20 Sep Cambio periódico de contraseñas: garantía de seguridad
En muchos casos nos sentimos molestos e incluso nos parece un castigo el cambio periódico de contraseñas o el registro en diferentes servicios de Internet que nos implica pensar en una contraseña nueva cada vez.
Si hay algo que necesitamos es concienciarnos de que la contraseña es una medida de seguridad, que en muchos casos por comodidad despreciamos.
Es digno de mención que en 2018 las contraseñas más utilizadas a nivel mundial sean 123456 y password, algo que denota la poca importancia que damos a esta medida de seguridad. Debemos reflexionar respecto a los datos que estamos protegiendo con esa contraseña, eso es lo realmente valioso y lo que justifica la existencia de ciberataques.
Las contraseñas tienen algunos problemas intrínsecos. Primero, las contraseñas más cortas son las más fáciles de recordar, pero también las más fáciles de adivinar. Segundo, naturalmente, las más largas son más difíciles de adivinar, pero también más difíciles de recordar.
Además, puede ser difícil tener tantas contraseñas diferentes. Piensa en la cantidad de cuentas online que el usuario promedio tiene: banking, correo electrónico, correo electrónico secundario, Facebook, Twitter, Skype, Spotify, Netflix…, y como consecuencia, los que quieren evitarse dolores de cabeza se limitan a repetir una o dos contraseñas en todos sus servicios. Y ese, por supuesto, es un serio problema: si los atacantes dan con ella, tienen acceso a todo.
Debemos reflexionar respecto a los datos que estamos protegiendo con esa contraseña, eso es lo realmente valioso y lo que justifica la existencia de ciberataques.
Las contraseñas informáticas nacen en 1961 de manos de Fernando Corbató, conocido como el padre de la contraseña informática moderna, para establecer el acceso a archivos en los ordenadores compartidos del MIT. Debido a la simplicidad del método acabaría siendo el referente como medio de identificación en computación, aunque su propia simplicidad es también su debilidad.
Imaginemos que si ya en los años ’60 se consideraba que no sería el medio más seguro de acceso hoy en día no ha mejorado, sobre todo porque hoy en día todo está online y la importancia de los datos que manejamos en nuestros ordenadores es cada vez más alta: banca, compras, datos de clientes, datos personales… y todo bajo la fina tela de seguridad que nos ofrece una contraseña.
Ciberataques que logran descifrar tus contraseñas
Afortunadamente cada vez somos más conscientes de los peligros de seguridad en internet, aunque muchas veces, como usuario, no somos conscientes del formato que tienen dichos ataques.
Phishing
Es uno de los ataques más utilizados debido a su alto porcentaje de éxito. Consiste en el envío de un correo electrónico que aparenta proceder de fuentes fiables, como por ejemplo, entidades bancarias, y una vez conseguida la confianza del usuario lo utiliza en su beneficio para obtener datos confidenciales que luego son utilizados para realizar algún tipo de fraude.
Para ello suelen introducir algún tipo de enlace que conduce a páginas web falsificadas donde los usuarios escriben sus datos pensando estar en un sitio de confianza y los estafadores los registran para su utilización posterior.
Ataques para descifrar contraseñas
A través de diferentes softwares específicamente creados se prueban combinaciones hasta encontrar la contraseña que da el acceso a la cuenta. Estos ataques pueden combinarse con el uso de combinaciones de palabras de un diccionario, por ejemplo.
Keyloggers, herramientas que registran el tecleo
Habitualmente aparecen como programas informáticos que se instalan en los equipos y se ejecutan sin que nos demos cuenta, en muchas ocasiones se transmiten de unos ordenadores a otros a través de dispositivos de memoria USB.
Todo lo que teclea el usuario en la máquina infectada queda registrado por el keylogger, que puede obtener contraseñas, conversaciones, números de tarjetas de crédito…
¿Qué es una contraseña segura?
Probablemente la contraseña más segura es aquella que no puedes recordar, aunque esto siempre nos acaba llevando a construir documentos y listados de contraseñas que son una brecha de seguridad en sí mismos.
Para que una contraseña sea segura debe cumplir dos máximas:
- Debe tener 8 caracteres o más, para dificultar al máximo los ataques masivos.
- Debe ser compleja y mezclar mayúsculas, minúsculas, números y caracteres especiales.
Este es el mayor problema que se presenta a los usuarios, en la mayor parte de los casos si cumplimos con todos los requisitos la contraseña resultante, Z15c=f28, es muy difícil de recordar. Es aquí donde muchos usuarios se dan por vencidos y deciden elegir una contraseña que, ante todo, sea fácil de recordar, y por tanto, insegura.
¿Cómo crear contraseñas seguras?
El experto en seguridad Bruce Schneier recomendaba ya en 2008 un método para crear contraseñas seguras que aún sigue vigente hoy en día, consiste en crear una clave a través de una frase, por ejemplo: “La Guerra Civil comenzó en 1936” que respetando mayúsculas y minúsculas y con exclamaciones en principio y fin podría darnos una contraseña de este tipo ¡LaGueCicoen1936!
Otro método muy utilizado es el método PAO, cuyas siglas significan persona, acción y objeto, por ejemplo SabinaTrabajadePirataCojo, aunque sería conveniente que al menos incluyese algún número o símbolo como PericoComeBotones100%, es importante no utilizar palabras que estén relacionadas entre sí, puesto que las herramientas para explotar contraseñas son cada día más potentes y pueden recurrir a estudios semánticos que relacionen palabras.
¿Cómo guardar tus contraseñas de forma segura?
Lo más práctico es encontrar un buen método de creación de contraseñas, que nos resulte cómodo y tratar de recordarlas, esa es sin duda la opción más segura. Como sabemos que no tiene por qué ser la más práctica existen gestores de contraseñas que nos ofrecen un lugar seguro donde guardarlas como 1password o KeePass.
Eso si, ante todo, nunca en un Post-it pegado en la pantalla del ordenador, por favor 😉