A día de hoy, para poder utilizar los múltiples servicios que hay en Internet necesitamos por lo general una cuenta con usuario y contraseña, con todo lo que ello conlleva. Para evitar la filtración de datos personales y privados, es fundamental que la clave sea robusta.
Estoy seguro de que a nadie le gustaría que adivinasen sus datos de acceso y pudiesen ver su nombre completo, fecha de nacimiento, archivos, mensajes y conversaciones privadas, número de teléfono, saldos y números de cuentas bancarias, fotografías personales, datos de familiares o amigos, etc. (en el mejor de los casos).
Dicen que es mejor prevenir que curar, por lo que aquí hay 7 recomendaciones e ideas muy sencillas para mejorar la seguridad en Internet, incluyendo el método que uso yo para crear y recordar las contraseñas.
Todos lo sabemos pero hay que recordarlo: La seguridad empieza con una clave larga. Se recomiendan por lo menos 12 caracteres que contengan mayúsculas, minúsculas, símbolos ($, %, _, etc.) e incluso números.
Es más que conveniente intentar evitar palabras que figuren en el diccionario como Pueblo12, Armario123 o similares.
Soy perfectamente consciente de la dificultad que entraña buscar y recordar una contraseña complicada, nos pasa a todos, de hecho y como prueba, según algunos estudios y contraseñas filtradas, algunas de las más habituales son:
123456
123123
123456789
password
admin
12345678
qwerty
1234567
111111
1234567890
000000
abc123
En esta página web de Password Checker por ejemplo se puede comprobar lo robusta que es una clave:
De manera gratuita y muy rápida, informa de las propiedades de las contraseña (longitud, si usa números, mayúsculas, minúsculas, símbolos, etc.). También comprueba si está entre las 10.000 claves más frecuentes y si se puede conseguir a través de un ataque basado en diccionario (hay que darle al “check” de la parte inferior).
A modo de curiosidad, informa cuánto tiempo sería necesario dedicar en un ordenador normal, uno rápido y en una serie de equipos (incluyendo varias GPUs e incluso una botnet –una red de ordenadores controlados remotamente por alguien sin el conocimiento sus dueños-) para averiguar la clave.
Para una contraseña robusta como MadridPaj2015$ (que reúne todos los requisitos) con un PC normal se necesitarían 16 trillones de años mientras que usando una botnet con 16 millones de años, llegaría.
En la página Password Generator se pueden generar contraseñas robustas de manera gratuita, si no se nos ocurre ninguna, e incluso permiten indicar la longitud mínima, si contendrá mayúsculas y minúsculas, etc.
El problema será probablemente, que será difícil de recordar.
Existen muchos métodos y “trucos” para generar contraseñas robustas y sencillas de retener en la memora (incluso con trucos nemotécnicos), aquí cuento dos que suelo utilizar yo (hay muchos más, como el P-O-A –Person, Objet, Action– por ejemplo).
Con este sistema, para crear una contraseña, se parte de una frase y se utiliza un procedimiento. Por ejemplo. Supongamos la frase (pensando en una clave de acceso para una cuenta de un banco):
El sitio donde tengo el dinero ