Consejos HC

Día Mundial de la Contraseña: cómo puedes tener la mejor clave

Son uno de los elementos más valiosos de nuestra vida digital, pero mucha gente sigue cayendo en conductas de riesgo. Os contamos cuáles son los principales peligros con las contraseñas y cómo crear una a prueba de crackers.

Imagen de un candado depositado sobre unas tarjetas de crédito y un ordenador
Foto: Piqsels.

Este jueves, como cada primer jueves de mayo, se celebra el Día Mundial de la Contraseña. Estos elementos se han vuelto rutinarios en nuestra vida digital y suponen la puerta que abre o cierra el acceso a nuestras redes sociales, cuentas bancarias o cualquier tipo de servicio en Internet.

Incluso en los coches ya se han vuelto un sistema de identificación habitual. Los vehículos de hoy en día suelen pedir una contraseña para conectar el Wifi o el Bluetooth, además de para acceder a la aplicación de la marca.

Según señala Check Point, “las contraseñas continúan siendo el sistema más utilizado para mantener a salvo los datos personales o para permitir el acceso a un servicio, tanto personal como profesionalmente y, por tanto, un blanco claro para los ciberdelincuentes”.

Por eso, su importancia es vital para preservar nuestra privacidad en Internet. Así que, aprovechando esta efeméride, te ofrecemos algunas recomendaciones para que uses de forma más eficaz y segura tus contraseñas.

¿Cuáles son las principales técnicas de robo de contraseñas?

Desde Sentinel One avisan de 7 métodos que tienen los ciberdelincuentes para hacerse con tus credenciales, ya sean de correo electrónico o cualquier clave que tengas para acceder a alguna plataforma.

Relleno de credenciales

Consiste en probar las contraseñas y nombres de usuarios extraídos de bases de datos robadas en varias cuentas para ver si hay coincidencia y se permite el acceso.

Esta es una práctica bastante habitual. Las páginas web que piden nombres de usuario y contraseñas para acceder a ellas guardan estas credenciales en una base de datos. Esa base de datos, si está poco protegida, podría ser robada por un ciberdelincuente, quien podría emplear esos nombres de usuario y contraseñas a partir de ese momento. El beneficio para los crackers está en que muchos usuarios repiten las mismas credenciales -usuario y contraseña- en múltiples plataformas, por lo que hay muchas posibilidades de acceder a varios sitios con las mismas claves.

Evidentemente, este proceso no se hace de forma manual, ya que sería muy poco eficiente. Por eso, los ciberdelincuentes han desarrollado programas informáticos que funcionan por fuerza bruta. Es decir, una sucesión infinita de ensayo/error que prueban combinaciones de contraseñas y correos para ver cuáles abren la puerta a una plataforma.

Debido a la automatización del proceso, el riesgo de sufrirlo es elevado: los piratas prueban diariamente millones de credenciales.

Para evitar ser víctima de este ataque, lo mejor es tener una contraseña única para cada sitio. Si cumples esta regla, dará igual que se filtre tu contraseña: solo sufrirás las consecuencias en una plataforma, por lo que minimizarás las consecuencias.

Phishing

El phishing es uno de los ciberataques más habituales. Con esta técnica, los ciberdelincuentes utilizan un mensaje y un canal que parecen seguros para la víctima. El delincuente explica en su mensaje que la víctima necesita proporcionarle determinados datos personales o pagar inmediatamente una cantidad de dinero. De esta manera, podría hacerse con los nombres de usuario y las contraseñas de su objetivo.

Este ataque es complicado de detectar. Los piratas informáticos se toman muchas molestias en suplantar adecuadamente la imagen visual de los sitios a los que imitan para hacer más creíble el engaño.

¿La clave para evitar este engaño? No fiarse nunca de un mensaje en Internet que te pida que proporciones tus datos personales. Ninguna empresa solicitará datos bancarios o financieros por ese canal, así que, si te lo piden, sospecha.

Pulverización de contraseñas

123456, password… Parece mentira, pero todavía hay gente que sigue confiando en contraseñas tan evidentes. Los crakers lo saben y, mediante ensayo/error -igual que pasaba en el relleno de credenciales-, van probando para ver si alguna de ellas encaja con los nombres de usuarios a los que han logrado acceder.

¿Qué puedes hacer para evitarlo? No tener una contraseña fácil de adivinar, algo que te explicamos al final de este artículo.

Registro de teclas

Los registradores de teclas son programas informáticos que guardan las pulsaciones que hace el usuario sobre su teclado. De esta forma, pueden copiar todo lo que este haya escrito en su ordenador. Gracias a ellos, los ciberdelincuentes podrían saber las contraseñas que se tecleen en el dispositivo afectado.

A diferencia de los anteriores ataques, el registro de teclas no se puede hacer de forma masiva, sino únicamente se dirigen a una víctima en concreto. Además, también es más difícil de llevar a cabo.

Para defenderse de estos registradores de teclas, hay que aplicar soluciones de seguridad para detectar software malicioso. No sirve de nada construir una clave fuerte y segura, ya que quedará registrada igualmente en estos programas informáticos.

Fuerza bruta

Son algoritmos que prueban múltiples combinaciones de caracteres hasta dar con una que es una contraseña real.

