también se creó lo que se denominó ENIAC. Primera
- A partir de los años 70, se creó el primer teléfono móvil. El inventor (y considerado
como padre del teléfono móvil) fue Martin Cooper mientras trabajaba para Motorola
(Gardiner, 2013).
8
2. Contraseñas
La creación de las contraseñas surgió por la necesidad de controlar de que una persona no
decir, las contraseñas surgieron por la necesidad de controlar o evitar que intrusos entren
a los sistemas privados. Es por esto que se requiere que las contraseñas sean lo más
seguras posibles para evitar el robo de las mismas. A medida que pasa el tiempo, surgen
ataques hacia las contraseñas de los usuarios, y es por esto que las políticas de seguridad
Pero antes de comenzar con la evolución o los cambios que se han tenido al momento de
crear las contraseñas, primero ¿qué es una política de seguridad de las contraseñas? Una
para que sea considerado como segura. En estas políticas se aclaran la longitud que debe
tener la contraseña, y cómo se debería crear (si utilizando mayúsculas o minúsculas, etc.).
9
A continuación, se mostrará cómo han ido evolucionando las contraseñas:
- La primera vez que se utilizaron las contraseñas fue con la creación de una
compartido, donde cada usuario tendría que poner sus credenciales para poder
acceder al sistema. La idea bajo esta innovación en ese tiempo, era que muchos
usuarios pudieran utilizar la computadora sin necesidad de tener una por usuario, ya
que el costo de una computadora era alto en aquellos tiempos (1961). A esta
Para ese entonces, el sistema almacenaba las contraseñas en un lugar no tan seguro, y
las contraseñas tampoco eran tan complejas. La razón de esto es que en ese tiempo no
había las herramientas que se tienen en la actualidad para romper o robar las
hacer que las contraseñas sean más seguras o almacenarlas en un lugar seguro. Desde
(Nielsen P, 2012).
10
- A medida que las computadoras fueron siendo más asequibles y utilizadas por la
sólo las personas que tengan acceso puedan verla. El hashing lo que hacía era traducir
cada contraseña a un valor numérico. Esto hacía que la persona que robara la
contraseña, no viera la contraseña en sí sino el valor del hash (Hiscott R., 2013).
Sin embargo, este método de hashing no fue el mejor porque pudo ser hackeado e
incluso en un website listaron todas las contraseñas hash (es decir, las contraseñas que
aun siendo encriptadas pueden ser adivinadas). Esto llevó a seguir buscando mejores
algoritmo, que servirá para encriptar de mejor forma las contraseñas, fue inventado
creación de este algoritmo, se pudo definir más o menos qué debía incluirse en una
contraseña para que sea calificada como segura (Hiscott R., 2013).
11
DES permaneció como el algoritmo estándar para proteger las contraseñas
aproximadamente por 20 años, hasta que un hacker encontró que se podría romper la
llave DES en sólo 56 horas. Esto condujo a que se siguiera implementando algoritmos
En general, la seguridad que se utiliza para proteger las contraseñas siempre irá
evolucionando debido a que los ataques a ésta siguen evolucionando de igual forma. Así
como existen herramientas para proteger las contraseñas de los intrusos, existen
herramientas para romper esas contraseñas que son “seguras”. La seguridad de las
contraseñas debe llevar un paso adelante a los hackers para evitar que estos intrusos
2.2 Importancia
contraseña es tan importante como la información que protege. Con ella se cuida que la
información privada no se vuelva del dominio público” (Castro Ayora M. J., 2009). Con
las contraseñas se evita que los intrusos no puedan leer o tener acceso a las cosas privadas
de un usuario. De ahí nace también la importancia o más bien por qué una contraseña
12
No sólo basta con saber que las contraseñas son importantes porque protegen la
información, sino que es necesario saber qué ocurre cuando las contraseñas no cumplen
con los requerimientos de una contraseña buena o segura. Para saber la respuesta de esta
interrogante, se debe tener conocimiento sobre los ataques que generalmente se hacen a
los usuarios para obtener su contraseña o sus credenciales en general. Este tema se
Los ataques de contraseñas son aquellas herramientas que se utilizan para obtener la
- Ataque de Diccionario
Este tipo de ataque utiliza un archivo que contiene palabras que están en el
diccionario (Winder D., 2011). Es un método utilizado para romper las contraseñas
Los ataques de diccionario funcionan porque aún existen sistemas en los que las
diccionario. Este tipo de ataques no funcionaría bien cuando se hace una mezcla de
13
Es por esto que en muchas políticas de seguridad en las contraseñas se le recomienda
Este es otro método de romper las contraseñas. A diferencia del ataque anterior, este
haciéndolo a fuerza bruta, como su nombre lo indica. Es decir, trata de probar todas
las combinaciones que les sea posible hasta encontrar la contraseña que buscaba.
