Creo que la mayoría de las personas, no profesionales de la tecnología, no son verdaderamente conscientes de lo fácil que puede resultar para un experto en sistemas informáticos el “robo” de una contraseña. ¡Qué digo yo!, un “experto en sistemas informáticos”, no; cualquier quinceañero que sepa moverse por Internet tiene a su alcance un importante número de aplicaciones de hacking que le permitirán lograr su fin, por su puesto, sin tener la más mínima idea de seguridad, aunque estoy convencido que se siente todo un hacker. Y si además nosotros mismos le facilitamos el trabajo, no son necesarias ni tan siquiera las herramientas de hacking.

En el último gran ataque a la integridad de los usuarios en Internet, se comprometieron millones de contraseñas de Linkedin; algo que sirvió para dejar al descubierto la reina de las contraseñas, según la predilección de los internautas con cuentas en la red profesional: password, con 8 caracteres, eso sí. Es la contraseña más utilizada en Linkedin, así que por pura estadística, muy probablemente también en el resto del mundo.

contraseñas

Top 10 de contraseñas más utilizadas

Aquí es donde radica el principal problema, que cualquiera puede hacerlo. De esta forma, estamos expuestos a cientos de miles de extraños que en cualquier momento pueden “robarnos” una cuenta de correo electrónico, el acceso a una red social, o lo que es aún peor, nuestro dinero.

Todavía recuerdo el ataque a Sony hace unos años, concretamente a las cuentas de Play Station, donde solo se comprometieron usuarios y contraseñas, no tarjetas de crédito; al menos eso dijo el fabricante. Realmente, una cuenta de usuario de Play Station no es algo importante para la mayoría de los mortales, pero ¿Qué ocurre si hay personas que repiten esa misma contraseña en otros portales o servicios? …Sí, claro, el “hacker” va a ponerse a comprobar una por una esas contraseñas, por ejemplo en Paypal. La respuesta es que no, no es necesario que lo hagan uno por uno, manualmente; disponen de herramientas muy sofisticadas que lo hacen por ellos, reportándoles fácilmente un listado con las coincidencias que han tenido éxito. Esto es tan solo un ejemplo del aprovechamiento de una mala práctica, la de utilizar la misma contraseña para distintos servicios. Por cierto, en Linkedin también se usa como usuario la cuenta de correo electrónico, al igual que en la inmensa mayoría de servicios, de forma que la mitad del trabajo ya está hecho.admin

Y no digamos, algo que me saca de mis casillas, cuando nos obligan a utilizar un recordatorio para la contraseña. “El nombre de tu mascota”, “El nombre de pila de tu madre”, o “Tu color favorito”, ufff. De modo, que por un lado, nos piden maximizar el número de caracteres y combinaciones de números, símbolos y letras, para aumentar las combinaciones posibles, haciendo más difícil un ataque por fuerza bruta, y resulta que lo único que tienen que hacer es informar al sistema que se pretende recuperar la contraseña, debido a una pérdida, el sistema preguntará sobre el color favorito, y habremos reducido las combinaciones a los 7 colores del arcoíris. Bueno, esto tan solo es una exageración, porque no es así exactamente, pero no voy muy descaminado en la observación. Afortunadamente, los sistemas más modernos utilizan otros mecanismos, como por ejemplo el de enviar la contraseña por SMS a un teléfono móvil, previamente registrado, que es algo infinitamente más seguro. Eso sí, nunca del todo.

Después de tales críticas no puedo más que apuntar las principales recomendaciones y buenas prácticas para el uso de contraseñas:

