El concepto de contraseña se desarrolló para ayudar a los usuarios a controlar el acceso hacia algún recurso que no queremos compartir, principalmente información. Las contraseñas son la principal barrera que evita que un actor malintencionado pueda acceder a nuestras redes sociales, correos electrónicos u otros servicios como el comercio on-line.
Al tener una función tan crítica, los ciberdelincuentes intentarán obtenerlas por todos los medios. En abril del 2021 Facebook fue víctima de una filtración de 500 millones de usuarios, entre la información filtrada se podía encontrar las direcciones de correo electrónico, la fecha de nacimiento, el número de teléfono o la ubicación geográfica de la persona.
En 2014, Forbes fue víctima de un ataque por el ciber ejército sirio, se filtraron los datos de 1 millón de usuarios, y también se publicaron las contraseñas de las víctimas.
Hay números casos de ataques como estos y por ello es de vital importancia tomar una serie de precauciones a la hora de configurar nuestras contraseñas para reducir los riesgos, especialmente cuando se trata de servicios abiertos a Internet.
1. Emplea contraseñas robustas
El uso de contraseñas supone varios problemas para el usuario, ya que pueden ser difíciles de recordar. Una práctica muy extendida es el uso contraseñas poco seguras porque son fáciles de recordar, como por ejemplo el nombre de una mascota, o una fecha importante para nosotros.
Si utilizamos una contraseña fácil de adivinar es muy probable que un atacante acabe obteniendo acceso a nuestras cuentas, para evitarlo deberíamos familiarizarnos con el concepto de contraseñas seguras.
Una contraseña robusta es aquella difícil de descubrir para un atacante. Deberíamos utilizar contraseñas con una longitud de más de 12 caracteres, y que esté compuesta por números, mayúsculas, minúsculas y símbolos.
El motivo para utilizar contraseñas con esas características es que los ordenadores cada vez son más potentes, y un atacante podrá probar todas las combinaciones posibles hasta encontrar la combinación correcta. Es lo que se conoce como un ataque por fuerza bruta
Por ejemplo, una contraseña de 6 caracteres, como por ejemplo “patata” podría ser descubierta de manera casi inmediata. Mientras que una de 12 dígitos que utilice una mezcla de números, mayúsculas, minúsculas y símbolos podría tardar hasta 34.000 años. A continuación, vemos una tabla que ilustra este ejemplo teniendo en cuenta el número de caracteres y la complejidad de la misma.
Imagen: Hive Systems
2. Reutilizar contraseñas es una terrible idea
¿Quién no ha utilizado la misma contraseña en varios sitios? Este es uno de los errores más comunes que cometemos al primar la comodidad sobre la seguridad. Es complicado trabajar diariamente con decenas de contraseñas distintas, y que al mismo tiempo sean robustas.
Muchos usuarios acaban utilizando la misma contraseña para varios servicios. Esto es una práctica terrible desde el aspecto de la ciberseguridad. Esta práctica puede suponer un efecto dominó si nos la descubren, y comprometer totalmente nuestra identidad on-line, e incluso afectarnos económicamente.
Si una página web en la que nos habíamos registrado sufre una brecha de datos, es muy probable que el ciberdelincuente intente iniciar sesión en nuestro correo electrónico, redes sociales o servicios de comercio electrónico con los datos que acaba de obtener.
El atacante podría obtener tener acceso a todas las cuentas en las que hemos reutilizado esa contraseña, y utilizarlas para propagar malware a nuestros conocidos o comprar algo con los datos de pago que tengamos guardados.
Para ayudarnos a abordar este problema deberíamos utilizar gestores de contraseñas, como por ejemplo LastPass, Keeper o KeePass. De esta forma tendremos contraseñas distintas y robustas, y no tendremos que recordarlas todas.
3. Utiliza 2FA siempre que sea posible
2FA, también conocido como autenticación en dos pasos, es un mecanismo de seguridad que añade una capa extra de protección.
Hoy en día la mayoría de los servicios ofrecen soporte para el uso de varios factores de autenticación, y es muy recomendable que los utilicemos. Gracias a esta medida de seguridad, si queremos iniciar sesión en alguna cuenta necesitaremos conocer la contraseña y algo más.
Aunque sigamos las buenas prácticas para el uso de contraseñas en Internet, podemos ser hackeados. Por lo que si además de necesitar la contraseña para iniciar sesión necesitamos un código que nos llegue al móvil, estamos añadiendo una capa más de seguridad que dificulta sensiblemente el ataque.
Pese a esto, debemos saber que el uso de 2FA no garantiza del todo nuestra seguridad, siempre tenemos que estar alerta. Los ataques se están volviendo más sofisticados, y tratarán de engañar al usuario para que les proporcione dicho código.
Un ejemplo común de estos ataques son el envío de mensajes fraudulentos que nos informan sobre un supuesto inicio de sesión malicioso o que un paquete que nos ha de llegar, por ejemplo, ha sido retenido. El usuario creerá que se trata de un mensaje emitido de manera legítima y accederá al enlace que aparece en dicho mensaje. Sin saberlo, la víctima podría proporcionar la contraseña y el código 2FA al atacante.
4. Comprueba si has sido víctima de una brecha de datos
Otro de los problemas que nos vamos a encontrar es saber si alguna de nuestras credenciales se ha podido filtrar en Internet. Deberíamos utilizar servicios como Have I Been Pwned para ayudarnos a diagnosticar la seguridad de nuestras credenciales.
Imagen: Have I Been Pwned
El uso de este servicio nos permite actuar rápidamente para evitar que un atacante comprometa nuestras cuentas. Se recomienda el uso de la función “Notify me” para que si somos víctimas, se nos avise de forma inmediata mediante un correo electrónico.
5. Protégete del Malware y el Phishing
Los cibercriminales también pueden utilizar phishing y virus para obtener nuestras contraseñas.
Cuando recibamos algún mensaje en nuestro correo electrónico tenemos que evitar proporcionar información que pueda poner en riesgo nuestra identidad, no hacer clic en los enlaces o abrir ningún adjunto que no estemos esperando.
Para mitigar los riesgos derivados del phishing y el malware se recomienda utilizar un software antivirus actualizado, y actualizar tanto el sistema operativo como el software que utilicemos.
Un ejemplo típico y que seguro todos conocemos es el Phishing bancario a través de SMS.
Recibimos el siguiente SMS que, en teoría, procede de nuestro banco.
En el mensaje se nos informa sobre un inicio de sesión no autorizado en nuestra cuenta bancaria, y nos solicita acceder al link de forma INMEDIATA para confirmar o negar que hemos sido nosotros. De no conocer este tipo de técnicas maliciosas, es muy fácil alertarse y hacer click sobre el enlace.
Durante el proceso, se nos enviará a una web que suplantará la identidad de nuestro banco, y nos pedirá nuestras credenciales.
Si somos descuidados, podríamos proporcionarle nuestras credenciales bancarias a un cibercriminal.
Conclusiones
Las contraseñas son la cerradura de nuestros servicios on-line. Cuanto más difíciles sean de adivinar y más precaución tengamos a la hora de operar con ellas (no compartirlas con nadie, guardarlas en un entorno seguro, distintas contraseñas, etc.) mucho más seguro será utilizarlas.
Los cibercriminales saben de su importancia, por lo que cada vez utilizan medios más sofisticados para robar nuestra identidad digital y suplantar nuestra identidad. Siempre debemos tener un doble factor de autenticación y utilizar medios que dificulten la suplantación de identidad.
Y tú, ¿Cómo proteges tus credenciales?
