Vamos a explicarte cómo escoger una contraseña segura y cómo mantenerla de la mejor manera posible, todo ello desde el punto de vista de los expertos. Las contraseñas son la primera defensa que tienes ante alguien que quiera acceder a tu cuenta sin tu permiso, y pese a lo esenciales que son, muchas personas siguen cometiendo errores a la hora de gestionarlas.
En Xataka Basics ya te hemos explicado cómo crear una contraseña segura, utilizando los consejos más básicos y esenciales para crear una clave robusta. Pero ahora, van a ser los expertos en seguridad informática, los que más saben sobre el tema, quienes nos van a hablar desde su experiencia personal y punto de vista.
Para este artículo, hemos contado con la colaboración de expertos como Josep Albors, Director de Investigación y Concienciación de ESET España; Nuria Prieto Pinedo, Grupo de Respuesta a Incidentes Informáticos, CSIRT en la Universidad Carlos III de Madrid; Yago Jesús, profesional de la seguridad informática y editor en SecutiryByDefault; Cristina L. Tarrida, Analista de Operaciones de Influencia y Desinformación, investigadora en Ingeniería Social y Hacking Psicológico. También Lorenzo Martínez, ingeniero informático director de Securizame y co-founder de SecutiryByDefault; y Maria García Casero, técnica de sistemas en Ministerio de Asuntos Exteriores y de Cooperación.
Cómo crear tu contraseña segura
Lo esencial en el mundo de las contraseñas es empezar creando una que sea lo más segura posible. Aquí, Josep Albors nos ha hablado de forma didáctica explicándonos cómo deben ser las contraseñas seguras, y cómo intentar crear una que sea excesivamente indescifrable puede llevar a cometernos un error del calibre de acabar repitiéndola:
"A la hora de crear contraseñas y gestionar las credenciales de acceso a alguno de los múltiples servicios online a los que nos conectamos los usuarios suelen encontrarse ante varios dilemas. El primero de ellos es generar una contraseña segura pero, ¿qué se considera como segura en 2020? Tradicionalmente se ha recomendado la generación de contraseñas compuestas por letras mayúsculas, números, símbolos y de cierta longitud (por ejemplo 12 caracteres como mínimo). Esta recomendación puede ser efectiva la mayoría de veces pero dificulta que el usuario medio recuerde un elevado número de contraseñas.
Es posible incluso que, ante la imposibilidad de recordar muchas contraseñas complejas el usuario reutilice la misma contraseña (aun siendo esta compleja) en varios sitios, algo nada recomendable y que comprometería varias cuentas de una vez si esta contraseña cayese en manos de los delincuentes. Por eso, otros usuarios prefieren generar contraseñas menos complejas uniendo palabras sin relación entre sí y que terminan conformando contraseñas más largas difíciles de adivinar por fuerza bruta.
Hay que tener cuidado con la generación de patrones de forma involuntaria a la hora de generar contraseñas ya que si siempre hacemos la misma sustitución de letras por números u usamos los símbolos en las mismas posiciones, los atacantes pueden tratar de deducir posibles contraseñas consiguen tan solo una de ellas, por muy seguras que aparenten ser en primera instancia."
Nuria Prieto parte de la base de que no hay contraseñas infranqueables, pero igual que en tu casa puedes tener una alarma o puerta acorazada, lo mismo tienes que hacer a la hora de crear una contraseña. Puedes ir añadiendo capas de complejidad, y nos da su propia fórmula para hacerlo.
"Lo primero decir que no hay sistema infranqueable, todo puede ser hackeado. Al igual que tienes una puerta acorazada, alarma y sistema de videovigilancia en tu casa, haz lo mismo con tus contraseñas, ve añadiendo complejidad.
Busca algo que te sea muy sencillo de recordar, una frase suele ser muy buena elección. Combínala con diferentes idiomas. Los programas que se usan para romper claves suelen ser por idiomas, si combinas idiomas o lenguaje coloquial lo pones un poco más difícil. Por ejemplo:
Estoy de vacaciones, playa, sol y cerveza. En mi sistema complejo puede ser: Estoy d holidays, playa, sun & EstrellaDeGalicia."
Por su parte, Yago Jesús prefiere apostar por un tipo de contraseña un poco mas sencilla, aunque igualmente robusta. Pero en este caso, su método incluye mecánicas que nos ayuden a poder memorizar un poco mejor las contraseñas que estamos creando, porque este también puede ser un problema.
"En mi opinión la mejor forma de crear una contraseña segura es emplear un sistema que te permita por un lado crear una contraseña robusta y por otro que tenga algún tipo de mecánica que te pueda ayudar a recordarla, por ejemplo un sistema perfectamente válido es asociar año + evento importante. Por ejemplo, 2010GolDeIniesta o 2020TodosConfinadosPorElVirus.
Y puedes crearte una nota como apoyo vinculando el sitio con su año, por ejemplo Apple --> 2010 / Gmail --> 2020 para que sirva de índice.
Otro sistema puede ser coger un libro, que puede ser la biblia al estilo misión imposible y relacionar capítulos con sites, siendo la contraseña la primera frase del capítulo. Por ejemplo:
primer libro de la biblia, el génesis, su primera frase 'En el principio creó Dios los cielos y la tierra'
Si yo luego relaciono Gmail --> 1 ya sé que la contraseña de mi Gmail es la primera frase del primer libro de la biblia."
Cristina L. Tarrida se centra en hablarnos de de la percepción que tenemos de la contraseña y de cómo eso hace que no le demos tanta importancia como debiéramos. Luego, también aporta su punto de vista sobre cómo deberíamos diseñar una contraseña segura, y sobre todo, las cosas que debemos evitar para no acabar creando una que sea demasiado fácil de adivinar a través de la información personal públicamente accesible en redes sociales.
"¿Qué se puede decir de las contraseñas que no se haya dicho ya? Y a pesar de todas las recomendaciones, aún se encuentran contraseñas como 123456 o qwerty. Es probable que sea una cuestión de percepción. Por el uso que hacemos de ellas, percibimos las contraseñas como una llave para abrir una puerta (ya que las necesitamos para acceder a los servicios o las plataformas en cuestión con las que estemos interactuando), en lugar de como el cerrojo que protege la puerta que da entrada a nuestras pertenencias frente a la ciberdelincuencia.
En el diseño de las contraseñas, hemos de tener presente que no es conveniente utilizar el nombre de nuestra mascota, nuestra fecha de cumpleaños o nuestro equipo de fútbol, porque es muy probable que esa información la hayamos compartido públicamente alguna vez y los ciberdelincuentes pueden construir patrones de contraseñas a partir de la información personal que habrán podido adquirir de nuestros perfiles en redes sociales, por ejemplo.
Lo recomendable es que tengan al menos 10 caracteres combinando mayúsculas, minúsculas, números y caracteres especiales."
Lorenzo Martínez ya habla directamente de que los sistemas de autenticación por usuario y contraseña no se pueden considerar todo lo seguro que debieran, y menciona que debería utilizarse también algún otro factor de autenticación, como la identificación en dos pasos. Sin embargo, también nos da sus consejos para crear la mejor contraseña posible.
"Para empezar, los mecanismos de autenticación basados en usuario/contraseña simplemente, no se pueden considerar todo lo seguro que sería deseable a día de hoy. En mi opinión, se hace imprescindible la utilización de algún otro factor de autenticación como puede ser algo que se tiene (un certificado digital o un token físico por ejemplo) y algo que se es (refiriéndonos a algún tipo de autenticación biométrica).
No obstante y como hay múltiples sitios que exigen únicamente usuario/contraseña, se recomienda que esta tenga cuanta mayor longitud mejor así como que cuanto mayor sea el universo de caracteres (minúsculas, mayúsculas, números y caracteres especiales) mejor.
Por supuesto en esta línea se recomienda además dos máximas a tener en cuenta: la no reutilización de la misma contraseña, ni patrón, ni que contenga este el nombre del servicio; y además, el cambio frecuente de las mismas. "
Y por último, María García nos da sus propios consejos, mencionando que recomienda contraseñas que sean más largas de 20 caracteres. ¿Y cómo recordarla? Pues ella también nos recomienda utilizar una frase que para ti signifique algo, pero que sea difícil de adivinar por otra persona.
"Lo más importante es que sea larga. Si puedes, mínimo 20. Así es casi imposible que te la rompan por fuerza bruta. Es decir : hay que usar passphrases en lugar de password.
Lo ideal sería que esos 20 caracteres fueran, además, caracteres aleatorios y no palabras de diccionario. Pero entonces está el tema de cómo recordar semejante monstruosidad. Lo que yo hago, en un compromiso entre seguridad y usabilidad es usar una frase larga que para mí signifique algo pero que no sea fácil de adivinar (no vale, por ejemplo, un trozo del Quijote).
Pero también puedes pensar en una frase larga de 20 palabras y quedarte con la primera letra de cada palabra y usar esos 20 caracteres como contraseña.
Y por último, un buen complemento a las contraseñas es un factor doble de autenticación. Pero no me gustan los sms. Prefiero cosas como yubikey o Authenticator."
Cómo gestionar y mantener tus contraseñas
Y una vez creada una buena contraseña segura, luego vas a tener que gestionarla y mantenerla, y le hemos preguntado a nuestros externos por métodos seguros para almacenar las contraseñas y mantenerlas seguras. María asegura que salvo una brecha de seguridad, si es segura mejor no cambiarla. Luego, nos explica varios métodos que se pueden utilizar para recordar las contraseñas, desde apuntarlos en una libreta con algunas precauciones clave hasta utilizar los clásicos gestores de contraseñas.
"Me preocupa más que la contraseña sea segura que cada cuánto cambiarla. Si una contraseña es lo bastante segura, no hace falta andar cambiándola tan a menudo. Sólo cada cierto tiempo o si sospechas de una brecha. Por otro lado, si obligas al usuario a tener que recordar contraseñas nuevas cada dos por tres, va a tender a ponerlas facilonas (algo así como el nombre del hijo o del perro) y, por tanto, fáciles de adivinar por los atacantes. Entonces, es contraproducente.
En cuanto a recordar las contraseñas, un método de andar por casa que a mí me van genial es apuntarlas en un cuaderno (bien guardadito en casa) por si se me olvidan. Por supuesto, en el cuaderno no pongo para que son las contraseñas. Y quizás ni las escribo enteras. No sea que entren ladrones y, de propina, se las lleven.
Si nos vamos ya a lo profesional o a situaciones en las que tengas que disponer de las contraseñas fuera de casa o quizás, incluso, compartirlas con los miembros de tu equipo, entonces para eso están los gestores de contraseñas. Los gestores te permiten, además, crear contraseñas aleatorias generadas automáticamente que son más seguras y se pueden copiar con comodidad.
Hay varios y se han hecho diferentes estudios sobre cuál es mejor. A mí no me gusta mucho conectarlos a internet. Es verdad que te dan la comodidad de poder acceder desde donde quieras. Pero me da miedo que tengan algún fallo y queden al descubierto. Yo prefiero usarlos solo en local: en tu ordenador o en una unidad de red compartida con tu equipo.
Una excepción a estos miedos que te digo es la herramienta GuardedBox. Ahí sí que tengo cosas guardadas para acceder con el navegador de internet. Pero es porque he estudiado a fondo cómo funciona y me ha convencido de que es lo bastante segura (ahí entraríamos en detalles más técnicos).
GuardedBox no es exactamente un gestor de contraseñas. Es más bien una herramienta para el almacenamiento y compartición de secretos. Un secreto puede ser una tarjeta de crédito con su pin, por ejemplo, o una contraseña o cualquier otra cosa. Por lo tanto, se puede usar como gestor de contraseñas. Además, la última versión tiene una opción específica para contraseñas que te permite comprobar su fortaleza y también generarlas aleatoriamente. Está bastante bien y es muy sencillo de usar.
Lorenzo por su parte, ha ido directo al grano con unos de los grandes protagonistas en esta lid, los gestores de contraseñas, ya sean en la nube o, como hace él, almacenándolas a nivel local para tenerlas siempre a buen recaudo.
"Obviamente, como es imposible acordarse de contraseñas de la complejidad y longitud recomendadas, lo mejor que se puede hacer es utilizar un gestor de contraseñas. Estos son programas que con una clave maestra y en algunos casos, además un fichero, permiten gestionar todas las contraseñas de los servicios que utiliza una persona. Puedes crear nuevas, auto-generarlas para asegurar una aleatoriedad, etc,…
En definitiva, que no es necesario ni siquiera saberse las contraseñas que se tiene para los servicios. Eso sí hay que acordarse de una única contraseña, no perder el contenedor cifrado que las guarda, ni el fichero extra (en caso que así se haya seleccionado).
Hay que confía en gestores de contraseñas en la nube. Es cómodo porque el contenedor con las contraseñas queda cifrado en un sitio que es accesible al usuario desde cualquier parte, y hay plugins que permiten integración con navegadores y otro tipo de software. En mi caso, que soy de la vieja guardia, prefiero custodiar yo mismo mi contenedor de contraseñas."