Puede encontrar contraseñas desde aaa1 hasta zzz10 (Winder D., 2011).
Es una de las últimas herramientas que utilizaría un atacante para romper una
contraseña, ya que este tipo de ataques es uno de los menos eficientes y que más
Este método de fuerza bruta es eficiente solo para contraseñas que son cortas, y
empieza a ponerse difícil cuando las contraseñas tienen como longitud mínima 7.
Otro dato importante sobre este tipo de ataque es que el atacante debe saber por lo
menos cuál es la longitud de la contraseña que anda buscando. Sin embargo, con este
tipo de ataque siempre se podrá encontrar la contraseña, pero el dato está en qué
14
- Ataque de RainbowTable
y esos son los hashes de todas las combinaciones posibles de contraseñas (Winder D.,
2011). Este ataque va dirigido a aquellos algoritmos que utilizan el hash como
Una manera de protegerse contra este ataque es tomar en consideración otros tipos o
- Phishing
Es una forma de pedirle al atacante por sus credenciales. Por ejemplo, si el atacante
quisiera saber las credenciales que utiliza la persona para entrar a Facebook el
El atacante dirá algo por el correo para persuadir a la víctima a que abra el link. De
esta forma, el usuario introducirá sus credenciales y el atacante podrá ver cuál es la
contraseña.
15
- Ingeniería Social
La ingeniería social consiste en hacerse pasar por ciertas personas (quizá que formen
parte de la empresa) para obtener información como las credenciales. Por ejemplo, un
llamar por teléfono a esa empresa “x” y entablar una conversación hasta obtener las
credenciales.
- Malware
Con el Keylogger el atacante puede observar todo lo que hace la vícitima e incluso
tomar printscreen durante las sesiones (Winder D., 2011). Esta herramienta graba y
registra todas las pulsaciones de las teclas de la víctima, y de esta forma el atacante
- Guessing
Es el método que utilizan los atacantes para obtener las contraseñas de sus víctimas,
utilizando la lógica y tratando de adivinar qué contraseña pudo haber creado esa
persona. Generalmente las contraseñas que se pueden adivinar son aquellas que el
usuario crea por lo fácil que es de recordar. Por otro lado, los atacantes utilizan este
16
2.4 Políticas de seguridad de contraseñas
Las políticas de contraseñas son una serie de reglas diseñadas para mejorar la seguridad
contraseñas más fuertes, con mayor complejidad, y un uso correcto de las mismas.
Estas políticas son parte de las regulaciones utilizadas en algunas empresas o enseñadas
en entrenamientos para que los usuarios mejoren sus conocimientos sobre la seguridad.
Estas reglas o políticas que utilizan las organizaciones para aplicárselas a los usuarios
por lo que es posible encontrar que cada organización presenta sus propias políticas de
contraseñas, algunas pueden ser similares, pero otras solo se encuentran en esa empresa.
- Tamaño de contraseña.
contraseña. Lo más típico en una contraseña de ocho caracteres, y como es lógico las
contraseñas más largas suelen ser más seguras porque estas suelen ser más difíciles de
17
- Fortaleza de la contraseña.
Esta consiste en una serie de requisitos que, son sugeridos o impuestos y, ayudan en
ejemplo:
minúsculas)
usuario
números comunes.
- Historial de contraseñas.
antiguas. Con esta política, se puede evitar que los usuarios alternen entre varias
para que estos no puedan volver a utilizar ninguna de las contraseñas almacenadas.
18
- Duración de contraseña.
