¿ES TU CONTRASEÑA SEGURA? GUÍA DE BUENAS PRÁCTICAS Y CIBERATAQUES MÁS COMUNES
Autor: Daniel Juanes Fernández
RESUMEN: al igual que tenemos llaves de casa, tenemos contraseñas que ayudan a mantener la información de nuestras cuentas a salvo. Es necesaria una buena higiene digital y cuidar nuestras contraseñas. Con esta guía te voy a enseñar como crear, mantener y vigilar tu contraseña, así como los métodos por los que los ciberdelincuentes se hacen con ellas.
ETIQUETAS: contraseña, ciberataques, hackers, gestor de contraseñas
Todos tenemos cuentas de usuario en decenas de lugares en internet todas protegidas por alguna contraseña. Puede ser un texto plano, con números, mayúsculas, un número pin, una huella dactilar, etc. Lo más común es una contraseña que sea una combinación de letras, números o incluso algún carácter especial como almohadilla, barra baja o guion.
Pero, ¿son seguras nuestras contraseñas? ¿Cómo pueden vulnerar las contraseñas? Estas preguntas son las que todos los usuarios nos tenemos que hacer cada cierto tiempo. En este artículo os voy a dar unos pequeños tips para crear contraseñas seguras, mantenerlas, cada cuánto cambiarlas y evitar que sean vulneradas mediante ciberataques.
¿CÓMO CREAR UNA CONTRASEÑA SEGURA?
Lo primero para crear una contraseña segura es no poner una básica o dejar la que esté por defecto que, aunque sea fácil de recordar, también es muy fácil de vulnerar, como por ejemplo “1234”, “qwerty” o “contraseña”. El año pasado la compañía de ciberseguridad NordPass publicó cuales son las 200 contraseñas más comunes. Es increíble como, año tras año, vemos como las más comunes son los primeros dígitos o la palabra “password”.
Tener una contraseña común te crea un riesgo inmenso de que los ciberdelincuentes puedan acceder a tu usuario o cuentas online, con todo lo que eso pueda suponer.
Bien, descartadas las más comunes y obvias, ¿cómo hago para elegir una contraseña fuerte? La web de Oficina de Seguridad del Internauta (OSI) dependiente del INCIBE nos da unos consejos sobre cómo crearla y nos recuerda que no debemos usar la misma contraseña para todo, aunque sea super cómodo, es súper inseguro, ¿alguno de ustedes tiene la misma llave para el portal de su edificio, su casa, el coche, moto, oficina, etc.? pues eso.
Para comprobar la robustez de tu contraseña la Asociación de Internautas ha creado un apartado en su web donde puedes comprobar la seguridad de la contraseña. Hay varios por internet, podéis usar varios para contrastar y dar seguridad a vuestras cuentas e información.
¿No se os ocurre ninguna contraseña? No es problema, mi consejo es coger una palabra o un grupo de conceptos, como ciudades. Imaginemos que os encanta la ciudad de Zaragoza, bien, pues podéis modificar la palabra combinando letras, números y caracteres. Quedando la contraseña así: z4r4g0zA-21 (me ha salido un 100% de robustez con esa). Es un método rápido y de fácil recuerdo.
Si no queréis usar este método, hay generadores de contraseñas que os van a crear claves seguras pero, seguramente, sin que podáis llegar a recordarlas porque son caracteres sin orden concreto y sin sentido, pero muy seguras al fin y al cabo.
Si sois como yo de memoria muy selectiva, podéis usar gestores de contraseñas. Os dejo aquí algunos gratuitos y recomendados por OSI. Esto os ayudará a tener contraseñas muy distintas guardadas en un mismo lugar y esto os va a poder ayudar a cambiarlas regularmente.
¿CADA CUÁNTO DEBO CAMBIAR MI CONTRASEÑA?
Mi consejo, para no volvernos locos, si eres un usuario casual en internet es cada cambio de estación, no obstante, si estamos hablando de información sensible, cada trimestre o incluso menos. Que no te de pereza.
También hay que estar atentos a si vuestra contraseña se ha filtrado o no. En este enlace os dejo un recurso que os indica si vuestra contraseña ha sido filtrada.