Cristina no nos habla ya tanto de la gestión de estas contraseñas como de otros aspectos a tener en cuenta al diseñar las contraseñas, y que la importancia de ponérselo a los potenciales atacantes informáticos lo más difícil posible para que estos acaben buscando una víctima que les cueste menos trabajo. Y evidentemente, habla también de los métodos para acordarnos de todas las que creemos.
"Quizás nos ayudaría preguntarnos: ¿cómo actuaríamos si fuéramos un delincuente y tuviéramos ante nosotros una puerta desvencijada de madera y una puerta blindada? ¿Cuál elegiríamos para intentar entrar? La contraseña es ese blindaje que disuadirá al ciberdelincuente de elegirnos como víctimas. Cuanto más difícil se lo pongamos más probable será que abandone el intento y se decida a buscar una víctima con una cerradura más accesible.
Por eso, hemos de tomarnos muy en serio el diseño de nuestras contraseñas, porque en realidad estamos protegiendo con ellas todas las puertas de entrada a nuestros ámbitos más privados y dignos de ser protegidos con esmero: nuestra vida personal, nuestros ahorros, nuestras compras. En el ciberespacio, donde no hay certezas ni garantías de seguridad plena, una contraseña segura es clave para aumentar nuestras posibilidades de que la ciberdelincuencia pase de largo. No deberíamos conformarnos con la madera carcomida de una puerta desvencijada. Deberíamos elegir siempre el mejor blindaje porque, después de todo, lo que estamos protegiendo es nuestra vida digital.
Además, no debemos utilizar la misma contraseña para acceder a servicios distintos. Podría parecer una locura, ¿no? ¿Qué mente privilegiada tiene capacidad para almacenar un sinfín de contraseñas sinsentido? Para solucionarnos esta cuestión están los gestores de contraseñas, que centralizan todas nuestras contraseñas e incluso con sugieren combinaciones robustas y nos ayudan a mantenerlas. Ahora bien, hay que tener cuidado con la contraseña del gestor, dado que si un ciberdelincuente consiguiera hacerse con ella, tendría acceso a todas nuestras aplicaciones. Elijamos el camino que elijamos, siempre habremos de poner cuidado."
Yago Jesús había apostado antes por un método un poco diferente para crear contraseñas, utilizando un tipo de relación que sea fácil de memorizar. Gracias a esto, su punto de vista es el de utilizar los gestores sólo para anotar las relaciones entre páginas y patrones, de forma que en el caso de que estos se vean comprometidos tus contraseñas tampoco queden expuestas.
"Como he dicho antes, en las contraseñas puedes crearte una nota como apoyo vinculando el sitio con su año, por ejemplo Apple --> 2010 / Gmail --> 2020 para que sirva de índice. Si esta última parte la mantienes cifrada por ejemplo usando KeePass mejoras la seguridad a muchos niveles.
De esa forma, resulta muy fácil gestionar tus contraseñas seguras, y como decía antes, puedes usar un gestor de contraseñas pero solo para apuntar las relaciones entre site --> patrón, así si cae, en realidad está cayendo algo que no tiene valor real, solo para ti, para hacer tu relación mental.
Obviamente, esto se tiene que sumar al segundo factor de autenticación siempre que nos sea posible activar dicha opción, y sobre eso, mejor por app tipo Google Authenticator que por sms ya que los SMS son intrínsecamente inseguros, ha habido muchos casos de fallos en el protocolo que ha permitido robar segundos factores de autenticación que se envían por sms.
Un gestor de contraseñas es como el Anillo Único del Señor de los Anillos, una clave para gestionarlas a todas. Pero Nuria nos habla de cómo también es algo debatible, ya que no es bueno delegar en un único sistema para proteger nuestras contraseñas. También nos ofrece alternativas a los gestores de contraseñas, estableciendo criterios de seguridad por niveles.
Podéis tener un sistema de gestión de contraseñas, que es como el anillo único del Señor de los Anillos, una única clave que gestione todas. Esto siempre genera debate. No es bueno tener un único sistema, te pueden crackear la clave, robar el móvil, etc. Sí a todo pero al final si no lo usas terminas reutilizando la misma para todos los sitios y, desde mi punto de vista y opinión muy personal, salvo que seas un personaje influyente y con dinero, el delincuente común busca dinero rápido y no perderá el tiempo en romper la clave, además eso tiene un coste adicional. Intenta buscar un sistema multiplataforma, móvil, tablet, pc, etc, y sobre todo no olvides de hacer una copia de seguridad del fichero.
