Cómo crear una contraseña segura y fácil de recordar

Cada año, el 7 de mayo, que es el Día Mundial de la Contraseña, recuerda a los empleados y usuarios de dispositivos y redes la importancia de utilizar contraseñas robustas y seguras.

En el mundo actual de sobrecarga de información, en el que contamos con innumerables servicios digitales, este consejo cobra mayor relevancia que nunca. Sin embargo, informes recientes muestran que muchas personas todavía no lo siguen.

Para que nos hagamos una idea de la situación actual: según Google, alrededor de una cuarta parte de los usuarios de todo el mundo han utilizado contraseñas débiles, tales como «contraseña», «123456» o «qwerty» para «proteger» sus cuentas. Además, uno de cada tres usuarios nunca dedica tiempo a cambiar sus contraseñas.

Sin embargo, lograr un nivel sólido de protección para cuentas de correo electrónico, sitios web de comercio electrónico, redes sociales, sistemas de gestión de contenido (CMS), sistemas en la nube y demás, no es tan difícil como parece. Es cuestión de reconocer la importancia de la seguridad de las contraseñas y de cumplir unas sencillas reglas. En cuanto a la frecuencia con la que se deben cambiar las contraseñas, la respuesta es con la mayor posible. Como mínimo, con una periodicidad de tres a seis meses.

Ocho reglas para crear una contraseña fuerte

A continuación, enumeramos algunas de las principales pautas que deben seguirse para crear una contraseña que proporcione un nivel sólido de protección.

1. No uses secuencias consecutivas de números ni letras (por ejemplo, «123456» o «abcdef»).
2. Evita que las contraseñas incluyan tu fecha o mes de nacimiento.
3. Utiliza una combinación que contenga un mínimo de ocho caracteres y que incluya letras, números y símbolos.
4. Combina palabras sin relación entre sí y que no tengan conexión directa con la contraseña o la frase utilizada como contraseña.
5. No uses datos personales, tales como nombres de familiares, pasatiempos o direcciones.
6. Utiliza un gestor de contraseñas para almacenar las tuyas de forma segura.
7. No reutilices contraseñas antiguas.
8. Cambia las contraseñas con una periodicidad de tres a seis meses.

Cómo funciona la autenticación de dos factores

Una de las mejores maneras de incrementar la protección de las cuentas digitales es habilitar la autenticación de dos factores (2FA) siempre que sea posible.

Como su nombre indica, la 2FA añade una capa adicional de seguridad a las cuentas en línea al requerir una credencial de acceso adicional que debe usarse junto con el nombre de usuario y la contraseña habituales.

Hay tres tipos principales de 2FA que pasamos a detallar.

1. Credenciales basadas en el conocimiento: esto incluye información que solo conoce el propietario de la cuenta, como las respuestas a las preguntas de seguridad o los números PIN.
2. Credenciales basadas en posesiones: se basan en algo que tiene el propietario de la cuenta, como por ejemplo tokens de seguridad o aplicaciones móviles específicas que generan códigos de autenticación.
3. Credenciales biométricas: esto implica rasgos biológicos únicos del propietario, como escaneos de huellas dactilares o reconocimiento de retina.

¿Qué son los ataques de fuerza bruta?

La fuerza bruta es una técnica de piratería que utiliza un enfoque de prueba y error para descifrar contraseñas, credenciales de acceso y claves de cifrado. Aunque básico, es un método fiable para obtener acceso no autorizado a cuentas privadas o redes de empresa.

Básicamente, consiste en que el atacante hace repetidos intentos introduciendo una gran combinación de nombres de usuario y contraseñas hasta que encuentra las credenciales correctas.

Los ataques de fuerza bruta pueden adoptar varias formas que pasamos a describir.

1. Ataques de fuerza bruta simples: el pirata informático intenta adivinar de forma manual las credenciales de acceso sin usar ningún software.
2. Ataques de diccionario: el atacante selecciona un objetivo y prueba posibles combinaciones basadas en palabras o frases comunes relevantes para el nombre o la información del usuario elegido.
3. Ataques de fuerza bruta híbridos: una combinación de los dos primeros métodos, en la que el atacante utiliza tanto conjeturas manuales como intentos asistidos por software.
4. Ataques de fuerza bruta inversa: el atacante comienza con una contraseña que ya conoce, a menudo, obtenida a través de una infracción de la seguridad de la red, y luego, la prueba con millones de nombres de usuario hasta encontrar una coincidencia.
5. Credenciales autocompletadas: este método se aprovecha del uso generalizado de contraseñas débiles. Los piratas informáticos utilizan combinaciones robadas de nombres de usuario y contraseñas de otras cuentas a las que han accedido de forma fraudulenta para obtener acceso a cuentas adicionales.

Los peligros del «phishing»

El «phishing» se define como el envío de mensajes fraudulentos que engañan a los usuarios para que revelen su información personal, a menudo, con el pretexto de resolver problemas técnicos. Estos mensajes van desde los descaradamente obvios hasta intentos más sutiles y convincentes.

La forma más común de «phishing» es recibir un correo electrónico falso que le pide al destinatario que proporcione datos personales o contiene malware que se instala en el dispositivo del usuario si interactúa con él.

Otra táctica frecuente son los correos electrónicos de «phishing» que parecen proceder de alguien de la propia lista de contactos del usuario, lo que confiere autenticidad a la estafa e incrementa las posibilidades de que la víctima caiga en ella.

Una variante más específica del «phishing», conocida como «whaling» (o «whale phishing» o caza de ballenas), funciona de manera similar, pero se centra en personas que ostentan puestos de gran responsabilidad, como los ejecutivos de una empresa. Estos ataques tienen como objetivo explotar la autoridad y el acceso del que gozan dichas personas a las redes de la organización, lo que, a menudo, hace que las infracciones cometidas sean mucho más importantes y graves.