Introducción
Hace algunas semanas ofrecimos algunos consejos generales para proteger los datos que se comparten en Internet, y preservar la privacidad de los mismos. (os compartimos el enlace, por si queréis saber más: https://www.unimedia.tech/es/seguridad-consejos-de-los-expertos/
Uno de los puntos claves de la ciberseguridad que comentábamos en nuestro anterior artículo, eran las contraseñas. El enorme aumento de herramientas digitales que utilizamos a diario hace que necesitemos usar contraseñas continuamente. En nuestro trabajo y en nuestra vida personal. Por eso es tan importante que, como usuarios, tomemos precauciones y seamos conscientes de la importancia de utilizar contraseñas seguras.
Aunque cuando pensamos en “contraseñas”, automáticamente las relacionamos con el mundo informático y digital, no son un invento reciente.
- Tenemos constancia de que los soldados de la antigua Roma escribían una consigna en una tablilla en el momento de relevo a otro soldado en una guardia.
- Durante la Edad Media, los guardianes de los castillos utilizaban un “santo y seña” para permitir la entrada solo a aquellos que conocían esa palabra secreta. De esta forma evitaban a los intrusos no deseados.
- Mucho se ha escrito sobre los cifrados utilizados durante la II Guerra Mundial. Los códigos y contraseñas se volvieron cruciales en las comunicaciones seguras entre los ejércitos. A unos 80 kilómetros de Londres se alza Bletchley Park, un conjunto de instalaciones militares en las que durante la II Guerra Mundial se analizaron los mensajes que eran interceptados a los alemanes. La mayoría de ellos se generaban en clave con máquinas de cifrado, como la famosa Enigma, de forma que los técnicos aliados debían utilizar los sistemas e ingenios más avanzados de la época para poder desencriptarlos.
- Y uno de los primeros casos documentados de contraseñas informáticas en la historia ya tiene más de medio siglo de edad. Surgió en 1961, en el Instituto de Tecnología de Massachusetts (MIT). Allí se estableció una forma temprana de autenticación mediante contraseñas para acceder a los sistemas informáticos. En ese momento, los usuarios del sistema CTSS (Compatible Time-Sharing System), que fue uno de los primeros sistemas operativos de tiempo compartido, podían utilizar contraseñas para proteger sus cuentas y datos personales en el sistema.
¿Por qué es tan importante utilizar contraseñas seguras?
Los hackers utilizan diversos métodos y sistemas para obtener una contraseña, rompiendo así la barrera de ciberseguridad que protege los datos. Podemos definir dos vías de ataque principales para conseguirlas.
- Utilizar al propio usuario: a través de estrategias engañosas, consiguen que se les facilite la contraseña, directa o indirectamente. Entrarían en esta categoría el phishing, la ingeniería social o los programas malignos.
- Espiar las comunicaciones: el usuario no interviene en este caso. Los hackers comprometen la seguridad del medio a través de ataques (fuerza bruta, diccionarios…), monitorizando las redes o con “prueba-error”.
Y aunque parezca algo increíble, en muchas ocasiones consiguen robar contraseñas con la técnica, burda a la vez que efectiva, del “shoulder surfing” o espiar por encima del hombro. Mucha alerta cuando utilicemos cajeros automáticos o realicemos pagos con tarjetas.
Contraseñas inseguras
Cada año, las empresas de ciberseguridad publican listados que recogen las contraseñas más utilizadas a nivel local y a nivel global. El hecho de que existan contraseñas que se utilizan repetidamente, ya es una clara señal de alarma. Para 2023, las 10 contraseñas más utilizadas a nivel mundial son:
- 123456
- password
- 123456789
- 12345
- 12345678
- qwerty
- 1234567
- 111111
- 123123
- 1234567890
En tan sólo 10 intentos (uno por cada contraseña de la lista) un hacker puede tener acceso a los datos de miles y miles de usuarios. Son, por lo tanto, las contraseñas más inseguras y frágiles. Utilizarlas sería como dejar las llaves puestas en la puerta de nuestra casa, una clara invitación a que nos roben nuestra información.
Errores al crear una contraseña
En el proceso de crear una contraseña, solemos utilizar por costumbre, elementos que nos ayudan a recordarlas. Pero, sin ser conscientes, estamos cometiendo errores que pondrán en riesgo nuestra ciberseguridad. Por ello, recomendamos:
- No utilizar nombres personales, ni de familiares, amigos o mascotas.
- No utilizar únicamente letras del alfabeto a-z o números del 0 al 9.
- No utilizar nombres de ficción: personajes, libros, películas.
