Seguridad: recomendaciones sobre tus contraseñas

4/5 - (41 votos)

¿Utilizas la misma contraseña para diferentes servicios? ¿Sabes gestionar contraseñas? ¿Cuántas apps tienes instaladas en tu móvil? Si, como se dice, un usuario medio utiliza unas 30 aplicaciones diferentes al mes, se entiende ese otro dato que asegura que el 86% de los usuarios utilizan contraseñas que ya han sido descifradas.

Porque a pesar de que hoy en día hay más formas de autenticación que nunca, las contraseñas tradicionales siguen siendo la opción de inicio de sesión más popular entre la mayoría de los usuarios.

En este artículo repasaremos los mitos más comunes asociados a las contraseñas, cómo mejorarlas y qué buenas prácticas podemos incluir en nuestro día a día para garantizar una buena cobertura de nuestros datos.

Cuatro recomendaciones básicas para gestionar contraseñas

¿Quieres un resumen rápido de cómo mejorar tus contraseñas? Aquí tienes una guía condensada de ideas:

  1. ¿Puedo usar la misma contraseña en varios sitios? No. Vale que es difícil gestionar 30 contraseñas diferentes, pero al menos no utilices la misma para todo. Utiliza un gestor de contraseñas o diferencia claramente entre aplicaciones críticas (tu banco, tu cuenta principal de correo… ) y aquellas más anodinas: y no utilices la misma contraseña, ni siquiera parecida, entre unas y otras.
  2. ¿Cómo puedo recordar mi contraseña? Ejercita tu memoria o utiliza un administrador. Si no te sientes cómodo con este tipo de herramientas tecnológicas, hasta puedes ponerlas por escrito, eso sí: ¡lejos del ordenador y de tu móvil, por favor!
  3. ¿Con qué frecuencia debo cambiar mi contraseña? Si las contraseñas son personales, y lo suficientemente fuertes, no hay problema con mantenerlas a lo largo del tiempo, siempre y cuando no estén comprometidas. En tu vida profesional es conveniente cambiarla cada dos o tres meses, o lo que indique el plan de ciberseguridad de tu compañía.
  4. ¿Qué es eso de la autenticación de dos factores? Siempre que sea posible y el servicio o la aplicación te lo permita, habilita la autenticación de doble factor. Te contamos qué es. Nunca desaproveches los recursos de seguridad que se ponen a tu alcance.

Códigos secretos y tecnología

Salvo que seas una celebrity, trabajes en una agencia secreta u ocupes un cargo político, económico o militar relevante, las probabilidades de que roben tus contraseñas de forma tradicional, investigándote y probando diferentes combinaciones, como en las películas antiguas, son remotas.

La delincuencia tecnológica de estos días es refinada, industrial e hipertecnológica. En realidad, lo que sucede es que los hackers buscan hacerse con bases de datos completas, contraseñas incluidas.

Estas bases de datos contienen contraseñas asociadas a usuarios y, aunque no siempre, cifradas. Pero, incluso en el caso de que estén cifradas, no tardarán mucho en descifrar las credenciales almacenadas en dicha base de datos.

Después, los atacantes pueden utilizar esas credenciales de dos formas: o usándolas solo en el sitio original (la web o app a la que se corresponden esas credenciales) o intentando operar con ellas de forma masiva en otras webs.

Por ejemplo, si consiguen hackear una aplicación sencilla, sin mucha protección, en donde encuentran un usuario, por ejemplo, “Manuel346” con la contraseña asociada “18458/Micasa”, probarán esa misma contraseña en sitios más fértiles, como bancos, tiendas online, cuentas de correo… Y lo harán de forma masiva, utilizando algoritmos y herramientas que les permiten probar en miles de sitios webs diferentes, que diferentes variaciones de esa misma contraseña.

Además, es posible que una vez que la contraseña está comprometida, se añada a alguna de las bases de datos o listas que los hackers comparten para nuevos ataques. En la web Have I Been Pwned, creada por el experto en seguridad Troy Hunt, podrás comprobar con tan solo poner tu email si apareces en alguna de estas listas. Al poner el correo y darle al botón «pwned», te indicará en qué sitios web se ha visto tu correo electrónico y contraseña.

Qué hace una contraseña realmente fuerte

Lo más importante a la hora de gestionar contraseñas no es lo complejas que sean, sino dónde y cómo se almacenan. Si tu memoria no es lo suficientemente potente como para memorizar diferentes tipos de contraseñas (insistimos: no utilices la misma para todo), deberás almacenarla en un formato cifrado y utilizando algoritmos criptográficos fuertes. Suena complejo, pero hay aplicaciones que lo hacen fácil.

Si no eres un responsable a cargo del almacenamiento de las contraseñas de tu empresa o simplemente quieres mejorar la seguridad de tus datos personales, estos es lo que debes recordar (y lo que puedes controlar).

Longitud de la contraseña

La dificultad de la contraseña se incrementa exponencialmente con cada carácter adicional. Esto significa que no se necesita una contraseña de 50 caracteres para que tenga gran fuerza.