Algunas políticas requieren que los usuarios cambien las contraseñas periódicamente,
generalmente cada 90 o 180 días. Aunque esta política parece de gran ayuda sus
Las listas negras de contraseñas son listas de contraseñas que siempre están
de caracteres que de otro modo cumplen con la política de la empresa, pero que no
deben utilizarse porque han sido consideradas inseguras por una o más razones, como
19
2.5 Practicas recomendadas para el usuario.
Las contraseñas más difíciles de romper, para una longitud determinada y conjunto de
caracteres, son cadenas de caracteres aleatorios; si es suficiente como para resistir ataques
de fuerza bruta (porque hay muchos caracteres) y adivinar ataques (debido a la entropía
alta). Sin embargo, tales contraseñas suelen ser las más difíciles de recordar. La
compartirlas con otras personas como una salvaguarda contra fallas de memoria, es decir,
- No utilizar la misma contraseña para más de una cuenta, en caso de utilizar la misma
ingeniería social.
20
- No mantener las contraseñas por defecto del sistema.
21
2.6 La entropía, complejidad de la contraseña
contraseña. Una contraseña con, por ejemplo, 42 bits de fuerza calculada de esta manera
sería tan fuerte como una cadena de 42 bits elegidos al azar, por ejemplo, con un
lanzamiento de moneda justo. Dicho de otra manera, una contraseña con 42 bits de fuerza
requeriría 242 intentos de agotar todas las posibilidades durante una búsqueda de fuerza
bruta. Por lo tanto, la adición de un bit de entropía a una contraseña duplica el número de
suposiciones necesarias, lo que hace que la tarea de un atacante sea dos veces más difícil.
En promedio, un atacante tendrá que probar la mitad de las contraseñas posibles antes de
encontrar la correcta.
22
3. Ingenierías en la Universidades de República Dominicana
“Institución de enseñanza superior que comprende diversas facultades, y que confiere los
etc.”
Las universidades públicas son aquellas instituciones que son en gran medida apoyadas
por fondos estatales. Las universidades privadas, por otro lado, son apoyadas por la
actualmente 5 universidades de las cuales solo una califica como una universidad
pública la cual es el Instituto Superior de Agricultura (ISA), mientras que las otras 4, son
Pont. Univ. Católica Madre y Maestra (PUCMM), Universidad Abierta para Adultos
23
3.2 Pontificia Universidad Católica Madre y Maestra.
educación superior y que está abierta a todas las personas sin distinción de raza, clase
abierto para la libre discusión de las ideas” y con su visión de “Ser una institución de
internacionalmente”(PUCMM)
24
3.3 Ingenierías en la Pontificia Universidad Católica Madre y Maestra.
Las ingenierías en la Pont. Univ. Católica Madre y Maestra están bajo la facultad del
de las carreras que componen la Facultad, la cual está dotada de principios éticos,
innovador y competitivo, enfrentando así el reto de educar a los ingenieros del futuro,
la innovación.”(PUCMM)
Las ingenierías que se encuentra bajo esta faculta son 6, a continuación, se mencionan y
se expresa de manera genera los conocimientos que cada una forma a los estudiantes de
universidad:
geotecnia y ambiental.(PUCMM)
25
- Ingeniería Electromecánica: El Ingeniero Electromecánico se dedica a la selección,
software para las necesidades de las distintas organizaciones, así como de la sociedad
en general.(PUCMM)
tecnologías: los enlaces de fibra óptica de alta velocidad, los canales satelitales, los
redes convergentes, los accesos de banda ancha, la seguridad en los datos, los
26
3.4 Web de Sistema Integrado de Servicios al Estudiante (WebSISE)
WebSISE es un servicio en línea que ofrece la Pont. Univ. Católica Madre y Maestra,
Mediante el WebSISE el estudiante puede realizar algunas de los procesos que le son
contraseña es utilizada para acceder a otras partes del Sistema Integrado de Servicios al
Estudiante (SISE).
La universidad requiere, a las entidades que requieren de esta contraseña, que cumpla
27
Revisión de la Literatura
Los estudios que se han realizado anteriormente, tienen una relación estrecha con el tema de
siguientes:
password-cracking.
Las contraseñas basadas en texto resultan el tipo dominante de contraseñas a pesar de los
tipos de ataques que se pueda hacer contra estas. Como respuesta a estos ataques, las
a medida que pasa el tiempo y surgen más ataques (P. GageKelley, S. Komanduri, 2012).
Este estudio se enfoca en analizar 12,000 contraseñas obtenidas vía un estudio online.
Además, este estudio se enfocó además en desarrollar un método eficiente para calcular
participantes que formaran parte del estudio fue abonándole dinero (P. GageKelley, S.
Komanduri, 2012).
