Nunca antes en la historia de la informática, las contraseñas habían sido tan importantes como lo es hoy. La simple mezcla de letras, números y signos especiales son los que nos permiten acceder a un mundo dentro de Internet y nos identifica de quienes somos ante algún formulario de inicio de sesión, ya sea para entrar en nuestras cuentas de correos electrónicos, la banca, redes sociales, Marketplace, foros, etc.
Con tantos sitios protegidos solo por una contraseña , puede llegar hacer complicado recordar una contraseña para cada cuenta, así que tendemos a usar la misma contraseña para varios sitios para facilitarnos la vida (Una mala practica llevada a cabo por personas no experta en informática). La mayoría de las veces, estas contraseñas son muy poco seguras y contienen nombres de familiares, apodos, fechas de nacimiento, palabra del diccionario y otros datos fácilmente identificables o fáciles de realizarles fuerza bruta.
El enfoque de la seguridad de las contraseñas es muy arriesgado y deja a muchas personas expuestas a ser comprometidas. Los Script kiddies y los operadores de amenazas disponen de una serie de herramientas para realizar fuerza bruta y los conocimientos básicos de buscar contraseñas en dataleaks disponibles en la red para comprometerte e indagar en tu vida privada o corporativa, dejándote en jaque. ‘
Lamentablemente, muchas personas son de usar contraseñas que son simples de obtener mediante las herramientas adecuadas, lo que le da ventaja a los cibercriminales en forzar los accesos y entrar a un entorno personal en la red. Hoy en día, casi ningún servicio serio aceptaría la clásica contraseña «123456» (a menos que le agregues letras). Pero la tecnología avanza, y el tener una contraseña con números y letras ya se puede adivinar, si se tiene las herramientas y el diccionario adecuado. Por lo cual, el usar las Mayúsculas, minúsculas, números y signos especiales se ha vuelto un estándar en portales, donde la seguridad al momento de crearse una cuenta es tomando en serio.
Los ciberdelincuentes más sofisticados utilizan softwares especializado que les permite probar miles de posibles combinaciones de nombres de usuario y contraseñas por segundo (Hydra, por ejemplo), lo que demuestra la enorme fuerza bruta utilizada para atacar. Se estima que 6 de cada 10 personas utilizan el mismo nombre de usuario y contraseña para todas sus cuentas, por lo que los ciberdelincuentes consiguen acceder a una de ellas, tienen vía libre para entrar en todas (en especial si es un correo electrónico).
En cuanto ciberdelincuentes acceden a esta información personal, la pueden utilizar para cometer un fraude de identidad, venderla a terceros en mercados negros o usarte para actos criminales.
Es por ello que el crear una contraseña segura, robusta y tener un 2FA es crucial para proteger nuestra identidad en línea y garantizar que no nos convirtamos en objetivos tan fáciles para los ciberdelincuentes.
Bases para una contraseña segura
- Difícil de adivinar: El secreto para crear una contraseña única es hacerla memorable pero difícil de descifrar. Una contraseña sólida debe tener entre 12 y 20 caracteres (como norma estándar), y debe de contener una mezcla de letras mayúsculas, minúsculas, números o símbolos especiales.
Para hacerla aún más segura, puedes crear una frase de paso que sea única para ti. La frase debe tener unos 15 caracteres. La primera letra de cada palabra será la base de tu contraseña y las letras pueden sustituirse por números y símbolos para añadir más protección. - No usar la misma contraseña en otras cuentas: Con tantas cuentas diferentes, puede ser tentador utilizar la misma contraseña para varias cuentas, así facilitando el acceso a estas mismas. Sin embargo, esto es extremadamente arriesgado y si los atacantes pueden averiguar una sola de tus contraseñas (mediante fuerza bruta, ataque de diccionario o mediante una dataleaks), pueden acceder potencialmente a todas tus cuentas. Siempre es mejor utilizar diferentes contraseñas para diferentes cuentas, así se garantiza que tus datos permanezcan seguros.
Recomendaciones para robustecer tus contraseñas
- No utilices palabras existentes en el diccionario para tus contraseñas.
- No revelar tus contraseñas a terceros.
- Siempre habilitar el segundo factor de autentificación (2FA) en tus cuentas.
- Si actualmente tienes cuentas en sitios que no uses, te recomendamos eliminarlas.
- Siempre comprobar si tus contraseñas han sido filtradas en un Dataleaks y con Have I Been Pwned es posible.
Baúles/gestores de contraseñas
Puede ser una tarea desmotivarte el intentar recordar muchas contraseñas diferentes, pero un baúl de contraseñas te proporcionará una ubicación centralizada y cifrada que mantendrá un registro de todas estas contraseñas a salvo.
Los baúles de contraseñas son servicios o aplicaciones que almacenan los datos de acceso de todos los sitios web que utilizas y te registran automáticamente cada vez que vuelves a un sitio. El primer paso al utilizar un gestor de contraseñas es crear una contraseña maestra. La contraseña maestra controlará el acceso a toda tu base de datos de contraseñas. Esta contraseña es la única que tendrás que recordar, así que es importante que sea lo más fuerte y segura posible.
Los gestores de contraseñas también pueden proteger contra los ataques de phishing, ya que rellenan la información de la cuenta basándose en las direcciones web registradas. Si crees que estás en el sitio web de tu banco, pero el gestor de contraseñas no te registra automáticamente, es muy probable que te hayas ingresado a un phishing.
Baúles de contraseñas que recomendamos.
Servicios en la Nube:
- 1Password: https://1password.com/
- Bitwarden: https://bitwarden.com/
- LastPass: https://www.lastpass.com/es/
Software:
- KeePassXC: https://keepassxc.org/
Adiós a las contraseñas, hola a la tecnología
Gracias al avance de la tecnología de cifrado, existe una mejor alternativa para evitar el uso de las contraseñas y dejarlo en manos de una llave física en forma de un pendrive. Para ser más exactos, una Yubikey, una llave en forma de pendrive desarrollado y distribuido por la empresa Yubico.
YubiKey utiliza un sistema de clave privada/pública, que hace que pueda resistir las suplantaciones de identidad e impedir el robo de cuentas, además de ofrecer un alto retorno de la inversión gracias a su facilidad de uso e implantación. En la gran mayoría de los casos, se puede utilizar YubiKey sin añadir software a los dispositivos de los usuarios, funcionando con centenares de aplicaciones en entornos financieros, salud, telecomunicaciones, sistemas de pago, todo tipo de aplicaciones en la nube compatibles con FIDO2 y redes sociales.
Las YubiKeys proporcionan acceso seguro en Windows, MacOS y Linux. Otro uso avanzado incluido es la autenticación en Windows y Office 365 sin utilizar contraseñas y sin instalar drivers adicionales.
Sitios de Interés
🛡 Kaspersky Password: https://password.kaspersky.com/es/
🛡 Have I Been Pwned: https://haveibeenpwned.com/
🛡 Llave física: https://www.yubico.com/?lang=es
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
