En la era digital, almacenamos cada vez más información personal en línea, desde el correo electrónico hasta el número de teléfono, pasando por la dirección de casa, los números de tarjetas y otros datos privados. Al mismo tiempo, todos los días se violan y piratean datos, lo cual se ha convertido en un mal inevitable de la vida moderna y en una amenaza real para nuestra información personal.
Según un estudio reciente, solo en los Estados Unidos se produce un robo de identidad cada dos segundos. ¿Aún crees que puedes mantener tu información a salvo con una contraseña débil?
Las peores contraseñas de 2019
Una de las herramientas que mantienen a raya a los piratas informáticos es la contraseña. Aun así, seguimos usando combinaciones como 123456, qwerty o contraseña para proteger nuestros datos, según SplashData, empresa de gestión de contraseñas. En el listado de las peores contraseñas de 2019 se incluyen perlas como princesa, qwerty, tequiero o bienvenido. Lo preocupante es que el listado se mantiene más o menos invariable a lo largo de los años. A pesar de que hay montones de artículos de prensa y campañas de concienciación, la gente sigue sin reaccionar, aunque deberían ser conscientes del peligro.
Seguramente creas que, en la era digital, ya no hay mucho que contar sobre gestión de contraseñas, pero puede que te sorprenda saber que Contraseña123 es la contraseña preferida de los funcionarios del Gobierno de Australia Occidental.
Sin embargo, hay muchas medidas que, como usuarios, podemos tomar para proteger nuestras cuentas, más allá de una contraseña. Debemos disponer de un programa antivirus, mantener las aplicaciones actualizadas, estar alerta ante la suplantación de identidad y, no menos importante, gestionar correctamente las contraseñas.
¿Qué hace que una contraseña sea segura?
Muchas plataformas en línea ofrecen breves instrucciones sobre lo que debe contener una contraseña sólida, y algunas incluso ofrecen una herramienta de evaluación. Tim Gaiser, director del Proyecto de Gestión de Identidad de Avira, opina que hay que seguir tres reglas sencillas: debe ser larga, aleatoria y única (una contraseña distinta para cada cuenta).
En su opinión, cuanto más larga sea una contraseña, más protección ofrecerá frente a la fuerza bruta. «Recomendamos contraseñas de al menos 12 caracteres, aunque 20 es incluso mejor».
Nos cuenta que deben ser aleatorias, dado que muchas personas usan en sus contraseñas datos personales que pueden relacionarse con ellos, como aficiones o intereses. «Hoy en día, averiguar este tipo de información sobre ti en internet o mediante ingeniería social es más sencillo que nunca. Por eso, recomendamos encarecidamente el uso de una contraseña aleatoria de verdad, que no tenga nada que ver contigo».
Por último, aunque no menos importante, señala que las contraseñas no son reciclables. «Si piratean una de tus cuentas y tu contraseña queda expuesta, otras cuentas en las que uses la misma contraseña también estarán en peligro». Hay extensas bases de datos con miles de millones de datos robados dando vueltas por la web profunda y por la web pública, y los piratas no pierden la oportunidad de usarlas.
Su consejo es usar un gestor de contraseñas y crearlas con un generador de contraseñas. «Prácticamente todas las contraseñas pueden manejarse con un gestor de contraseñas sin necesidad de memorizarlas. Solo tienes que saber que están guardadas de forma segura en tu gestor de contraseñas y que puedes usarlas en todos tus dispositivos cuando las necesites».
Crear una contraseña segura de las dos formas
No obstante, puede que aún así quieras memorizar algunas contraseñas (como la de tu principal proveedor de correo electrónico). En este caso, nada de lo anterior deja de ser cierto, pero puedes crear una contraseña segura de las dos formas siguientes, explica Tim.
Puedes usar el método de las palabras de contraseña. O sea, puedes pensar cuatro palabras al azar que sean fáciles de recordar y vincularlas con caracteres especiales, sin olvidarte de usar mayúsculas y minúsculas (por ejemplo, Montaña-Jardín-Amarillo-Cebra).
O puedes optar por el método de la frase. Compón una frase larga que puedas memorizar fácilmente y usa la primera letra de cada palabra para crear tu contraseña. Usa también mayúsculas y minúsculas, y combina las letras con números y caracteres especiales (por ejemplo, una frase como «El coche es verde, tiene dos puertas y cuatro ruedas» nos daría la siguiente contraseña: eCev-t#2P&cuatroR).