28
Cada participante se le otorgó un escenario para crear contraseñas y se le pidió que las
contraseñas cumplieran con las políticas que se les exigía. El estudio se dividió en dos
escenarios:
a) Escenario de encuesta. En esta parte del estudio se les exigió a los participantes que
para las respuestas de la encuesta, se utilizaría una contraseña que ellos mismos
mismos tendría que imaginar que el servidor del correo ha sido atacado. Por lo tanto,
crear nuevamente las contraseñas. Se les pidió que siguieran los pasos que
Según los autores, ellos desarrollaron una técnica (calculador número-adivinador) para
entrenado con un data set, adivinaría una contraseña específica (P. GageKelley, S.
calcular qué tanto tiempo le tomaría a un atacante para adivinar algunas contraseñas de
29
Otra forma que se puede utilizar para calcular la seguridad de contraseñas, es el cálculo
Finalmente, este estudio fue realizado en Estados Unidos, pero la muestra que contribuyó
al estudio fue de diversos países ya que el estudio fue en línea y no se seleccionó un país
en específico.
Para ayudar a los usuarios a crear mejores contraseñas basadas en texto, muchos sitios
la fortaleza de la contraseña. Aunque estos medidores estén en gran uso, sus efectos en la
GageKelley). Este estudio se basa en medir cuáles efectos tienen los medidores de
contraseñas en la seguridad.
30
Resultados
Según los autores y los resultados del estudio, los medidores con una variedad de
apariencias visuales llevaron a los usuarios a crear contraseñas más largas. Sin embargo,
los mejores medidores fueron aquellos más estrictos que forzaban al usuario a incluir más
Los medidores de contraseñas tuvieron una gran influencia en los usuarios al momento de
crear las contraseñas. Luego de haber creado las contraseñas y ver el efecto que tienen los
medidores, se utilizó un algoritmo para tratar de adivinar las contraseñas. Se encontró que
las contraseñas creadas sin un medidor fueron más crackeadas que las que sí utilizaron un
En conclusión, otra forma de medir las contraseñas o más bien la fortaleza de estas,
puede ser utilizando las barras que son medidores que generalmente utilizan los sitios
web. Sin embargo, los mejores son aquellos que tienen más interacción con el usuario y
que son más robustos. Aquellos que le indican visualmente al usuario qué políticas de
31
3. Protección de Contraseñas: comportamiento de seguridad del usuario
final.
protección de datos. Durante esta investigación tuvo como objetivo el analizar cuestiones
32
Resultados
que la contraseña es fuerte. Esta es una de las razones por las que no aceptan la demanda
para cambiar la contraseña en la base regular durante el uso de los servicios de Internet
Este artículo se basa en los criterios que se deben de seguir para que lograr que las
contraseñas sean seguras. Es decir, para que pueda ayudar a tener algunos conceptos y
sean fácilmente adivinados. Como son las secuencias, Diccionarios, Datos personales,
heterogeneidad y temporalidad.
33
5. Contraseñas. Memorabilidad y Seguridad: algunas de las deficiencias de la
Si los humanos no tienen que recordar sus contraseñas, una contraseña segura al máximo
tendría máxima entropía: consistiría en una cadena, siempre que el sistema permite con
asignó aleatoriamente a los estudiantes a uno de tres grupos experimentales y dio a cada
debe tener al menos siete caracteres y contener al menos uno que no se una letra."
2. El grupo de contraseñas al azar (96 miembros) una hoja de papel con las letras A-
Z y los números 1-9 imprimir varias veces en la misma. Se les dijo que
seleccionaran una contraseña al cerrar sus ojos y escoger al azar ocho caracteres.
34
3. El grupo frase de paso (97 miembros) para elegir una contraseña basada en una
frase mnemotécnica.
Un mes después de las sesiones de tutoría, se tomó una instantánea de todos los archivos
3. Ataque de información del usuario: Explotar los datos de usuario recogidos de los
4. Ataque de fuerza bruta: tratar todas las posibles combinaciones de teclas. este
longitud.
