Cómo gestionar y crear contraseñas seguras
Publicación: 02/05/2020
En este artículo de Selfkey hay una serie de estadísticas que nos deberían hacer reflexionar. Por ejemplo, sólo en los EEUU, cada 2 segundos hay una víctima que ha sufrido un robo de identidad (o lo que es lo mismo, 15.768.000 personas en un año, sólo en EEUU…).
Las contraseñas son parte esencial y crítica para nuestra privacidad. Sin embargo:
- El 35% de los usuarios utilizan contraseñas débiles.
- El 73% usan la misma contraseña para múltiples sitios.
- En caso de Gmail, sólo un 10% utiliza la doble autenticación para acceder a su cuenta.
Estos hábitos deben cambiar para proteger nuestra privacidad. Saber crear y gestionar contraseñas robustas es fundamental para que duermas tranquilo, o al menos, más tranquilo…
En este post te enseñaré cómo crear y gestionar contraseñas a prueba de ataques de todo tipo.
Pero antes de nada, verifica si tu correo se ha visto comprometido a nivel de seguridad gracias a esta herramienta haveibeenpwned.com. Si el resultado es negativo, te recomiendo que cambies la contraseña asap. No implica un robo pero si que tu password ha estado expuesta.
¿Qué es una contraseña?
Una contraseña, clave o password es un conjunto de caracteres (letras, números y caracteres especiales) que sirven para poder acceder a un espacio físico o virtual.
Lo sé, todo el mundo sabe lo que es una contraseña. Sin embargo, parece que se nos olvida:
- Tenemos a disposición no sólo letras y/o números, también 33 carateres especiales: !”#$%&'()*+,-./:;<=>?@[]^_`{|}~
- La diferencia es acceder o no acceder. O visto de otra forma, la distancia entre tus datos bancarios, tu email, tu vida… está a una contraseña de distancia.
¿Y qué hacemos los usuarios? Utilizar mayoritariamente contraseñas de letras y números como:
- “contraseña”.
- nombre apellido.
- “123456″.
- “qwerty“.
- correo electrónico.
- fecha de nacimiento.
- teléfono…
Ninguna contraseña es segura, todas pueden ser halladas mediante ataques de fuerza bruta. La diferencia está en el tiempo que se necesita para descubrirla.
Veamos cuánto tiempo le haría falta a un hacker para saber tu contraseña en función de su tipología.
| Contraseña | Nº caracteres | Tiempo para descubrirla |
|---|---|---|
| heualfy | 7 | 0,3 milisegundos |
| jdkiegal | 8 | 5 horas |
| jdytlpqdu | 9 | 5 días |
| pllituavdf | 10 | 4 meses |
| wpñfjeytald | 11 | 10 años |
Los programas de ataque por fuerza bruta cubren todas las combinaciones posibles. Este es el motivo por el que a más caracteres el incremento en tiempo para conseguir la contraseña es exponencial.
¿Qué ocurriría si además sumamos caracteres especiales, mayúsculas y números?
| Contraseña | Nº caracteres | Tiempo para descubrirla |
|---|---|---|
| jdkiegal | 8 | 5 horas |
| jDk13g@L | 8 | 14 años |
El mero hecho de utilizar todas las combinaciones posibles a la hora de crear una contraseña, multiplica su robustez considerablemente.
Pero los tiempos se van acortando.
La tecnología no para de avanzar. La capacidad de procesamiento es cada vez mayor. Este es el motivo por el que a día de hoy cuesta mucho menos descubrir una contraseña de 4 caracteres que hace 20 años. Veámoslo en la siguiente tabla:
¿Cuánto costaba hallar la contraseña “invierno7” hace años?
| Año | Tiempo para descubrirla |
|---|---|
| 2000 | 3 años, 10 meses, 1 semana, 5 días, 14 horas, 58 minutos |
| 2005 | 0 años, 7 meses, 1 semana, 5 días, 6 horas, 6 minutos |
| 2010 | 0 años, 4 meses, 1 semana, 4 días, 19 horas, 7 minutos |
| 2015 | 0 años, 3 meses, 1 semana, 6 días, 14 horas, 44 minutos |
En esta web puedes ver cuánto tardaría un ataque de fuerza bruta en conseguir tu contraseña: howsecureismypassword.net
¿Cómo crear una contraseña segura?
Ya hemos visto anteriormente la importancia de utilizar todos los caracteres a nuestro alcance.
En cuanto a la longitud, cuanto más caracteres tenga nuestra contraseña más segura será.
Pero pongámonos en la posición de un hacker.
Hay dos personas a las que quiero hackear. Me es indiferente cual ya que las dos me pueden brindar la misma información. Una de ellas tiene una contraseña de 6 caracteres de sólo letras. La otra tiene un password de 20 caracteres utilizando todos los códigos ASCII.