Usar un gestor de contraseñas permite tener almacenadas todas las claves “en un fichero y protegido con una contraseña”. Es esa contraseña de acceso la que debes de poner empeño a la hora de elegir, cuanto más compleja y larga mejor.
Si no quieres usar un gestor de contraseñas, establece criterios de seguridad por niveles. Por ejemplo, nivel bajo con claves sencillas e incluso repetidas para los sitios sin importancia. Para los de nivel alto deben ser complejas y largas, y por supuesto no repetirlas. Recuerda que para acceder a esos sitios se usa email y clave, establece también emails por nivel, crea fakes (falsos email) para esos sitios de nivel bajo de seguridad. Siguiendo en la línea de poner barreras. Puedes añadir una capa de seguridad si usas doble factor de autenticación o verificación en dos pasos. Esto permite que además de la contraseña se debe de proporcionar un código de acceso a tu cuenta.
Otra cosa muy importante son las preguntas de recuperación que te hacen a la hora de restablecer una clave. Suelen ser muy cerradas y siempre las mismas, esto junto con que se publica toda nuestra vida en las RRSS hace que sea una puerta de entrada para los ciberdelincuentes. En la medida que se pueda intenta establecer una respuesta fija, sea cual sea la pregunta.
Por último algo que me gusta decir: "Si tu libro preferido no lo prestas a nadie, entonces haz lo mismo con tu clave, no se la des a nadie". Es tu mayor tesoro, el que debes de proteger."
Y terminamos con Josep, que nos habla de los gestores de contraseñas, de la verificación en dos pasos, y de otros métodos para mantener nuestras cuentas seguras. También incide en cada cuanto tiempo cambiar de contraseña o cómo asegurarnos de que se mantiene segura monitorizando la red en busca de filtraciones que nos hayan afectado.
Para mejorar la seguridad de estas contraseñas podemos almacenarlas en contenedores cifrados con una contraseña maestra de creación propia o mediante los llamados gestores de contraseñas. Estas aplicaciones permiten almacenar una gran cantidad de contraseñas, teniendo nosotros que recordar únicamente una contraseña maestra. Esta puede ser una solución efectiva para la mayoría de usuarios pero también tiene sus limitaciones ya que muchos de los gestores de contraseñas más conocidos han sufrido vulnerabilidades que permitían leer su contenido, por lo que debemos asegurarnos de utilizar siempre la versión más reciente.
En los últimos años se ha empezado a implementar cada vez más frecuentemente lo que, para muchos es uno de los avances a la hora de gestionar el acceso a nuestras cuentas online. Se trata de configurar un doble factor de autenticación para que se solicite un código temporal de un solo uso junto al nombre de usuario y contraseña. Estos códigos pueden ser enviados por SMS (poco recomendable) o generados por una aplicación en nuestro dispositivo móvil.
También se puede implementar un dispositivo hardware como la llave de seguridad Titan de Google que sea necesaria para identificarse en nuestras cuentas de servicios online cuando intentemos conectarnos desde un dispositivo que no sea el habitual. También podemos optar por identificarnos en aquellos servicios que lo permitan con nuestras cuentas de Facebook, Google o Apple, por ejemplo, pero eso no exime de generar una buena contraseña en estos otros servicios y de protegerlos con todas las capas de seguridad que sean necesarias.
Respecto a cada cuanto tiempo es bueno cambiar una contraseña, hasta no hace tanto eso dependí de cada usuario y de la exposición a la que somete sus contraseñas. Habrá usuarios que se conectan únicamente desde su casa o desde dispositivos de confianza usando redes seguras y otros que se conectarán desde todo tipo de dispositivos en varios lugares diferentes y utilizando redes menos seguras. Supuestamente, el segundo tipo de usuario tendría que cambiar sus contraseñas cada menos tiempo que el primero pero la gran cantidad de filtraciones que se observan actualmente, frutos de constantes ataques a todo tipo de empresas y servicios online hace que tengamos que cambiar nuestra forma de pensar.
A día de hoy, conviene monitorizar periódicamente servicios que informen de robos y filtraciones de contraseñas como HaveIbeenPwned para saber cuando tenemos que cambiar urgentemente nuestras contraseñas. Tampoco debemos olvidar que los delincuentes van a tratar de engañarnos, una vez obtenida alguna dirección de correo en una de estas filtraciones para que accedamos mediante un enlace a una web fraudulenta donde poder robarnos nuestras contraseñas y otros datos confidenciales."
Ver todos los comentarios en https://www.xataka.com
VER 21 Comentarios