Perfecciona tu contraseña

Con demasiada frecuencia subestimamos el riesgo de utilizar contraseñas sencillas en Internet. Pero en nuestro afán de ahorrarnos la molestia de crear contraseñas sólidas, estamos poniendo en peligro nuestra información personal.

“Una buena contraseña debe ser fácil de recordar, pero difícil de adivinar”, dice Joseph Bonneau, técnico de criptografía y candidato a doctorado del grupo de Seguridad del Laboratorio Informático de la Universidad de Cambridge. Uno de sus campos de estudio es el de los sistemas de autenticación humana, entre los cuales están las contraseñas, los números secretos y otros medios por los cuales las personas verificamos nuestra identidad ante los ordenadores.

Una técnica de probada eficacia para crear contraseñas sólidas es el uso de frases mnemotécnicas, afirma Bonneau.

“Se elige una frase que se pueda recordar, como por ejemplo: ‘Todos los viernes voy a Moe’s a tomar algo’, y ésta se transforma en una contraseña: Tl5vMta. Y así es muy difícil de adivinar.”

Las contraseñas débiles suelen estar muy relacionadas con el nombre del usuario o el de la página web que se está visitando. Por ejemplo, no es recomendable utilizar la contraseña “Facebook” para una cuenta de Facebook. Ni usar la contraseña “JohnDoe” cuando la dirección de correo electrónico es Contact.

Una de las contraseñas más populares en todo el mundo es “password” (“contraseña”) a secas. También se usa mucho “123456” y “qwerty” (las cinco primeras teclas de la línea superior de un teclado del alfabeto inglés).

“Un hacker aficionado siempre probará a teclear estas contraseñas en una cuenta, con la esperanza de que pertenezca a ese 1% de la población que las utiliza”, explica Bonneau.

Para lograr una contraseña sólida, la doctora Ann Cavoukian recomienda usar la misma palabra en dos idiomas distintos e intercalar cifras.

“Como soy armenia, siempre uso una combinación de la misma palabra en inglés y armenio”, afirma Cavoukian, responsable del área de privacidad de la región de Ontario (Canadá). “Haciendo eso, y separando las palabras con un número y añadiendo un signo de exclamación, se refuerza enormemente la contraseña. Al no usar palabras del diccionario, somos menos vulnerables a lo que se conoce como un ataque de diccionario.”

Un ataque de diccionario es una sucesión de intentos con todas las palabras de una lista muy extensa, tomada normalmente de un diccionario. Tales ataques suelen tener éxito con mucha frecuencia, porque muchos usuarios usan contraseñas breves y no intercalan números, pudiendo ser así localizadas en el diccionario.

Pero la solidez de una contraseña dependerá también del uso que le demos.

 “La creación y el uso de una contraseña deberían hacerse teniendo en cuenta las variables del sistema y el entorno en el que se halla”, afirma la doctora Cavoukian. Por ejemplo, el número secreto que tecleamos en un cajero automático puede constar tan sólo de cuatro números, pero también está protegido por la infraestructura de seguridad del cajero, como por ejemplo las cámaras de seguridad. Además, normalmente sólo se permiten tres intentos antes de que el sistema rechace al usuario. 

“Pero en el resto de las situaciones – como en un ordenador doméstico, o en el trabajo – carecemos de esa infraestructura de seguridad”, dice. Aquí es el usuario quien debe hacerse cargo de su propia seguridad.

Bonneau recomienda agrupar las contraseñas siguiendo criterios de mayor y menor valor. Por ejemplo, para blogs o páginas web sin mayor trascendencia, puede bastar algo más sencillo. Pero para sitios en los que se almacena información personal o datos bancarios, es mejor usar siempre las contraseñas más sólidas.

Y además, no son sólo las palabras fáciles de adivinar las que entrañan un riesgo.

Bonneau señala que la base de datos de RockYou (una web de juegos sociales muy popular), con 32 millones de contraseñas, fue robada en diciembre por un grupo de hackers.

“La escasa seguridad de algunas webs sigue poniendo en peligro muchas contraseñas”, afirma. “Y además, muchas personas utilizan las mismas contraseñas para distintos sitios.” Esta práctica es muy poco aconsejable, puesto que, una vez descubierta tu contraseña, puede ser utilizada para acceder a otras informaciones almacenadas en otras localizaciones.

“Registrar contraseñas en el menor número de sitios posible es una buena táctica”, dice Bonneau. “Y tampoco debemos registrar una contraseña a no ser que nos propongamos visitar una página con frecuencia.”

La opción “cambiar de contraseña” que ofrecen muchas páginas web también puede ser un punto débil de la seguridad. Muchas webs envían una pregunta recordatoria preseleccionada por si acaso olvidamos la contraseña. Si se elige una pregunta sencilla a la que sigue una respuesta bien conocida, como por ejemplo “¿En qué calle vives?”, son muchas las personas que pueden acceder a dicha información.

La seguridad de contraseñas también pasa por asegurarnos de que una contraseña es siempre segura y confidencial.

La práctica del “phishing” – consistente en engañar a alguien para que teclee su contraseña en una web fraudulenta – sigue siendo una de las formas más comunes que emplean los hackers para hacerse con las contraseñas de los usuarios. Es muy importante asegurarse de que sólo se introducen las contraseñas en sitios auténticos. Microsoft ofrece unos cuantos consejos para identificar e-mails o enlaces típicos del “phishing”.

Y si las personas deben velar por la solidez y la seguridad de sus contraseñas, las empresas y organismos también tienen sus responsabilidades a la hora de proteger las contraseñas de sus empleados. 

“Es a la dirección a quien incumbe transmitir a sus empleados estos mensajes sobre la seguridad de las contraseñas de manera regular”, afirma la doctora Cavoukian. “Además, el administrador del sistema de una compañía debe proteger la base de datos de contraseñas con el máximo nivel de seguridad.”

Pero pedir a las compañías que fomenten el uso de contraseñas más sólidas también puede plantear otras cuestiones relativas a la seguridad, explica Bonneau.

“Las investigaciones revelan que prácticamente cualquier cosa que haga una compañía para fomentar contraseñas más sólidas – como por ejemplo imponer un mínimo de caracteres o exigir cambios periódicos de contraseña – va a provocar que la gente ponga por escrito sus contraseñas, puesto que no pueden recordarlas”, dice. “Lo cual sólo empeora las cosas en cuanto a la seguridad.”

Una nueva medida que solicite al usuario que refuerce la seguridad de su contraseña puede resultar muy molesta, admite la doctora Cavoukian. Los cada vez más populares medidores de solidez de contraseñas, que pueden rechazar la elección de contraseña de un usuario si la consideran demasiado débil, han recibido muchas críticas por el grado de frustración que conllevan.

Pero en opinión de la doctora Cavoukian, a la larga los usuarios agradecen todos estos esfuerzos por aumentar la seguridad de las contraseñas.

“Puede que moleste a mucha personas”, admite, “pero en definitiva es algo muy positivo.”

Por Rachel Sa

* Indica campo obligatorio


Comment

You must be logged in to post a comment.