Si tu fueras hacker ¿qué objetivo verías más asequible?
Por lo tanto, aunque la recomendación general es de un mínimo de 8, yo lo superaría con creces. Trataría de que las contraseñas tuvieran 20 ó 25 caracteres.
¿Cómo gestionar tus contraseñas?
Tener una contraseña para todo es una imprudencia que puede salir caro.
Desechada esta opción, y teniendo en cuenta que tenemos decenas de contraseñas: correos, redes sociales, bancos, herramientas online, dispositivos… gestionar nuestras contraseñas confiando en nuestra memoria de elefante no es lo más eficiente.
Por tanto, lo mejor es recurrir a herramientas enfocadas a su gestión.
De esta forma memorizamos una contraseña maestra (que será la clave de acceso a esta herramienta) y nos despreocuparemos de tener que memorizar el resto. Otro punto a favor es que de esta forma, las contraseñas pueden ser una combinación de caracteres aleatorios sin sentido más difíciles de descifrar.
Gestores de contraseñas
Algunos de estos gestores son:
Si eres receloso de este tipo de herramientas, otra opción es tener tus contraseñas apuntadas en algún lugar pero de tal forma que sólo tú lo entiendas.
Por ejemplo, en vez de tener anotado “BBVA” o “ING” con sus respectivas contraseñas, podrías asignarles una frase que te recuerde a qué hace referencia. Algo así como “maletín azul” y “maletín naranja”. Maletín, por ser un sitio donde se transporta el dinero y azul o naranja el color corporativo de estos bancos.
¿Cómo tratar las preguntas de seguridad para recuperar accesos?
Mintiendo.
No digas la verdad ya que es muy fácil obtener ciertos datos con un par de búsquedas en internet.
Una forma es dar respuestas absurdas a este tipo de preguntas:
- ¿Cuál es el nombre de tu abuela? “Alguno”.
- ¿Dónde nació tu padre? “En un hospital”.
Otra forma es responder siempre igual, sea cual sea la pregunta. Como si se tratara de una “contraseña” de recuperación.
Elijas lo que elijas, no des la respuesta correcta.
¿Cómo te pueden robar la contraseña?
A lo largo del artículo hemos hablado de los ataques de fuerza bruta, pero no son los únicos.
Otros ataques roban o interceptan tus contraseñas. Y de estos tipos de ataques hay infinidad, tantos como la creatividad que tenga el hacker.
En algunos ni participas, como cuando consiguen acceder a tu red wifi.
Otros ataques requieren de una acción tuya, como cuando te descargas una foto por ejemplo, que en realidad tiene un script corriendo en segundo plano que abre una puerta trasera al atacante para que haga lo que quiera en tu pc / móvil.
En este punto un black hat hacker puede espiarte, recopilar que teclas pulsas cuando introduces una contraseña, acceder a todas las contraseñas que almacenas en el navegador, crear una página falsa de Facebook pidiendo que te logues para así obtener tu clave…etc.
No hay nada que puedas hacer que te de un 100% de garantías de que no vas a ser hackeado. Salvo no usar ningún dispositivo claro.
Ok, entonces, ¿qué puedo hacer para estar más seguro?
11 consejos para que no te roben tus contraseñas
- Las gestiones importantes hazlas en un ordenador que no uses nunca. O crea un un entorno virtual sólo para operaciones de compras por internet, acceso a bancos… etc.
- Mantén siempre actualizado tus dispositivos. Algunas de estas actualizaciones tienen como objetivo solucionar brechas de seguridad. Si no actualizas estarás expuesto a ser atacado.
- No utilices Wifi públicas.
- Cambia la contraseña de fábrica de tu router.
- No descargues archivos por email que no has solicitado o de una web que no tenga buena reputación.
- No hagas click en enlaces de emails de personas que no conoces.
- No guardes tus contraseñas en el navegador. Utiliza para ello gestores de contraseñas.
- No accedas a tus cuentas desde dispositivos que no son tuyos.
- Asegúrate de que navegas siempre por páginas con HTTPS. Esta opción puede ser deshabilitada por un hacker, instalando un plugin como HTTPS Everywhere te asegurarás de que tu navegación siempre está encriptada.
- Utiliza una VPN de pago. De esta forma te asegurarás de encriptar tu navegación incluso en aquellas que no utilizan el protocolo seguro todavía.
- Cambia tus contraseñas varias veces al año.
Hasta aquí este post sobre cómo crear contraseñas seguras. No dudes en compartirlo con familiares y amigos para que aprendan a protegerse y navegar seguros por internet. Cualquier duda o comentario 👇
Deja una respuesta