35
6. De contraseñas y personas: la medición del efecto de las políticas de
Composición de Contraseñas
resultados con el comportamiento del usuario y el sentimiento para producir una serie de
Los autores llevaron a cabo el estudio en línea en dos partes usando MechanicalTurk de
una de las cinco condiciones. En la primera parte, se pidió a los participantes para crear
contraseña. Dos días más tarde se les pidió que volver a nuestro sitio web, inicio de
36
Método del estudio
Debido a que esta investigación “Usa recolección de datos para probar hipótesis con base en la
PUCMM, durante el semestre de agosto-diciembre del año 2016, como parte de los requisitos de
Fue realizada y aplicada a los estudiantes de dicha universidad, específicamente a los estudiantes
cincuenta y cinco (1355) estudiantes matriculados bajo la facultad de ingeniería. De este dato se
extrajo una muestra de 400 estudiantes la cual de, debido a falta de recursos, tiempo, personal y
Cabe destacar que la fórmula utilizada para extraer lamuestra fue la siguiente:
𝑁 ∗ 𝑍2 ∗ 𝑃 ∗ 𝑄
𝑛= 2
𝑑 ∗ (𝑁 − 1) ∗ 𝑍 2 ∗ 𝑃 ∗ 𝑄
Donde n es la muestra, Nes el universo o población, Z es el nivel de confianza (se usó 0,95), P es
37
Es necesario notar que los resultados obtenidos del estudio, son resultados que no se pueden
generalizar dado que la muestra obtenida no se aproxima a lo que es la muestra real calculada.
Por cuestión de tiempo, se eligió una muestra que se pudiera evaluar en el tiempo propuesto para
realizar el estudio.
experimental de forma de encuesta de opinión porque se utiliza una encuesta para ser llenada en
un momento determinado.
Como previamente fue mencionado, en esta investigación se implementó el uso de encuesta las
cuales fueron aplicada de manera digital (mediante Google Forms), permitiéndoles a cada
ingenierías.
38
En las siguientes páginas se mostrará un modelo de la encuesta realizada, de la cual fue separada
edad, género, e ingeniería que está cursando. En la segunda se recolectó información base de uso
pidió una serie de características de la contraseña que implementaron en la misma, como son la
cantidad de caracteres, y la cantidad de los diferentes tipos (letras minúsculas, letras mayúsculas,
números y caracteres especiales). Estos últimos datos recolectados se utilizaron como variables
El algoritmo utilizado consiste en una serie de características que debe de cumplir una contraseña
Donde:
- y es la cantidad de números,
39
- a es la cantidad de requisitos mínimos cumple y,
Los requisitos mínimos para que este algoritmo considere una contraseña como confiable o
segura son:
Las malas prácticas definidas por este algoritmo medidor de seguridad en las contraseñas se
basan principalmente en una contraseña que solo utilice letras, o solo números.
Por otro lado, las preguntas formuladas en la encuesta digital, fueron las siguientes:
1. Sexo:
a) Femenino
b) Masculino
2. Edad:
a) 17-19
b) 20-22
c) 23-25
d) 26 o más
40
4. ¿A qué carrera de Ingeniería pertenece?
a) Civil
b) Sistemas y Computación
c) Industrial
d) Electromecánica
e) Electrónica
f) Telemática
5. Seleccione las opciones que utiliza al momento de crear las contraseñas (puede
b) Fecha de aniversario
41
o) Combinación de números con significado (teléfono, cédula, placa, etc.)
p) Otro: _______________________
Mozilla, etc.)
d) Escribirlas en un papel
7. En escala del 1 al 5 de manera general, ¿qué tan segura considera usted que son sus
a) Sí
b) No
a) Sí
b) No
c) Algunas de ellas
42
12. ¿Utiliza alguna aplicación o programa para almacenar las contraseñas?
a) Sí
b) No
a) Sí
b) No
14. ¿Tiene conocimiento de algunas amenazas que se le puede hacer a las contraseñas?
a) Sí
a) Ataque de Diccionario
b) Fuerza bruta
c) Rainbowtable
d) Phishing
e) Ingeniería Social
f) Malware
g) Guessing
h) Otro: ______________
a) Sí
b) No
43
17. Si respondiste de manera afirmativa la pregunta anterior, ¿dónde ocurrió?
a) Red Social
b) Web SISE
c) Correo Electrónico
d) Otro: __________________
18. ¿Tiene habilitadas otras opciones de seguridad para sus cuentas (por ejemplo, preguntas
de seguridad) ?:
a) Sí
b) No
19. Seleccione las acciones que realiza con respecto a las contraseñas de WebSISE
e) Te limitas a crear una contraseña como especifica WebSISE con una longitud mínima
de 8 caracteres
a) Sí
b) No
44
24. ¿Qué cantidad de números utiliza en su contraseña de WebSISE?