Por ejemplo, una contraseña que tiene 9 caracteres de longitud requerirá alrededor de dos horas para ser descifrada con los recursos informáticos de hoy en día.

Añadir un solo carácter más, significa que un par de horas se convierten en una semana. Cuando llegues a los 12 caracteres, se necesitan aproximadamente 100 años para conseguir descifrarla.

Singularidad

Como hemos comentado, si una contraseña queda expuesta, los atacantes intentarán ingresar en todas las cuentas posibles, lo que significa que reutilizarlas es siempre una mala idea.

Por supuesto, tampoco utilices la contraseña de otra persona. Una vez que un hacker termina con tu contraseña, se suelen publicar en listas abiertas, por lo que es posible que puedan asociarla con otro usuario.

Por eso, no utilices frases comunes, tipo “qwertyqwerty”, “123456789” o “pepelopez1”. Aunque son fáciles de recordar y tengan la longitud deseada, es probable que alguien más la haya utilizado y esté quemada.

Más recomendaciones sobre contraseñas

Para resumir, la contraseña ideal es de al menos 12 caracteres, está almacenada de forma segura y es completamente única. Fácil, ¿verdad?

Si quieres añadir una capa de seguridad extra a tu seguridad, añade estas recomendaciones a tu lista de buenas prácticas:

Usa un administrador de contraseñas

Casi todos los administradores de contraseñas del mercado funcionan igual. Tienen una contraseña maestra muy segura que permite desbloquear el almacenamiento de contraseñas bien cifradas.

En lugar de tener que recordar cientos de contraseñas, solo debes recordar una, de forma que si se ve comprometida, solo debes realizar un cambio, no cientos. Además, algunos gestores de contraseñas te avisan si se produce alguna infracción en su servicio, por lo que se vuelve una opción práctica en todos los sentidos.

Podrías pensar que dejar todas tus contraseñas almacenadas en un solo servicio es una bomba de relojería, y tienes razón. Sin embargo, no pierdas de vista que el negocio de los gestores de contraseñas es precisamente la seguridad, por lo que se esfuerzan mucho más que otros servicios en garantizar que la contraseña maestra está bien protegida.

Activar la autenticación de doble factor (SCA)

Si bien no es estrictamente aplicable a la seguridad de la contraseña en sí misma, la autenticación de doble factor es una capa extra que puedes añadir sin demasiado esfuerzo.

Este tipo de autentificación complica mucho la vida a los atacantes, especialmente a los que no van expresamente a por ti, por lo que evitarás ser un blanco fácil.

Sin embargo, es importante recordar que la doble autenticación no hace que tu contraseña sea invencible. Todavía eres bastante vulnerable a las campañas de phishing y ataques de ingeniería social.

En particular, debes tener cuidado con la doble autenticación basada en mensajes de texto, que sigue siendo el tipo más compatible. Si bien es mucho mejor que no tener nada, se puede evitar mediante el secuestro de SIM, un tipo de ataque cada vez más común.

Las soluciones la doble autenticación basadas en aplicaciones, como Google Authenticator o Authy te protegen contra estos ataques, por lo que deberían ser tu opción principal para cualquier servicio que los admita como forma de inicio de sesión.

La forma más segura de doble autenticación es la basada en hardware, como Yubikey, que requiere que esté presente un token físico para autenticar al usuario, aunque puede parecer exagerado para los usuarios domésticos.

Utiliza las preguntas de seguridad como contraseñas secundarias

Una debilidad que a menudo se pasa por alto en muchas configuraciones de contraseñas son las preguntas de seguridad que se usan para restablecer las contraseñas olvidadas.

Las respuestas a estas preguntas tienden a ser cortas y no muy complejas, lo que las hace débiles a los ataques.

El problema está en que muchos hackers no necesitarán un ataque de fuerza bruta para encontrar la respuesta a estas preguntas, ya que es probable que hayas compartido esta información online en algún momento en las redes sociales.

El nombre del primer colegio al que fuiste o el nombre de tu primera mascota podían ser algo que solo unos pocos supieran en los años 70, pero no hoy en día. El nombre de tu primer colegio aparecerá en Facebook y seguro que has publicado alguna foto mencionando a tu gata Shally en algún momento de la última década.

En lugar de responder con la verdad a las preguntas de seguridad, utiliza estas preguntas para gestionar contraseñas secundarias y crear cadenas sólidas y únicas.

Puede parecer raro decir que el segundo nombre de su padre es “R-qM5 \ f # .. ^ bSp + g”, pero evitará que los piratas informáticos aprovechen una vulnerabilidad de restablecimiento de contraseña para robar tu cuenta.

Si estás utilizando un administrador de contraseñas, es probable que no necesites usar estas preguntas de seguridad.

Esperamos que con estas recomendaciones sobre contraseñas hayas tomado conciencia de que no es tan complicado fortalecer tu seguridad y que hay mitos sobre ellas que debes descartar en aras de proteger lo que más te importa, tus datos.

 

Logo Movil

Recibe nuestros contenidos más útiles

Suscríbete a nuestra newsletter y te los enviaremos, cada quince días, a tu bandeja de entrada. Consigue además nuestra guía para evitar estafas online, ¡por tiempo limitado!