Contraseñas hay muchas, pero contraseñas seguras hay que saber crearlas y mantenerlas. Y eso lo logras sólo siendo consciente de los riesgos informáticos que corres si no tomas en cuenta este aspecto
La seguridad de tu información, de tu dinero, empresa o familia puede recaer en el simple hecho de una contraseña.
En este artículo, pretendo dar una guía breve y concisa de las contraseñas, su importancia, características de una contraseña segura y tips para su creación y gestión.
Qué es una contraseña
Una contraseña, es un conjunto de caracteres que permiten la autenticación primaria de un usuario en cualquier sistema informático.
Es esta combinación de usuario + contraseña lo que se conoce como credenciales primarias o primer factor de autenticación.
Normalmente se encuentra guardada en alguna base de datos dentro o fuera del sistema que es conocida como directorio de usuarios o proveedor de identidades.
Cuando la contraseña es introducida, los caracteres tipeados son comparados con los existentes en el directorio, y si son iguales, se supera exitosamente la etapa de autenticación primaria.
Su importancia radica principalmente en que ellas permiten un primer nivel de seguridad, garantizando hasta cierto grado que el usuario que está intentando ingresar al sistema es quien dice ser.
El Problema Asociado a las Contraseñas
Son Difíciles de Recordar
El problema principal con las contraseñas es que al tener que ser memorizadas y al ser esto una actividad compleja, el ser humano tiende a:
- Olvidarlas
- Usar la misma contraseña en varios sistemas
- Escribirlas
- Divulgarlas
Son Objeto Fáciles de Ataques
Phishing
En segundo lugar, las contraseñas son objetos de ataques informáticos bajo técnicas de ingeniería social como el phishing que persiguen el robo de las credenciales del usuario para luego usurpar la identidad del mismo.
Fuerza Bruta
También pueden ser “crackeables” es decir, ser objeto de ataques, como por ejemplo el de fuerza bruta, que buscan y muchas veces lo consiguen, adivinar la contraseña
Filtraciones
Una contraseña, por muy segura que sea también puede ser objeto de ataques como filtraciones que consiste en que un actor malintencionado obtiene acceso a información sensible del sistema per se y de sus usuarios, contraseñas y demás información sensible.
Características de las Contraseñas Seguras
En vista de que las contraseñas son foco de varios ciber-ataques, a continuación describo las características de las contraseñas seguras:
Una Contraseña para Cada Sistema
Cada sistema debe tener una contraseña de uso exclusivo en éste, es decir una misma contraseña no puede ser utilizada para acceder múltiples servicios.
La reutilización de contraseñas es un aspecto del cual los malintencionados se aprovechan ya que al adivinar o descubrir una contraseña en un servicio, luego intentan acceder a otros servicios con esa misma contraseña.
Contraseñas Largas
Mientras más larga sea una contraseña, más tiempo le toma a hacker en adivinarla a través de un ataque de fuerza bruta.
Hoy día se aconseja una longitud mínima de 10 caracteres.
Contraseñas Seguras e Impredecibles
Si una contraseña contiene un dato que fácilmente puede ser predecible, como por ejemplo:
- Fechas de cumpleaños
- Nombre propio o de un familiar
- Año de nacimiento
- Nombre de mascota
- Iniciales
- Meses del año
- Secuencias numéricas
Todos estos datos y sus variaciones son predecibles y por tanto facilitan la labor del hacker.
Contraseñas Complejas
Además de larga e impredecible, es deseable que la contraseña sea compleja.
Esta complejidad viene dada por la existencia de letras en mayúscula y minúscula así como de símbolos o caracteres especiales.
Tiempo que toma en adivinar una contraseña
En el siguiente gráfico de @coders.bro vemos un estimado del tiempo que te toma a un hacker en culminar un ataque de fuerza bruta sobre una contraseña de acuerdo a los parámetros de seguridad que acabas de leer.
Cámbialas Aunque sean Contraseñas Seguras
Es en este punto donde entra en juego el cambio de contraseñas como una de las mejores armas de ciberseguridad.