WebSISE?
26. Del 1 al 5, ¿qué tan segura considera usted que es su contraseña de WebSISE donde el 1
Se utilizó esta técnica de hacer la mayoría de las preguntas de manera cerrada, para que al
45
Resultados
Los resultados del presente estudio, no fueron los esperados ya que la hipótesis que se tenía para
el estudio resultó ser falsa de acuerdo con los resultados obtenidos. Se esperaba que las
contraseñas creadas por los Ingenieros Telemáticos fueran las más seguras, ya que de acuerdo al
área en que se encuentran tienen más conocimiento del tema y de las implicaciones que se
Según los resultados del estudio, y según el método utilizado para medir el nivel de seguridad en
los estudiantes, los estudiantes de Ingeniería Electrónica resultaron tener el mayor nivel de
el análisis y respuestas a las preguntas de investigación del estudio, basándose en los resultados
obtenidos de la encuesta.
46
¿Son más seguras las contraseñas de los estudiantes de Telemática y Sistema que los de
otras Ingenierías?
La encuesta realizada dio como resultado que ni los estudiantes de la ingeniería telemática, ni los
de sistemas fueron lo que mostraron un mayor nivel de seguridad en sus contraseñas, sino los
Se calculó el nivel de seguridad de cada encuestado y luego se realizó una media ponderada de
47
El método implementado para determinar los niveles de seguridad mediante el algoritmo
- Número de caracteres.
- Letras mayúsculas
- Letras minúsculas
- Números
- Solo letras
- Solo números
- Caracteres repetidos
- Secuencia de números
48
La manera en que este sitio web evalúa el nivel de confiabilidad es permitiéndole al usuario
Para la encuesta, como no se les exigió a los usuarios que facilitaran las contraseñas, no se pudo
calcular el nivel de seguridad en base a todos esos factores. Por otro lado, cabe destacar que
palabras de diccionario y demás, para calcular el nivel de seguridad. Por lo tanto, los estudiantes
minúsculas.
La razón por la que se optó por calcular el nivel de seguridad de esta forma, es por la gran
variedad de respuestas que se obtuvo en cuanto a las acciones que realizan los usuarios al
momento de crear las contraseñas. Lo cual hizo más difícil encontrar un patrón para una gran
49
Diferencia de nivel de seguridad entre sexos:
Durante la investigación se encontró la información que las contraseñas creadas por mujeres
tuvieron un mayor nivel de seguridad promedio al compararse con la de los hombres, por un
pequeño margen.
INGENIERIAS
Sistemas &
Civil Electromecánica Electrónica Industrial Telemática Total
Computación
Hombre
5 7 6 12 12 20 62
SEXO
Mujer
6 3 0 9 2 11 31
Total
11 10 6 21 14 31 94
Tabla 1: nivel de seguridad por sexo.
50
Nivel de Seguridad de Contraseñas por Sexo
Hombres Mujeres
100.6
98
Nivel de Seguridad
tecnologías?
Según los resultados, el hecho de que estudies una carrera que tenga que ver con tecnología no
influye en la seguridad que tenga la contraseña. Por ejemplo, los estudiantes que obtuvieron el
nivel de seguridad más alto fueron los de Ingeniería Electrónica, y según los resultados de la
encuesta, estos estudiantes no tienen suficiente conocimiento como para tener la mejor seguridad
en la contraseña.
51
En el siguiente gráfico se puede observar el porcentaje de los estudiantes de Ingeniería
Electrónica encuestados, no tienen conocimiento de las amenazas que se le puede hacer a una
contraseña. Sin embargo, de acuerdo al método empleado para calcular el nivel de seguridad,
52
Por otro lado, se podría pensar que quizá los estudiantes de Ingeniería Electrónica tienen este
nivel de seguridad mayor debido a quizás alguna experiencia en cuanto al robo de contraseñas.
Sin embargo, este no fue el caso, porque según los resultados más de un 50% de los estudiantes
de ITE encuestados, no han sido víctimas de robos de contraseñas. Esto se puede demostrar con
el siguiente gráfico 4:
Gráfico 4: porcentaje de estudiantes ITE que han sido víctimas de robo de contraseña.
