Claves básicas para mantener el control en el Día Mundial de la Contraseña

Las contraseñas son la barrera que mantienen las cuentas en servicios online y los dispositivos alejados de curiosos y ciberdelincuentes.

Aunque durante los últimos años han ido surgiendo otros métodos de identificación, especialmente con la biometría y alternativas como el reconocimiento facial o el uso de la huella dactilar, la combinación de nombre de usuario o email más contraseña sigue siendo un recurso muy popular.

Como cada primer jueves de mayo, hoy se celebra el Día Internacional de la Contraseña y los expertos en seguridad lanzan sus recomendaciones para evitar que esta herramienta de protección se convierta en aliada de los maleantes en un momento en el que gran parte de la vida transcurre en internet.

Check Point ha publicado una lista con seis pasos para conseguir credenciales robustas. Hay que tener en cuenta que los avances tecnológicos también son aprovechados por los hackers y lo que antes se consideraban contraseñas seguras ya no lo son.

Las tarjetas gráficas con memoria virtual permiten procesar datos a alta velocidad y favorecen los ataques por fuerza bruta con millones comprobaciones en cuestión de segundos. Y la futura entrada en el mercado de los sistemas cuánticos podría complicar el panorama.

Lo primero que hay que tener en cuenta es que, “cuanto más larga y variada” sea la contraseña, “mejor”. Esto significa que debería estar conformada por letras en minúscula, letras en mayúscula y números, pero también símbolos.

La longitud mínima recomendables es de 14-16 caracteres. Si son más, la seguridad aumentará. “El número total de combinaciones” en los ataques “es igual al número de caracteres elevado a la de su longitud”, explican desde Check Point.

Eso sí, la complejidad no debe entorpecer la facilidad de uso. Es decir, las contraseñas deben ser “fáciles de recordar, pero complejas de adivinar”. Nada de quedarse en series como ‘123456’ o palabras como ‘password’. Conviene descartar datos personales como fechas de cumpleaños, el lugar de residencia o los nombres de seres queridos.

Una idea es crear frases que tengan sentido y se puedan retener sin problema como “‘meryteniauncorderito’ o su equivalente todavía más seguro con diferentes caracteres ‘@M3ry#Tenia1Corderito’”, por ejemplo.

Y así, tantas veces como cuentas existan. Y es que las contraseñas siempre deberían responder a los adjetivos de “únicas e irrepetibles”. Reutilizar la misma contraseña para múltiples servicios es un riesgo, ya que si uno de esos servicios sufre una vulnerabilidad, dejará la puerta abierta al instante en el resto.

A esto hay que añadir la condición de “siempre privadas”. Si el dueño de la contraseña es el único que la conoce y no la comparte con nadie, será más difícil que termine vulnerada.

Esto también vale para la poco recomendable práctica de escribir la contraseña en un archivo dentro del ordenador o en un papel que luego se guarda cerca del dispositivo. Lo mejor es recurrir a los gestores de contraseñas.

En quinto lugar, Check Point dice que “la auténtica seguridad está a tan sólo dos pasos de nosotros”, en el aprovechamiento de la autenticación de dos factores. Esta opción evita que una persona no autorizada sea capaz de conectarse desde dispositivos que no han sido verificados, porque hará falta un número remitido por SMS, una huella digital o una confirmación por email para completar el acceso.

Los expertos también animan a reforzar el uso de contraseña al “cambiarla periódicamente”, cada pocos meses. Así se evitan los efectos de posibles filtraciones de bases de datos.

Otra posibilidad es revisar con cierta frecuencia herramientas de acceso público como la web Have I Been Pwned para comprobar si una cuenta o sitio web que se suelen utilizar han resultado comprometidos.

Esta lista puede ampliarse con alguna buena práctica más. El centro universitario de tecnología U-tad aconseja ser cuidadoso con lo que se publica en las redes sociales, especialmente cuando se trata de compartir información personal, ya que esto facilita la tarea de recopilación de datos por parte de los delincuentes para averiguar contraseñas.

“Decir a nuestros amigos que nuestro gato Maxi hoy, 10 de diciembre, cumple 10 años”, pone como ejemplo Sonia Fernández, profesora en el Curso de Especialización en Ciberseguridad en U-tad, se convierte, desde la perspectiva de los cibercriminales “en un Maxi101213. ¡Ah, que hacen falta caracteres especiales! Sin problema M@xi101213!!!”, añade. “Con este método, se consigue averiguar el 46 % de las contraseñas”.

“Se lo estamos poniendo muy fácil a los atacantes porque, debido a su capacidad para buscar información sobre nosotros en internet, posteriormente se crean un diccionario personalizado con toda la información recolectada (lugares, motes, hijos, fechas, etc.) que utilizan para, tras múltiples combinaciones, dar con la palabra correcta”, explica esta experta.

Para ella, “lo aconsejable es crear contraseñas ilegibles, que no tengan ningún significado y que no estén relacionadas con nuestra vida”.

“En la actualidad, ser víctimas de ataques, robos o estafas en internet depende, en gran medida, de la contraseña que elijamos, pero, aunque parezca increíble, todavía existe un gran número de usuarios que no comprenden su importancia y el peligro que existe si alguien consigue hacerse con ella”, lamenta Fernández.

“Cada día, los ciberdelincuentes crean nuevos ataques destinados a robar las contraseñas de usuarios”, comenta por su parte Eusebio Nieva, director técnico de Check Point. “Técnicas como el phishing han conseguido vulnerar miles de servicios robando credenciales”.

“Este riesgo puede remediarse fácilmente estableciendo contraseñas seguras, haciendo mucho más difícil que los ciberdelincuentes logren adivinar estas combinaciones, garantizando el máximo nivel de seguridad para nuestros dispositivos”, apunta.

En el Día Internacional de la Contraseña, otra lección que se puede aprender para evitar agujeros de seguridad y mantenerse a salvo en internet pasa por aplicar el sentido común en las comunicaciones.

Esto implica no pinchar en cualquier enlace que se reciba ni descargar archivos de procedencia sospechosa y revisar bien las páginas web que solicitan información sensible para evitar las suplantaciones de identidad.