Una contraseña es un texto cuyo uso permite a las personas acceder a determinado tipo de información, cuentas de determinados servicios, entre otros.
Hoy en día, a pesar de que existen múltiples formas de autenticación (pines de 4 o 6 dígitos, patrones, reconocimiento de voz y facial…), las contraseñas siguen siendo la principal puerta de acceso a nuestras cuentas de usuario y dispositivos. Es por ello que tener contraseñas de acceso seguras, que difícilmente puedan ser hackeadas, es fundamental.
En este artículo te enseñamos cómo crearlas, qué hábitos son convenientes que
cambies y qué alternativas para la administración de tus contraseñas existen en el mercado.
Longitud: Mientras más larga, más segura será la contraseña. Cuando diseñamos contraseñas es recomendable hacerlas tan largas como sea posible o como el servicio o dispositivo lo permita. Aunque no hay un consenso sobre cuál debería ser el mínimo, 15 caracteres es un número recomendable. ¿El máximo? Incluso 100 caracteres o más.
Que no sea predecible: Otra de las técnicas empleadas para descifrar contraseñas es el uso de la “ingeniería social”. Aunque inicialmente consiste en usar la psicología para obtener información de la víctima, las características de este tipo de información hacen que pueda ser obtenida a través de las publicaciones que se realizan en redes sociales y otros sitios de Internet. En este sentido la recomendación es no utilizar información personal (nombres de mascotas, fechas importantes, nombres de familiares, datos personales) en el diseño de las contraseñas.
Uso de distintos tipos de caracteres: mayúsculas, minúsculas, números y símbolos.
Una de las técnicas utilizadas por los atacantes para descifrar contraseñas son los llamados “ataques de fuerza bruta”, que consisten en ingresar al sistema todas las combinaciones posibles de contraseñas en forma sistemática y secuencial.
También encontramos los “ataques de diccionario” en donde se prueban todas las palabras registradas y sus combinaciones, por lo que aquellas contraseñas que consisten, por ejemplo, en palabras comunes, serán fácilmente descifradas por el atacante.
En este sentido, si consigues incorporar todas las características que hemos descrito anteriormente en tus contraseñas, harás que una persona malintencionada deba emplear mayores recursos (tiempo y hardware, principalmente) y difícilmente pueda dar con la contraseña.
Repetir contraseñas: Si hackean una de tus cuentas, pueden hackear todas. Recordemos el caso en junio de 2016 de Mark Zuckerberg, CEO de Facebook, quien utilizó la clave de acceso de LinkedIn en Twitter. Los atacantes habían robado en 2012 una base de datos de contraseñas de LinkedIn y gracias a eso lograron acceder a la cuenta de Twitter de Zuckerberg.
Malas respuestas para las preguntas de seguridad: Muchos servicios ofrecen como alternativa de recuperación de cuenta preguntas que al ser respondidas correctamente permiten de nuevo el acceso al servicio. La recomendación es responder a estas preguntas de seguridad con contraseñas en sí mismas, así evitaremos que terceras personas accedan a nuestros datos por esta vía.
Correos de recuperación no seguros: Al igual que en el punto anterior, otra vía de acceso a nuestras cuentas puede ser a través de correos electrónicos alternativos o de recuperación. La recomendación en este caso es cambiar la contraseña y las respuestas a las preguntas de seguridad del correo de recuperación por contraseñas seguras, así estaremos cerrando otra puerta de acceso a nuestros datos. La eliminación del correo electrónico de recuperación es también una alternativa que recomendamos llevar a cabo cuando sea posible.
Dejar copias físicas o digitales accesibles: Las notas en el celular, los documentos de texto en el computador, las notas adhesivas en los monitores y las anotaciones de contraseñas en pizarras y libretas son considerados como malos hábitos si nuestro objetivo es tener la mayor seguridad posible en nuestras cuentas.
Acceso en equipos que no son de confianza: No es recomendable acceder a nuestras cuentas de usuario desde ordenadores y equipos que no son de confianza. Algunos equipos pueden estar infectados con programas espías capaces de capturar tus contraseñas.
Compartir contraseñas: Las contraseñas contienen información privada que no debería ser compartida con ninguna otra persona. Si se trata de una cuenta a la que varias personas tienen acceso, como suele ser el caso de las redes sociales de una organización, es importante compartir la contraseña por vías seguras y almacenarlas también en lugares seguros.
Guardar contraseñas en el navegador: Debido a las vulnerabilidades que se han registrado en diversos momentos, los navegadores no se consideran lugares seguros para el almacenamiento de nuestras contraseñas. Adicionalmente, es común que los navegadores nos pregunten si deseamos almacenar en ellos una contraseña que acabamos de ingresar. Lo mejor para evitar cliquear en “aceptar” es ir a la configuración del navegador y deshabilitar la opción de guardar contraseñas.
Exceso de confianza: Cada vez son más las técnicas engañosas en las que los usuarios pueden estar facilitando su información sin autorización a desconocidos. Navega siempre en sitios seguros (con HTTPS), chequea que la dirección del sitio web en la barra superior sea correcta y desconfía de cualquier anuncio, correo electrónico, llamada, entre otras formas de comunicación, que soliciten información personal.
Cuidado con el cambio frecuente de contraseñas: Estudios han demostrado que el cambio frecuente de contraseñas podría no ser tan seguro debido a que el usuario tiende a realizar pequeños cambios sobre la contraseña anterior formando patrones cada vez más fáciles de adivinar y, estos patrones también son conocidos por los atacantes. Si has diseñado una contraseña con todos los elementos que hemos descrito anteriormente como seguros, entonces no será necesario realizar un cambio frecuente de esta contraseña a menos de que se sospeche que ha sido tomada por un tercero no autorizado.
El uso de una frase es una alternativa de contraseña segura que consiste en utilizar una secuencia de palabras como acceso a nuestras cuentas. Lo importante es que sea larga y no se corresponda con información personal. Por ejemplo: usofrasescomocontraseñas.
Esta última bien podría ser una clave segura y tendría la ventaja de ser de fácil memorización. Añadiremos más seguridad si intervenimos la frase incorporando números, símbolos o cambiando algunas de las letras, por ejemplo: “UsoFr@sesC0m0Contr@sen@$”, o agregando más palabras.
Una alternativa más definitiva para la creación, almacenamiento y gestión de contraseñas, es el uso de un “administrador de contraseñas”. Actualmente existen varios servicios con versiones de escritorio, aplicaciones o de almacenamiento en la nube. Algunos de ellos son: LastPass, 1password, Passpack, KeePass en sus múltiples versiones (KeePassXC de preferencia entre ellas), Dashlane, entre otros.
Aunque hay variaciones entre ellos y tomar la decisión de usar uno u otro dependerá de nuestras necesidades específicas, la característica más importante es que todos permiten almacenar de forma segura nuestras contraseñas y, una vez que hemos cargado en el servicio toda la información, solo tendremos que recordar la clave de acceso a nuestro administrador de contraseñas, tal y como funciona una caja fuerte.
Si hasta este punto consideras que tus contraseñas, o los hábitos que tienes sobre ellas, no son los mejores, te invitamos a realizar estos cambios comenzando por los siguientes servicios y equipos:
Acceso al computador y teléfono móvil
Correos electrónicos
Bancos
Servicios en la nube
Redes sociales