53
En cuanto a los estudiantes de Ingeniería Telemática encuestados, la mayoría de estos, según los
resultados, tienen conocimiento en cuanto a las amenazas que se le puede hacer a las
contraseñas, sin embargo, no obtuvieron el mayor nivel de seguridad con el método empleado. A
54
Gráfico 6: conocimiento de seguridad.
Como se puede observar en los gráficos anteriores (5 y 6), la gran mayoría de los estudiantes
Telemáticos encuestados sí tienen conocimiento de seguridad. Por lo que se puede concluir que a
pesar de que una carrera esté orientada a la tecnología, no significa que el nivel de seguridad en
55
Discusiones
Los objetivos propuestos, tanto de manera general como específicos, fueron cumplidos. Las
preguntas de investigación definidas para este trabajo fueron respondidas, y el nivel de seguridad
de las contraseñas utilizadas por los Ingenieros para WebSISE fueron medidos. Sin embargo, los
resultados del estudio no fueron los esperados en base a la hipótesis que se definió.
Dado los resultados del estudio realizado y en base al método seleccionado para medir el nivel de
anterior, los estudiantes de Ingeniería Telemática no muestran la mayor seguridad en cuanto a las
minúsculas, símbolos, y demás) influya en el resultado del estudio. Es decir, la mejor manera
para medir el nivel de seguridad no solo es basándose en la cantidad (ya sea de letras, números,
caracteres especiales, etc.) sino también en el contenido de la contraseña (si utiliza palabra de
diccionario, o si utiliza combinaciones de significado con números, etc.). Pueda ser que los
estudiantes ITE sí tuvieran una mayor cantidad de caracteres, pero quizá no significa que estas
contraseñas no sean fáciles de adivinar con los tipos de ataques descritos en el presente trabajo.
Tampoco significa que no implementen malas prácticas de seguridad como, por ejemplo,
56
Viendo la situación desde otro aspecto, pueda ser que los estudiantes de Ingeniería Telemática no
tengan el mayor nivel de seguridad solamente en las contraseñas de WebSISE porque quizá no
tienen información confidencial que pueda ser comprometida. Pero quizás en sistemas como por
ejemplo Internet Banking, el asunto cambia; esto sería un punto que habría que evaluarlo.
Por otro lado, pueda ser que simplemente los estudiantes, a pesar de que tengan conocimientos
de seguridad, encuentrenun trabajo pesado aprenderse contraseñas difíciles, e incluso les parece
molesto cambiarla regularmente. Según los resultados obtenidos, un 78.5% de los encuestados
considera que es molesto cambiar de contraseña cada 3 meses (ver gráfico 7 en el apéndice).
Esto puede ser un factor que podría explicar por qué muchos de los usuarios implementan malas
prácticas al momento de crear las contraseñas, que no importa qué tanto conocimiento se tenga
regularmente.
Lo primero a recomendar, sería primero validar con otro tipo de fuente la veracidad de este
estudio. Es decir, hacer otro estudio que mida el nivel de las contraseñas y verificar si
nuevamente los estudiantes de Ingeniería Electrónica resultan ser los que tienen el mayor nivel
de seguridad.
57
Otro punto importante sería que las instituciones provean programas donde se pueda crear
también tenga la facilidad de almacenarla en un programa que sea seguro. De la misma forma, el
programa se podría encargar de cambiar las contraseñas cada x tiempo que requiera la
institución. Así, la empresa o institución no tiene que preocuparse porque el usuario esté
Finalmente, según los resultados y como era de esperar en este aspecto, los estudiantes que no
estudian carreras que no tienen que ver con tecnología, no tienen conocimiento suficiente con el
tema de seguridad de contraseñas. Un aspecto importante que toda institución debería considerar
es, instruir o guiar al usuario, ensenarle qué implica tener malas prácticas en las contraseñas, ya
58
Referencias Bibliográficas
59
2016, de Tecnología Diaria: http://www.tecnologiadiaria.com/2010/08/5-criterios-crear-
contrasenas-seguras.html
Yan, J., Blackwell, A., Anderson, R., & Grant, A. (2004). Password Memorability and. IEEE Security
& Privacy , 25-30.
Dirección del registro, PUCMM. (2009). Procedimientos Académicos. Manual del Estudiante.
Santiago de los Caballeros, Republica Dominicana: Pontificia Universidad Católica Madre y
Maestra.
60
Apéndice
Gráfico 7.
61