Las contraseñas son la puerta que protege nuestros accesos, y también uno de los mayores dolores de cabeza para la seguridad.
Seguramente utilices habitualmente contraseñas fáciles de recordar, especialmente aquellas que tienes que teclear a menudo. Por desgracia muchas de ellas son frágiles y fáciles de adivinar por los ciberdelincuentes, con utilidades específicas para ello.
Algunos estudios indican que en torno al 90% de las contraseñas utilizadas son vulnerables, por lo que los ataques más habituales tratan siempre de encontrarlas.
Para solucionarlo en parte, debemos en primer lugar tratar de no cometer los errores más comunes al respecto, como:
- Reusar la misma contraseña para distintas cuentas y servicios, especialmente grave cuando la usamos indistintamente en el ámbito privado y público (por ejemplo poner la clave de nuestro correo empresarial en nuestra cuenta de Linkedin).
- Utilizar palabras o frases comunes, así como combinaciones de teclado obvias, como “password”, “Passw0rd”,”contraseña”, “1234”, “12345678”, “qwerty”, “asdfghjk”, “tequiero”,…
- Usar nombres, aficiones o palabras comunes que tienen especial significado para nosotros, como el nombre de tus hijos o padres, fechas de nacimiento, DNI, canciones, grupos de música,…
- Anotarlas en papeles o en aplicaciones en la nube no cifradas y protegidas adecuadamente.
En los últimos tiempos se está llegando a un consenso generalizado de que los cambios periódicos de contraseña reducen la seguridad, ya que los usuarios tendemos a repetir patrones que modifican levemente nuestras contraseñas, para que nos resulte más fácil recordarlas. Esto permite a un atacante intuir cual podría ser nuestra contraseña si llega a conocer alguna de las anteriores.
Por tanto no es equivocado afirmar que una contraseña robusta no debe ser cambiada cada pocos meses si no se tienen evidencias de que haya sido comprometida. Esto nos permitiría utilizar la misma contraseña durante todo un año por ejemplo, sin perder por ello seguridad en su uso.
Pero, ¿como podemos crear contraseñas robustas y a la vez fáciles de recordar? Utilizando una frase como contraseña.
Crear, recordar y usar una frase como contraseña es más fácil, ya que puede contener palabras completas, números, signos de puntuación y espacios. Cuanto más larga es una contraseña, más difícil es romperla con método de fuerza bruta computacionales.
Por ejemplo, una simple frase de 12 caracteres de longitud con solo mayúsculas, minúsculas y números, requeriría 6.000 años de procesamiento en un ordenador actual para ser descubierta. Si añadimos signos de puntuación o símbolos, se tardarían 5 millones de años… ¡No deberíamos preocuparnos!
Ejemplos de frase contraseña muy fáciles: “En un lugar de La Mancha en la camisa.” o “Cumplimos 50 mejor que nunca!”.
Por último, la tecnología nos ofrece la posibilidad de utilizar un segundo o múltiples factores de autenticación (2FA o MFA por sus siglas en inglés), normalmente nuestro teléfono móvil, para validar nuestros accesos. De esta forma conseguiremos una seguridad mucho mayor que la que aporta el uso de contraseñas solamente, por muy robustas que sean.
De esta manera los ciberdelincuentes no solo tendrán que adivinar nuestra contraseña, sino hacerse con el control de nuestro segundo factor, bien sea el móvil o una tarjeta de acceso o nuestro portátil o nuestro dedo. De esta forma complicamos su objetivo exponencialmente.
Un ejemplo típico de esta tecnología son los sistemas bancarios con claves en la APP o SMS para validar transferencias u operaciones con fondos. O algunas aplicaciones o dispositivos de uso muy extendido como Google Authenticator, Microsoft Authenticator, Authy, Yubikey, Cisco Duo, Fortitoken, etc.
Muchas de ellas están soportadas en diversas aplicaciones, servicios y redes sociales, solo hay que configurarlas en muy pocos pasos, y tan solo las necesitaremos cuando detecten accesos poco habituales o desde equipos o ubicaciones no conocidas.
Contacta con tu proveedor o responsable de seguridad para que te asesore adecuadamente con estas herramientas.
Y recuerda que tu eres el activo más importante en la seguridad de la información que manejas.
También le puede interesar leer el ebook tecnológico: ¿Qué es Backup como servicio (Baas)?
Jose Ángel Gómez
CISO Semantic Systems
