R. Parrado

Cómo elegir una contraseña segura

Ni 123456, ni su nombre ni su aniversario

Elena Martín López
ELENA MARTÍN LÓPEZ Madrid

¿Es de los que sigue utilizando 12345 como contraseña de su correo electrónico? Pues cuidado, porque los números del 1 al 9, los nombres propios y las primeras letras de la parte izquierda del teclado (qwerty), son los términos más utilizados como contraseña en internet, y también los más fáciles de adivinar y hackear. Si no se lo cree, verifíquelo usted mismo con algún comprobador de contraseñas como 'Kaspersky' o 'HowSecureIsMyPassword'.

Seguramente esté cansado de escuchar que las contraseñas seguras deben tener más de ocho caracteres e incluir mayúsculas, minúsculas y símbolos (@, ¡!, ¿?, &…), así como no contener información personal (nombre, fecha de nacimiento...) o que sea única para cada servicio que utiliza. Sin embargo, no está de más recordarlo, dado que 23.200 millones de cuentas de víctimas que sufrieron delitos cibernéticos en 2019 en todo el mundo utilizaban '123456' como contraseña, según un informe del Centro de Ciberseguridad Nacional de Reino Unido (NCSC, por sus siglas en inglés).

«Las credenciales de acceso (usuario y contraseña) son uno de los tipos de datos, junto con las cuentas bancarias y tarjetas de crédito, más demandados en los mercados negros de compra-venta de información. Para los cibercriminales, adivinarlas o descifrarlas es un juego, cuanto más cortas y más sencillas mejor. Sin duda esto no es nuevo, pero aun así seguimos cayendo en los mismos errores», destacan desde el Instituto Nacional de Ciberseguridad de España (INCIBE). Para evitarlo se pueden utilizar distintas estrategias.

¿Recuerda el Messenger? Allá por el 2000 hubo una moda en esta plataforma de chateo que consistía en escribir frases cOn MaYúScUlAs Y mInÚsCuLaS. Este es uno de los recursos sugeridos por el INCIBE. Escoger una palabra (murciélago), añadirle mayúsculas (MuRcIéLaGo), incluir números y símbolos (MuRcI3LaGo!) y agregar el servicio en el que se utiliza para hacerla fácil de recordar (1MuRcIeLaGo!OfiCinA, 1MuRcIeLaGo!EmAil, 1MuRcIeLaGo!CaSa). Esto permite no reutilizar la misma contraseña para distintas cuentas, algo «especialmente grave cuando la usamos indistintamente en el ámbito privado y público. Por ejemplo, poner la clave de nuestro correo empresarial en nuestra cuenta de LinkedIn», expresa José Ángel Gómez, CISO de la empresa de ciberseguridad Semantic Systems.

Si aún no se ha convencido, le interesará saber que un ordenador común puede descifrar la contraseña 'murciélago' en cuatro minutos, pero que para adivinar '1MuRcIeLaGo!OfiCinA' tardaría 7.062 siglos. Es decir, usted podría ir y volver de la luna 28.877 veces y su contraseña aún no se habría descifrado, según apunta el portal 'Kaspersky'.

Aun así, incluso si nuestra contraseña es segurísima, habrá que cambiarla periódicamente. ¡Qué pereza! Lo es, pero siempre puede optar por la vía fácil, como aumentar secuencialmente la numeración, de «1MuRcIeLaGo!OfiCinA» a «2MuRcIeLaGo!OfiCinA», y así sucesivamente.

Otra recomendación algo más sencilla es utilizar contraseñas largas de palabras inconexas unidas con guiones, como explica Diego Miranda-Saavedra, profesor colaborador del máster universitario de Ciencia de Datos de los Estudios de Informática, Multimedia y Telecomunicación de la UOC en su artículo '10 reglas para ser invisible en internet'. Por ejemplo: Pizza-Casa-Viernes tardaría en ser hackeada más de 10.000 siglos, según 'Kaspersky'.

Paso a paso

  • Elija una frase «en un lugar de la mancha».

  • Incuya las mayúsculas «En un lugar de la Mancha».

  • Incluya el servicio donde la va a utilizar «En un lugar de la Mancha Email».

  • Añada números «En un lugar de la Mancha Email 2019».

  • Añada símbolos «En un lugar de la Mancha Email 2019!».

  • Comprímala para recordarla mejor Por ejemplo, puede coger la primera letra de cada palabra: «EuldlME2019!». Se tardaría 78 mil millones de años en hackearla.

  • Cámbiela periódicamente variando la numeración De «EuldlME2019!» a «EuldlME2020!», «EuldlME2021!», etc.

Autenticación de doble factor

Ya tenemos una contraseña robusta, pero todavía podemos añadirle más seguridad a nuestras cuentas de usuario. «La tecnología nos ofrece la posibilidad de utilizar un segundo o múltiples factores de autenticación complementarios (2FA o MFA, por sus siglas en inglés) para validar nuestros accesos. De esta manera, los ciberdelincuentes no solo tendrán que adivinar nuestra contraseña, sino hacerse con el control de nuestro segundo factor, complicando su objetivo exponencialmente», destaca Gómez. Este factor de autenticación puede ser: algo que sabemos (otra contraseña, código pin…), algo que tenemos (tarjeta de coordenadas) o algo que somos (huella dactilar, reconocimiento facial…).

Ejemplos de esta tecnología los encontramos en aplicaciones de uso muy extendido como Google Authenticator, Microsoft Authenticator, Authy, Yubikey, Cisco Duo o Fortitoken, entre otras. «Muchas de ellas están soportadas en diversos servicios y redes sociales, solo hay que configurarlas en muy pocos pasos y nos avisarán cuando detecten accesos poco habituales desde equipos o desde ubicaciones no conocidas», agrega Gómez.

Es importante no confundir la autenticación de doble factor con la verificación en dos pasos. Esta última consiste en enviar un código de seguridad por SMS al usuario para que lo introduzca y así verificar su identidad. Actualmente es una práctica desaconsejada porque el mensaje puede ser interceptado por los ciberdelincuentes, que podrían suplantar fácilmente la identidad del remitente y engañar al usuario.

Utilice un buen gestor de contraseñas

Ya hemos dicho que una de las principales recomendaciones a la hora de elegir contraseña es que sea diferente para cada uno de los servicios que utilizamos, pero puede ser muy complicado recordarlas todas. Apuntarlas en un papel, en el móvil o aceptar la opción de 'recordar contraseña' que ofrecen algunos navegadores y aplicaciones no es recomendable. Lo más práctico y seguro es utilizar un gestor de contraseñas, una herramienta que permite almacenar sus credenciales y que realiza análisis periódicos de sus correos en la Dark Web para detectar si se ha filtrado alguna de sus contraseñas.

El problema es que no todos los gestores de contraseñas son iguales ni proporcionan la misma seguridad.

El más recomendado es 1Password, que tiene especial fama entre los usuarios de macOS e iOS por su diseño cuidado y sus funcionalidades, aunque también está disponible para Windows y Android. Cuesta 2,99 dólares al mes. Otros son: Dashlane, LastPass, KeePass, Enpass o Keeper.