El cambio de contraseña se debe ejecutar en dos escalas temporales:
Cambio Periódico: para evitar la culminación exitosa de cualquier ataque de fuerza bruta o de filtración de contraseña. Esta periodicidad depende de varios factores como lo son: la criticidad del servicio, la seguridad intrínseca de la contraseña (ver tabla 1) y la existencia o no de capas adicionales de segundo factor de autenticación.
Cambio Inmediato: ante la mínima sospecha de exposición de la contraseña.
Si cambias tu contraseña con la frecuencia óptima, puedes interrumpir el ataque de fuerza bruta o cualquier filtración.
Pasos para Crear Contraseñas Seguras
Una técnica sencilla para crear contraseñas seguras y complejas es:
- Pensar en una oración que puedas recordar fácilmente, por ejemplo: Este año 21 voy a Batir mi Récord de Ventas. En este punto puedes usar las mayúsculas como si fuera una Capitalización de títulos APA en las palabras principales y las minúsculas en palabras secundarias (los artículos, preposicionse, pronombres o palabras de 3 letras o menos)
- Crear la contraseña seleccionando las primeras letras de cada palabra y los signos de puntuación, del ejemplo anterior, tienes: Ea21vaBmRdV
- Crear un prefijo o sufijo que se el servicio al cual está asociado, puedes aprovechar de introducir algún símbolo, por ejemplo: $GM para gmail, $BP para Banco Guayaquil, $FB para Facebook, $IG Para Instagram: Ea21vaBmRdV$IG
- Cambiar algunos caracteres por caracteres especiales, por ejemplo una a puede ser un @. Una E puede ser un 3 una O puede ser un 0
- Al final tu contraseña quedaría así: E@21v@BmRdV$IG
GenuTip: si la oración es una afirmación que te motive y programe tu mente para el éxito … mucho mejor.
En la siguiente tabla resumo la metodología:
| Paso | Ejemplo | Contraseña |
|---|---|---|
| Frase u oración fácil de recordar | Este año 21 voy a Batir mi Récord de Ventas | N/A |
| Seleccionar iniciales | Este año 21 voy a Batir mi Récord de Ventas | Ea21vaBmRdV |
| Añadir Prefijo o Sufijo por servicio | Instagram: $IG, Facebook: $FB, Gmail: $GM etc | Ea21vaBmRdV$IG |
| Cambiar algunos caracteres | @=a, 3=E, 1=i, | Ea21vaBmRdV$IG |
Tips de Contraseñas Seguras
- No guardes contraseñas en dispositivos públicos o compartidos
- Nunca escribas las contraseñas en papel
- No permitas que alguien vea lo que escribes mientras ingresas una contraseña
- No uses los gestores de contraseña de los navegadores (Chrome, Edge, Firefox, Opera, Safari…)
Si eres una persona que maneja muchas contraseñas
Al final del día, si manejas muchas contraseñas, lo ideal es entonces utilizar los mejores gestores de contraseñas con base en bóveda cifrada como lo es Lastpass del cual somos proveedor especial del tipo MSP y podemos ayudarte, sólo contáctame
¿Cómo Saber si mi Empresa Tiene Contraseñas Inseguras?
Nuestra compañía aliada, KnowBe4 provee una herramienta gratuita que valida el nivel de seguridad de las contraseñas en tu Directorio Activo, si deseas, puedes aplicar aquí a una licencia gratis de esta herramienta para que corras esta prueba en tu organización.
Conclusiones
Las contraseñas son desde hace mucho tiempo un mal necesario y por tanto debemos aprender a gestionarlas de forma segura para el bienestar de nuestra información y recursos.
Ya está disponible tecnologías sin contraseñas o Passwordless pero esto no quiere decir que los passwords vayan a morir en el corto, mediano y ni siquiera en el largo plazo.
Principal Solutions Engineer en ICT International MSP
Especialista en Ciberseguridad ZeroTrust | Content Marketer | Experto SEO |
Ar pelo