- No utilizar nombres de ciudades ni lugares.
- No utilizar nombres comerciales como serían marcas de vehículos o tecnología.
- No utilizar fechas, de ningún tipo.
- No utilizar información personal: aficiones, lugares o comidas favoritos, referencias laborales…
No es recomendable, por lo tanto, utilizar como contraseña componentes que puedan ser potencialmente adivinados o deducidos. Precisamente, utilizando la ingeniería social (método que hemos citado como técnica de piratas informáticos), un hacker podría averiguar el nombre de nuestra mascota, de nuestro libro o autor favoritos, o de alguna fecha importante para nosotros que hayamos utilizado como contraseña. Bastaría con mantener una conversación con nosotros (en un chat o por correo electrónico, por ejemplo) y/o revisar nuestras redes sociales, donde suele aparecer este tipo de información.
Contraseñas seguras
Aunque crear una contraseña segura no evita al 100% que un hacker pueda acceder a nuestros datos, sí dificulta en gran medida ese acceso.
Estas son algunas recomendaciones que ayudarán a crear contraseñas más fuertes y más seguras y a gestionarlas de forma correcta:
- Utilizar letras (mayúsculas y minúsculas), números y símbolos.
- Que tenga una longitud adecuada (evitar las contraseñas cortas).
- No utilizar la misma contraseña para todos los servicios.
- No utilizar la contraseña del correo en otros servicios que utilicen el correo como usuario.
- Cambiar con frecuencia la contraseña.
- No iniciar sesión en redes públicas (wifi).
- No anotar la contraseña en papel, post it o cualquier soporte físico.
- Comprobar que no haya nadie alrededor a la hora de utilizar una contraseña.
- Mantener el software antivirus y los programas actualizados.
Utilizar contraseñas fuertes, cuya combinación resulte imposible de predecir o adivinar, y cuya longitud requiera un tiempo de computación desorbitado, resulta de lo más seguro. Pero hay una cuestión problemática con este tipo de contraseñas: tienen que ser utilizadas por seres humanos. Y las personas no somos especialmente buenas recordando cosas.
Si un usuario accede al día a 10 servicios distintos, con contraseñas fuertes, no puede anotarlas y, además, las tiene que cambiar regularmente, es casi seguro que será incapaz de memorizarlas todas. ¿Qué ocurrirá? Que deje de cambiarlas o que acabará usando la misma para todos los servicios.
Recordar secuencias de números, símbolos y letras aleatorios es muy complicado para el ser humano. En cambio, la mente humana procesa mejor secuencias que tienen algún sentido, o que siguen algún patrón que se pueda reproducir.
La clave está en encontrar el punto intermedio entre las contraseñas poco seguras y fáciles de recordar, y las contraseñas fuertes y complejas.
Hay una forma, cada vez más popular, de construir contraseñas más fáciles de recordar. Se basa en construir una contraseña con partes (chunks) de datos conocidos por el usuario (públicos o no) que se irán uniendo siguiendo un patrón sólo conocido por el propio usuario.
Algunos ejemplos serían:
- Primeros/últimos dos dígitos de la matrícula del vehículo: 34, 93, 82, …
- Suma o resta de los dos números formados por los dos primeros dígitos y los dos últimos dígitos del año de nacimiento: 1990: (19 + 90) o 1990: (90 – 19)
- Utilizar símbolos intercalados, según patrones como: ¡! o ¿?
- Primera/última sílaba de la población de nacimiento: Al, Bar, Se…
- 3 últimas letras del nombre de la mascota: Tín, Fo, Co
- Primera letra de cada palabra del título del libro favorito: El Quijote: EQ, Cien años de soledad: CADS, Los pilares de la Tierra: LPDLT
Podríamos crear así una contraseña segura como: 3471¿?BarFoEQ
Existen infinitas fuentes de información personal que podrían ser fragmentadas y utilizadas para generar una contraseña. Además, este método permitirá generar tantas contraseñas como se necesite. Y para el usuario resultará más fácil de recordar qué fragmento de información y qué patrón ha utilizado. La seguridad conseguida de esta forma es muy alta, ya que sólo el usuario conoce el proceso utilizado.
Aunque sabemos que no hay un sistema que sea 100% seguro, sí podemos minimizar los riesgos de forma importante creando todos los obstáculos posibles. Siguiendo nuestras recomendaciones y dedicando un poco de tiempo al proceso, será más fácil conseguirlo.
En Unimedia somos expertos en la seguridad de los procesos de desarrollo de software. Así que si quieres saber más sobre seguridad digital, no dudes en contactarnos: https://www.unimedia.tech/es/contactanos/