La celebración este miércoles 1 de febrero del Día Internacional del Cambio de Contraseña nos recuerda lo vulnerables y dependientes que somos de las tecnologías y lo importante que es que protejamos adecuadamente nuestros dispositivos y cuentas para evitar el acceso de los ciberdelincuentes a nuestra vida privada, nuestros datos o nuestro dinero. Los expertos nos aclaran que hay dos elementos en los que hay que prestar una especial atención: las actualizaciones y el uso de contraseñas seguras.
Para ayudarnos en esta tarea de diseñar claves seguras sin perder la vida o la memoria en el intento, el experto alemán en redes devolo ha elaborado una serie de recomendaciones para crear contraseñas fiables y robustas.
El primero de sus consejos es que la contraseñas deben cumplir un nivel mínimo de seguridad y, por tanto, de complejidad. Con demasiada frecuencia no fue así el año pasado, como demostró, por ejemplo, el Instituto Hasso-Plattner. Este instituto informático evalúa anualmente las contraseñas más utilizadas* y, como en años anteriores, ha llegado a una conclusión aleccionadora para 2022. El primer puesto lo ocupa la sencilla combinación de dígitos "123456", que supera a la segunda versión más frecuente y ligeramente más avanzada, "123456789".
Pero también hay buenas noticias para quienes se sienten molestos por lo que a menudo se define como norma de seguridad: En realidad, las contraseñas seguras no tienen que constar de 20 caracteres ni deben cambiarse mensualmente. Muchas normas de contraseñas conocidas se consideran ya obsoletas. Esto se debe principalmente a que apenas son viables en las aplicaciones cotidianas.
Después de todo, cada vez necesitamos y utilizamos más contraseñas. A medida que aumenta el número de tiendas online, servicios de 'streaming' y aplicaciones móviles, también lo hace el número de cuentas y contraseñas. No es realista esperar que alguien memorice múltiples, diversas y largas contraseñas -que hay que cambiar periódicamente- sin algo que nos ayude a recordarlas. En teoría, la memorización sería el método más seguro, pero falla en la práctica.
Lo más importante hoy en día es utilizar contraseñas diferentes para cuentas diferentes. La razón es fácil de entender: ya es bastante malo que una contraseña caiga en las manos equivocadas. Y el daño puede minimizarse rápidamente si, por ejemplo, los intrusos sólo tienen un breve acceso a un servicio de 'streaming'. En cambio, si la combinación robada de una dirección de correo electrónico y una contraseña abre toda la caja fuerte digital de una persona, los daños pueden llegar a ser cuantiosos. Al aislar los datos de acceso individuales, un cambio de contraseña sólo es realmente necesario si se ha producido una violación de datos en el servicio en cuestión.
A su vez, y dependiendo de la importancia de una cuenta, las contraseñas individuales pueden ser algo menos complejas, pero desde luego no tan sencillas como "123456789". La pregunta que surge de forma natural es cómo recordar tantas contraseñas diferentes.
Puede parecer una locura, pero ahora tiene sentido: anotar las contraseñas, que durante años ha estado muy mal visto, no debe presentarse como algo negativo per se. Sin embargo, hay una trampa. Las contraseñas anotadas tienen que guardarse correctamente; de tal forma que no puedan ser encontradas fácilmente por cualquiera. Las notas Post-It con las credenciales de acceso a tus cuentas bancarias en línea y pegadas en el borde de tu monitor siguen siendo tabú. Por otro lado, las copias almacenadas de forma segura de la información de acceso más importante pueden reforzar la seguridad en línea si fomentan el uso de contraseñas de alta calidad.
Los gestores de contraseñas son cada vez más prácticos, pero mucha gente sigue mostrándose escéptica al respecto. Estas herramientas almacenan contraseñas, no olvidan nada y ofrecen el servicio de proporcionar cadenas aleatorias garantizadas. Con aplicaciones compatibles en dispositivos móviles y extensiones para navegadores web, los gestores de contraseñas incluso facilitan su introducción. En los últimos tiempos se ha puesto a disposición una enorme selección de este tipo de herramientas, con una gran variedad de métodos para la comparación de datos y modelos de negocio que admiten una amplia gama de aplicaciones.
