Una contraseña debe ser suficientemente fuerte para cumplir con su objetivo principal de evitar el acceso al servicio que protege, y al mismo tiempo, debe permitir al usuario recordarla para que éste sea capaz de acceder al servicio.
Pero, ¿cómo equilibramos estos dos factores? En muchas ocasiones cometemos el error de priorizar la facilidad de memorización a la seguridad, exponiéndonos así a que los ciberdelincuentes descifren fácilmente nuestras contraseñas.
Según el informe Securelist, publicado por Kaspersky, el 45% de las contraseñas pueden descifrarse en menos de un minuto, el 56% en menos de una hora, el 67% tardan un mes y solo un 23% se pueden considerar seguras, ya que se necesita más de un año para descifrarlas.
¿Por qué es tan fácil adivinar las contraseñas?
Porque quien la escoge es un humano, y quien la descifra es una máquina. Los humanos somos predecibles y normalmente escogemos palabras, frases o fechas comunes, que son muy fáciles de descifrar para los algoritmos inteligentes. Incluso cuando intentamos crear frases al azar, solemos utilizar las teclas del medio del teclado.
Estos algoritmos utilizan diccionarios y secuencias populares, como “querty”, “123456”, “asdf”, etc., e incluso son capaces de detectar sustituciones de letras por caracteres, por ejemplo “€urop3” en lugar de “Europe”, por lo que utilizar esta práctica no hará que las contraseñas sean más seguras.
¿Cambiar regularmente la contraseña ayuda a protegerla?
El problema es lo que comentábamos al inicio: el equilibrio entre complejidad para evitar el descifrado y la facilidad de memorización. Es muy importante que la combinación sea difícil de descifrar, pero así será más difícil de memorizar también. Si a esta dificultad añadimos que tengamos que memorizar una diferente cada mes, lo más probable es que acabemos por hacer “trampas” – no cambiarla realmente, sino solo una parte, o hacerla más fácil y por lo tanto menos segura.
Además, si casi el 60% de las contraseñas se pueden descifrar en menos de una hora, no sirve de mucho cambiarla constantemente – en una hora podría estar descifrada. Es mucho más recomendable conseguir estar entre el 23% que sí que son realmente seguras.
Entonces, ¿cómo escogemos una contraseña segura? 9 recomendaciones
1. Evitar palabras comunes o secuencias estándard
No utilizar palabras o nombres populares (“amor”, “admin”, “password”) ni secuencias de caracteres estándar (“asdf”, “123456”), ya que reducen significativamente el tiempo necesario para descifrarla.
2. Mientras más variedad, mejor
Combinar números, palabras con mayúsculas y minúsculas, y caracteres especiales. Las contraseñas que contienen una sola palabra pueden ser descifradas en menos de un minuto.
3. Escoge una contraseña única
Una contraseña segura no tiene por qué ser una secuencia de caracteres aleatorios difíciles de recordar. Lo que tiene que ser es única, de manera que resista al descifrado. Puede ser combinaciones de palabras no relacionadas entre ellas y que sean algo personal, por ejemplo: 3 últimas letras nombre abuelo materno + 3 últimas letras nombre abuelo paterno + carácter especial + número calle + 3 últimas letras ciudad de nacimiento + carácter especial. Esta secuencia de caracteres no sigue una lógica que sea fácil de descifrar para un algoritmo de adivinación, y en cambio nos será más fácil de recordar que una combinación formada por caracteres aleatorios.
4. Mientras más larga, mejor
Una secuencia de 12 caracteres tardará más en ser descifrada que una de 8 caracteres.
5. Utilizar un gestor de contraseñas
Un gestor es una herramienta que guarda todas nuestras contraseñas. Es muy útil ya que, al utilizarla, solo es necesario recordar una clave – la de acceso a la herramienta. Todas las demás pueden ser fuertes y por lo tanto muy seguras, pero no será necesario recordarlas ya que estarán guardadas en el gestor.
6. No repetir contraseñas
No utilizar las mismas claves de acceso para diferentes sitios, ya que no todos son igual de seguros.
7. Cuidado con la contraseña de la cuenta de correo
Ten especial cuidado con la contraseña de tu cuenta de correo electrónico. Si un ciberdelincuente la descifra, además de tener acceso a tus correos personales y poder enviar correos en tu nombre, puede utilizar la función de “olvidé mi contraseña” para cambiar las claves de acceso de los sitios que estén relacionados a la cuenta de correo.
8. Utiliza un comprobador de contraseñas
Utiliza un comprobador de contraseñas, como Password Checker, para verificar qué tan segura es la que has elegido. Estas herramientas identifican contraseñas poco seguras, duplicadas o si están en alguna base de datos de contraseñas vulneradas.
9. Activa el doble factor de autenticación
Siempre que sea posible, activa el doble factor de autenticación.
¿Es tu equipo consciente de los riesgos de ciberseguridad a los que está expuesta tu organización?
El eslabón más débil dentro de la cadena de ciberseguridad suele ser el factor humano. Una formación insuficiente del personal, independientemente de su rol y perfil, puede provocar que todos los esfuerzos aplicados, tanto técnicos como humanos para protegernos ante una ciberamenaza hayan sido en vano.