  • Utilizar letras mayúsculas y minúsculas, símbolos y números.
  • No utilizar palabras de diccionario, ni en nuestro idioma ni en ningún otro, si no queremos ver reducida nuestra contraseña en menos de 2 segundos tras un ataque de diccionario. Se utilizan un buen número de éstos en muchos idiomas, que circulan por la red en archivos de texto, que ocupan unos pocos Kb, ya que solo interesan las palabras, no su significado.
  • Las combinaciones de palabras, ni siquiera dándoles la vuelta a las letras, ni nada por el estilo, tampoco están a salvo; ya que los “programitas estos” permiten configuraciones muy completas. Una palabra de 7 letras con dos caracteres por delante y otros dos por detrás, para una aplicación de hacking no es más que una contraseña de 4 caracteres, ya que la palabra la identifica rápidamente, comenzando el ataque de fuerza bruta con los caracteres restantes, y al ser solo 4, sus combinaciones son muy bajas y el resultado es inmediato.
  • No utilizar la misma contraseña para diferentes cuentas.
  • No dejar las contraseñas por defecto en los dispositivos que adquirimos, ni en los routers ADSL que nos instalan los proveedores de servicios.
  • Hace unos años la recomendación era no utilizar la fecha de tu boda o de tu cumpleaños. Hoy en día la recomendación es no utilizar fechas, directamente. Para que nos hagamos una idea, utilizar una fecha (por ejemplo de los últimos 50 años) nos reduce a 365×50=18.250 posibilidades distintas, algo que un ataque por fuerza bruta podría resolver con relativa facilidad. Sin embargo, utilizando los mismos 6 caracteres numéricos, si no utilizamos una fecha, estaríamos hablando de permutaciones con repetición de 106=1.000.000 de posibilidades. Evidentemente, lo suyo es utilizar caracteres alfanuméricos y símbolos, con lo que este número aumentaría sustancialmente. Se trata tan solo de un sencillo ejemplo para poner en evidencia los motivos de las recomendaciones.
  • No guardarlas por escrito, y mucho menos en archivos digitales. Hay que tenerlas en la cabeza, o bien, en aplicaciones llamadas gestores de contraseñas, que es habitual que incorporen funciones de Single Sign On (SSO). Aunque hay que tener mucho cuidado con ellos y manejarlos con cautela. Personalmente utilizo desde hace mucho tiempo ewallet, y me va muy bien.
  • Utilizar sistemas complementarios a las contraseñas, como por ejemplo un segundo factor de autenticación: OTP (One Time Password) -Contraseña de un solo uso-.

 Y entonces, ¿Qué contraseña pongo?

Aunque dependiendo de las reglas, o directivas, de contraseñas configuradas en el sistema de acceso donde la vayamos a generar, unas buenas prácticas serían las siguientes:

  • La contraseña deberá tener como mínimo entre 8 y 10 caracteres, si no más.
  • Pensar en una frase que nos la pueda recordar un fragmento de un poema, una canción o estrofa, y utilizar las primeras letras de cada palabra. Por ejemplo, con la primera estrofa de la canción: “Dale a tu cuerpo alegría Macarena, que tu cuerpo es pa darle alegría y cosa buena”, podemos formar una buena contraseña de 16 caracteres, que además utilizando algunas mayúsculas, y sustituyendo la letra “a” por “@”, la letra “y” por “&”, y la letra “t” por el número “7” obtendremos una contraseña muy difícil de descifrar, pero fácil de recordar para nosotros: D@7c@Mq7cepd@&cb. Si es un poco larga, siempre se podría acortar.
  • Finalmente, para utilizar contraseñas distintas en cada lugar, lo más fácil es tener una parte fija, completándola con una modificación del nombre del servicio que vayamos a utilizar. Lo mejor es verlo con un ejemplo. Si utilizamos como fijo la primera parte de la estrofa anterior, para que no sea tan larga: “D@7c@M” y queremos poner una contraseña para Hotmail, podemos sustituir Hotmail por “H0m@i1” y añadirlo a la parte fija anterior: “D@7c@MH0m@i1”.

Para finalizar, otra buena práctica es comprobar lo robusta que puede ser una contraseña a través de uno de estos comprobadores:

En definitiva, que cada vez más, hemos de proteger nuestros activos en la era digital, y una de las medidas principales es tomarse en serio el uso de las contraseñas y hacer caso de las recomendaciones y buenas prácticas.

chiste

Si deseas estar informado sobre la publicación de nuevos artículos,

no dudes en subscribirte a E@pertos en Sistem@s.

 

J Carlos Salas

Ingeniero Técnico en Sistemas, Consultor en Tecnologías de la Información y Executive MBA por la EOI, desarrolla su carrera profesional coordinando y participando en proyectos para diferentes empresas del sector TIC, desde Advantta IT Services.


 

Compártelo si te ha gustado:

Todavía no hay comentarios.

Deja aquí tu comentario. Gracias.

Visit Us On FacebookVisit Us On TwitterVisit Us On LinkedinCheck Our Feed