Se recomienda encarecidamente el uso de la "autenticación de dos factores", también llamada verificación en dos pasos. Esto garantiza que, al iniciar sesión con un nombre de usuario y una contraseña, se añada un segundo componente de verificación para confirmar la identidad del usuario. Las formas más comunes de hacerlo incluyen correos electrónicos con enlaces de confirmación y mensajes SMS con códigos de un solo uso. La mayoría de nosotros nos hemos acostumbrado a este tipo de inicio de sesión a través de nuestros bancos. Pero cada vez más proveedores de otros servicios ofrecen también la opción de la autenticación de dos factores. Cuando esté disponible, la autenticación de dos factores debe estar siempre activada. Garantiza que incluso las cuentas con contraseñas más débiles estén bien protegidas. Por ejemplo, para acceder a tu cuenta, un tercero necesitaría no sólo tus datos de acceso, sino también acceder a tu teléfono.
Al pensar en estos temas, es especialmente importante incluir también la contraseña de tu Wi-Fi privada. Al fin y al cabo, esta clave protege tu red doméstica y todos los dispositivos conectados a ella. Por lo tanto, no sólo debes prestar atención a tener una contraseña segura, sino también a contar con funciones de seguridad de última generación. Entre ellas, por ejemplo, el cifrado basado en los estándares actuales (al menos WPA2). Estos requisitos deben cumplirlos no sólo el router de Internet, sino también todos los demás dispositivos que transportan la señal de Internet a través de las cuatro paredes de tu casa, como los repetidores Wi-Fi.
La celebración del Día Internacional del Cambio de Contraseña sirve también para que los expertos nos den claves de cómo construir contraseñas más segurras frente a los ataques de los ciberdelincuentes. Por eso, los especialistas de Kaspersky ha compartido cinco consejos orientados a los usuarios para que les resulte más fácil crear contraseñas únicas, seguras y a la vez fáciles de memorizar y así protegerse ante riesgos.
Para mejorar las contraseñas, Kaspersky recomienda a los usuarios crear una 'cadena estática', es decir, la parte de la contraseña que no cambia. Para ello, el primer consejo pasa por pensar en una frase, letras de canciones o citas de una película que sea fácil de memorizar para el usuario.
Una vez elegida, es necesario personalizarla para mejorar su seguridad y convertirla en una contraseña única. Esto es posible a través de técnicas como tomar la primera letra de las tres o cinco primeras palabras, o también añadir caracteres especiales (@, %, :, &...) entre cada una de las letras.
Otro de los consejos de la compañía de ciberseguridad pasan por el uso de la asociación de ideas para mejorar las claves de las cuentas en línea. El usuario puede utilizar la primera palabra que le venga a la mente al pensar en un servicio, como el color de un logotipo.
Después, para mejorar la seguridad de la cadena única creada anteriormente, es posible utilizar esta palabra añadiéndola al final de la misma. El carácter único mejora aún más utilizando mayúsculas y minúsculas, variándolas en función de las que se han usado para la primera parte de la contraseña.
A pesar de etas evidencias y certezas, un estudio sobre la robustez de las contraseñas que ha realizado Panda Security constata que casi la mitad de los españoles asegura saber todas sus contraseñas de Internet de memoria, aun siendo estas diferentes, frente a un 11 por ciento que prefiere hacer uso de un gestor de contraseñas y un 5 por ciento que sigue el método tradicional de apuntarlas en papel, en algún documento Word o nota del ordenador.
Por otra parte, una encuesta realizada por la empresa de ciberseguridad S2 Grupo apunta que el 42 por ciento de los internautas utiliza la misma contraseña para todo. Se trata de uno de los principales errores que se comenten a la hora de seleccionar la primera barrera de seguridad que fijamos en el mundo 'online'.
Para entender los riesgos, el socio director de esta firma, José Rosell, señala en un comunicado que "a ninguna persona se le ocurriría tener la misma llave para su casa, el apartamento, el buzón, el coche o la taquilla del gimnasio", una práctica que en el mundo 'offline' "sabemos que no puede suceder".