La mejor contraseña para blindarte ante los ciberdelincuentes

La mejor contraseña para blindarte ante los ciberdelincuentes

Según el Centro Nacional de Ciberseguridad de Reino Unido, 23 millones de personas han sido víctimas de ciberataques por utilizar para sus cuentas la clave '123456'

IRATXE BERNAL

Ayer, primer jueves de mayo, fue el Día Mundial de la Contraseña, una 'efeméride' inventada hace unos años por algunas las grandes empresas de las nuevas tecnologías para recordarnos lo importante que es utilizar una clave segura para proteger nuestros datos personales e información confidencial cuando utilizamos cualquier dispositivo electrónico. Precaución que, pese a ser de puro sentido común y muy fácil de seguir, descuidamos bastante. «Por no olvidarlas o por simple pereza, muchas personas establecen contraseñas débiles tipo '123abc', 'qwerty', «fecha_nacimiento' o 'admin', que son el sueño de todo ciberdelincuente, ya que les permiten de manera relativamente sencilla acceder a servicios privados de usuarios: redes sociales, correo electrónico, servicios en la nube, etc. En otras ocasiones tendemos a la reutilización de contraseñas, lo que implica que si alguien se hace con ella desde un determinado servicio que puede haber sufrido alguna intrusión en sus sistemas, conseguirá acceder al resto de los servicios», señalan desde la Oficina de Seguridad del Internauta.

«Para tomar las precauciones necesarias es importante conocer primero qué técnicas son las más empleadas por los ciberdelincuentes y qué errores de los usuarios les facilita la tarea», subrayan los expertos de Entelgy Innotec Security. En su opinión, las primeras opciones, tan poco sofisticadas como efectivas, son recurrir a los 'ataques de diccionario' y a los de 'fuerza bruta'. En los primeros, un programa informático prueba cada palabra de un grupo previamente definido (un diccionario del hacking) en el que se incluyen las combinaciones de contraseñas más utilizadas. Suele ser muy efectivo porque mucha gente emplea como contraseñas palabras de uso común y combinaciones de palabras fáciles de recordar. Que se lo pregunten a los 23,2 millones de usuarios de todo el mundo que, según el último informe del Centro Nacional de Ciberseguridad de Reino Unido, han sido víctimas de una brecha de seguridad por utilizar para sus cuentas la contraseña '123456'.

Dando pistas

En cambio, cuando los ciberdelicuentes prefieren ataques de 'fuerza bruta' utilizan programas especiales que prueban contraseñas al azar hasta dar con la correcta. Naturalmente empiezan por las más comunes y si éstas no funcionan, tratarán de obtener alguna pista consultando información relacionada con el usuario. «Para ello, tan solo necesitará visitar sus perfiles en redes sociales, en muchas ocasiones mal configurados en términos de privacidad», advierten.

Lo de crear contraseñas relacionadas con nuestra vida personal o el trabajo es una idea especialmente mala porque no sólo resultan muchas veces deducibles para quien ya disponga de ciertos datos, sino porque los delincuentes también disponen de 'arañas', muy similares a las empleadas en los motores de búsqueda, que van probando con los términos más recurrentes de nuestras comunicaciones. Eso es el 'spidering', «un ataque especialmente efectivo contra grandes empresas, porque ofrecen mucha información online, así como para obtener sus contraseñas de redes Wi-Fi, generalmente relacionadas con la propia compañía», señalan desde Entelgy Innotec Security.

Por otra parte, están las tácticas en las que nosotros mismos somos colaboradores. Incautos pero necesarios. En los ataques 'keylogger' es el propio usuario quien, al acceder a un enlace o descargar un archivo de internet, instala inconscientemente un 'malware'. «Una vez instalado, éste captura todas las pulsaciones del teclado, incluyendo las contraseñas, y se las envía a los ciberdelincuentes», alertan los expertos. Y todo sin olvidarnos del clásico pero muy efectivo 'phishing', con el que los cibercriminales suplantan otra página web para que el inadvertido usuario introduzca sus claves, o el nada sofisticado 'shoulder surfing', en el que como se deduce de su nombre (fisgar por encima del hombro) ni siquiera hace falta ningún equipo informático. Basta con aprovecharse de la confianza de ese usuario que da su contraseña a cualquiera que se la pida por teléfono, que la teclea delante de todo el mundo o incluso la deja apuntada en un 'post-it' junto al ordenador.

Recomendaciones

Así que sabiendo que están al acecho, que aprovechan cualquier descuido y cuentan con herramientas que les hacen gran parte del trabajo, lo mejor es intentar ponérselo difícil y romperse un poco la cabeza para salirnos del '123456'. Y las posibilidades son infinitas. Se pueden combinar palabras en varios idiomas, escribir con faltas de ortografía, intercalar números y símbolos, mezclar mayúsculas y minúsculas y siempre siempre alargarlas. Hasta alcanzar al menos los ocho o diez caracteres. La imaginación al poder. Y la renovación también, porque es recomendable modificarlas cada seis meses y no reutilizarlas al cabo de un tiempo. Si te resulta complicado inventarte algo puedes recurrir a gestores de contraseñas que te faciliten de forma aleatoria una robusta.

Además, desde la Oficina de Seguridad del Internauta también insisten en que hay que ser precavido con las preguntas de seguridad y, si utilizas este mecanismo para la recuperación de contraseñas, asegurarte de que solo tú conoces las respuestas así como no abusar de las contraseñas almacenadas en el navegador, especialmente si compartes el dispositivo con otras personas o utilizas un ordenador público. No seas vago y teclea tú en vez de pedir que el sistema las memorice.

Aunque esto último pude que no guste demasiado a las empresas. Según algunos informes, un empleado pierde de media 12,6 minutos a la semana (10,9 horas al año) escribiendo y reseteando contraseñas. «Como medida de seguridad extra y más profesional, el usuario puede optar por emplear alguna herramienta de almacenamiento y administración de contraseñas. Si bien es cierto que estas no son 100% seguras, sin duda será más difícil el robo de una contraseña. Además, algunos de ellos ofrecen la posibilidad de incluir una doble autenticación, es decir, proporcionar una capa de protección adicional», matizan en Entelgy Innotec Security recomendando el uso de estas herramientas, algunas de ellas gratuitas.