Lo logran mediante herramientas de software que prueban numerosas combinaciones al mismo tiempo para encontrar alguna combinación válida mediante varias técnicas. La más llamativa es el ataque de diccionario, que consiste en usar cada palabra del diccionario para ver si alguna de ellas es una clave válida.

Es raro que una contraseña contenga únicamente palabras evidentes y no incluyan algún carácter aleatorio. Por eso, el riesgo de que se produzca un ataque de estas características es bajo. Si quieres evitar este tipo de incidentes, tan solo debes asegurarte de tener una contraseña lo suficientemente segura.

Descubrimiento local

Es una técnica empleada para atacar a una víctima conocida o a la que se tiene acceso.

Se trata de algo tan sencillo como dejar visible tu contraseña sin ningún tipo de cifrado. O sea, dejarla apuntada en un papel o en un documento en el ordenador, de forma que cualquiera cercano a ti podría consultarla.

El riesgo de sufrir este ataque es bajo, pero conviene ser precavidos y no dejar nuestros datos personales al alcance de cualquiera.

Extorsión

Se trata, básicamente, de un chantaje. Esta técnica consiste en exigirte que entregues tus credenciales o, en caso contrario, sufrirás consecuencias desagradables. Puede ser mediante una amenaza a la seguridad física o mediante la revelación de información sensible, como imágenes o vídeos privados.

La posibilidad de que suceda este ataque es baja, pero no por ello debe ser descartable. No hay una regla clara para lidiar con este tipo de amenazas.

¿Cómo puedes saber si tienes una contraseña segura?

Según explica INCIBE, uno de los errores más habituales que se comenten en materia de contraseñas es utilizar un clave débil que, además se use en varios servicios.

Por eso, lo más importante para evitar que te roben la contraseña es contar con una clave larga y fuerte. En este artículo, el consultor de Presencia Digital y Reputación Online Pablo F. Iglesias te daba algunos consejos para construir una contraseña robusta:

  • Que sea fácil de recordar. A priori, parece contraproducente, pero una contraseña es un sistema de identificación basado en el conocimiento, y por tanto, tiene que ser fácilmente recordable por nosotros.
  • Que sea larga. Mientras más larga, mejor, ya que más entropía incluyes en la ecuación. Por ejemplo, «mypassword» es una contraseña que llevaría 59 minutos a un sistema de fuerza bruta tradicional descubrirla. Sin embargo «mypasswordisgood» es igual de sencilla y llevaría a la máquina 35.000 años.
  • Mezcla de caracteres. A igual número de caracteres, una contraseña con solo minúsculas, y otra que incluya mayúsculas y números ha demostrado ser muchísimo más segura. En el caso anterior con «mypassword» teníamos una clave débil, que en una hora se podía descubrir con pura fuerza bruta. Si en vez de esa contraseña ponemos«MyP4ssword», aún siendo todavía bastante débil, forzaríamos a esa máquina a trabajar durante 8 meses para obtenerla.
  • Nada personal. Un error muy habitual es utilizar para las contraseñas fechas, nombres o datos personales nuestros y/o de nuestros familiares. Recuerda que aunque aquí estamos hablando de la robustez de una contraseña basándonos en su propia estructura y caracteres, si incluimos datos personales facilitamos que terceros que nos conozcan lo tengan infinitamente más fácil para robárnoslas.
  • El truco español. En nuestro idioma tenemos una particularidad extra que por sencilla que parezca nos permite crear una contraseña mucho más segura: nuestra querida «Ñ». Simplemente por incluir este carácter en nuestra clave, y puesto que la mayoría de estas herramientas de fuerza bruta genéricas están creadas para un mercado global, pasamos por ejemplo de esos 59 minutos que tiene «contrasena» a los 500 años que me nos daría un «contraseña».

¿Crees que ya tienes una clave a prueba de crackers? Puedes ponerla a prueba en HowSecureIsMyPassword, un servicio gratuito que permite calcular cuánto tiempo le llevaría a un cracker adivinar nuestra clave usando un programa de fuerza bruta.

¿Y qué pasará con tus contraseñas cuando mueras?

Si tomamos todas esas precauciones, será muy difícil que nadie dé con nuestras claves de acceso. Pero ¿qué pasará el día en que fallezcamos? Nosotros abandonaremos este mundo, pero nuestro Twitter seguirá siendo tan visible como siempre, porque como solo nosotros sabíamos las contraseñas de entrada, nadie podrá eliminar la cuenta.

Para evitar esta situación, algunos gestores de contraseñas -como LastPass o 1Password– ofrecen la posibilidad de designar a una persona como contacto para estas situaciones.

Con el consentimiento del usuario, se establece a uno de sus familiares o amigos como contacto para acceder a sus claves en caso de que suceda alguna desgracia. Este servicio consiste en que, cuando este contacto de emergencia intacta acceder a las contraseñas del usuario, los gestores se intentan poner en contacto con el usuario por todas las vías habilitadas -email y el teléfono móvil mediante mensajes de texto y llamadas-. Si no consiguen contactar en un tiempo -cuya extensión es configurable-, dan acceso a la cuenta al contacto de emergencia.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.