Las filtraciones son comunes, más de lo que creéis y más de lo que sabemos. Son ataques a empresas o compañías que no guardan de manera segura las bases de datos de nuestras contraseñas, se filtran y estás pueden ser usadas por los delincuentes para vulnerar nuestras cuentas. Ejemplo: Medio millón de contraseñas de Zoom, a la venta en un foro de hackers
Por eso es tan importante cambiarlas de manera cíclica, porque puede haber sido robada y no somos conscientes. Hay que curarse en salud.
¿CÓMO ME PUEDEN ROBAR LA CONTRASEÑA? CIBERATAQUES MÁS COMUNES
Hay varios ciberataques que pueden llegar a vulnerar tu seguridad y contraseña, podéis echar un ojo a uno de nuestros artículos donde los desarrolla más. Uno de ellos, el ataque a las bases de datos de compañías como hemos hablado. Pero hay algunos de carácter individual
Ataque de fuerza bruta
Consiste en adivinar nuestra contraseña a base de ensayo y error. Los atacantes comienzan probando diferentes combinaciones con nuestros datos personales (esto es muy sencillo de averiguar con técnicas OSINT, por ejemplo).
Ataque por diccionario
Los ciberdelincuentes utilizan un software que, de forma automática, trata de averiguar nuestra contraseña realiza diferentes comprobaciones, empezando con letras simples como “a”, “AA” o “AAA” y, progresivamente, va cambiando a palabras más complejas. Lo primero que suelen hacer es probar las contraseñas más comunes, por eso hay que evitarlas.
Como curiosidad en esta tabla se explica cuánto se tarda en vulnerar una contraseña dependiendo de los caracteres
Longitud | Todos los caracteres | Sólo minúsculas |
3 caracteres | 0,86 segundos | 0,02 segundos |
4 caracteres | 1,36 minutos | 0,46 segundos |
5 caracteres | 2,15 horas | 11,9 segundos |
6 caracteres | 8,51 días | 5,15 minutos |
7 caracteres | 2,21 años | 2,23 horas |
8 caracteres | 2,10 siglos | 2,42 días |
9 caracteres | 20 milenios | 2,07 meses |
10 caracteres | 1.899 milenios | 4,48 años |
11 caracteres | 180.365 milenios | 1,16 siglos |
Ataques de ingeniería social.
Se basan en un conjunto de técnicas dirigidas a nosotros, los usuarios, con el objetivo de conseguir que revelemos información personal o permita al atacante tomar control de nuestros dispositivos. Existen distintos tipos de ataques basados en el engaño y la manipulación. El más común es el Phishing, ese típico correo aparentando ser de una compañía conocida que te lleva a una web falsa (pero realmente similar a la original) para que introduzca la contraseña, sea enviada al ciberdelincuente y pueda acceder a tu cuenta. Muy importante que echéis un ojo a este enlace para saber evitar este ataque muy común y efectivo.
Man in the middle
Este es más sofisticado, pero no hay que ser experto informático para realizarlo. En esencia consiste en que el atacante se sitúe entre las dos partes que intentan comunicarse; interceptando los mensajes enviados e imitando al menos a una de ellas, lo más común es utiliza un router WiFi para interceptar las comunicaciones del usuario.
Por eso hay que cambiar las contraseñas que vienen por defecto en los routers, que en muchas ocasiones son conocidas por los delincuentes.
El sofisticado ataque del post-it.
Este es el más sencillo de realizar, el más torpe y el más evitable. Dejar apuntadas las contraseñas apuntadas en un post-it pegado al ordenador es un pecado de la ciberseguridad que no se puede tolerar. Por muy robusta que sea tu contraseña si la dejas a la vista de todos estás perdido.
Y estas cosas, creerme, que pasan: el sonrojante post-it con contraseña del ministro del Interior griego
CONCLUSIONES
Al igual que en el mundo analógico, hay que cuidad nuestras claves, llaves y barreras de seguridad, no usar la misma para todos, vigilar que no se filtre y cambiarla al menos 4 veces al año. Hay muchos recursos para evitar que nos ataquen, además de otros como la verificación en dos pasos. Las contraseñas son ese conjunto de caracteres y números que separan la tranquilidad del drama.
INFOGRAFÍAS SOBRE DELINCUENCIA JUVENIL
Anuario 2020 sobre Terrorismo Yihadista en España.
Accede a nuestra Área Privada para poder disfrutar del mejor contenido y las mejores entrevistas a profesionales de los sectores de la Seguridad. No esperes más y aprovecha todas las ventajas de formar parte de Sec2Crime Concept.