Mitos sobre contraseñas
En la misma nota, Tim desmiente ciertos mitos sobre contraseñas y nos explica cuáles siguen siendo ciertos y cuáles han ido cambiando con el tiempo.
El primero de ellos está relacionado con el cambio periódico de las contraseñas. «Durante años, siempre nos han dicho que es necesario cambiar las contraseñas regularmente (una vez al año, o incluso cada medio año o cada trimestre). La consecuencia es que la mayoría se agobia tanto que termina reutilizando su última contraseña u otras más antiguas con ligeras modificaciones. Esta regla ha sido publicada recientemente por el NIST de Estados Unidos y por el BSI de Alemania, a favor de contraseñas sólidas, individuales y aleatorias», menciona el experto de Avira.
La segunda creencia afirma que debemos usar al menos una minúscula, una mayúscula, un número y un carácter especial. «Esta norma se propuso hace tiempo, cuando todavía las contraseñas eran relativamente cortas, para así incrementar el número de combinaciones posibles y complicar el uso de la fuerza bruta. Según la nueva indicación de usar contraseñas largas que, en principio, admiten todos los caracteres ASCII imprimibles, ya no son necesarios los tipos concretos de caracteres. Como cada dígito que se añade incrementa de forma exponencial el número de combinaciones posibles, lo que determina el tiempo necesario para vulnerarlas no son tanto los caracteres usados, sino la longitud de la contraseña», explica Tim Gaiser.
Otras recomendaciones para crear una contraseña segura
Nunca cuentes la verdad si una de tus cuentas tiene una pista de contraseña como método para recuperar la cuenta. Las pistas de contraseña son fáciles de averiguar mediante ingeniería social y son como una puerta abierta hacia tus cuentas. ¿O es que te creías que averiguar el apellido materno de tu madre o el nombre de tu primera mascota iba a ser muy complicado? Entonces, ¿qué hacemos? Desactiva las pistas de contraseña siempre que sea posible. Y, si no puedes desactivarlas, ¡miente!
Piensa que las pistas de contraseña son como contraseñas en sí mismas. Lo mejor es generar otra contraseña y guardar la pista junto con las contraseñas reales en tu gestor de contraseñas.
Aprovecha la autenticación en dos pasos. Lo normal al iniciar sesión en una cuenta en línea es usar un nombre de usuario y una contraseña. Para proteger mejor tus cuentas, muchos proveedores te ofrecen la posibilidad de usar un segundo factor de autenticación.
Si estás en Europa, puede que ya sepas por tu aplicación bancaria, que la autenticación en dos pasos se ha vuelto obligatoria para que estas aplicaciones cumplan los requisitos de la legislación europea relativa a la autenticación segura de clientes.
En el caso de servicios en línea, lo más común es que el proveedor envíe un SMS con un código a tu teléfono o que genere directamente un código en una aplicación 2FA en tu dispositivo móvil. En ambos casos, tendrás que introducir el código después de tu nombre de usuario y contraseña para iniciar sesión.
De este modo, solo podrás acceder a tu cuenta si conoces la contraseña (primer paso) y tienes acceso al dispositivo móvil (segundo paso) que reciba el código por SMS o genere el código. Esto imposibilita que los piratas accedan a tu cuenta aunque se hayan hecho con tu contraseña.
¿Por qué necesitas un gestor de contraseñas?
Lo entendemos. Cuando hablamos de proteger los datos, hay muchas cosas que deben tenerse en cuenta. Si recordamos nuestra recomendación de que una buena contraseña debe ser larga, aleatoria y única, la única forma de proceder es mediante un gestor de contraseñas que nos ahorre tener que inventar una nueva contraseña cada vez que abramos una cuenta. Tim Gaiser opina que una buena gestión de contraseñas es la medida más importante que un usuario puede tomar para proteger sus cuentas en línea.
Una gestión de contraseñas adecuada implica confiar en una herramienta y permitir que se encargue del engorroso trabajo de generar y memorizar nuevas contraseñas. Avira Password Manager es una de esas herramientas. Funciona en todos tus dispositivos e inicia sesión por ti de forma automática en tus cuentas en línea.
No solo eso, sino que busca contraseñas débiles o reutilizadas y te avisa en caso de que una cuenta haya sido pirateada. Además, puedes activar códigos 2FA siempre que sea posible y disponer de un escáner de identidad que advierte al usuario en caso de que roben datos en uno de los proveedores de servicio. Y todo gratis.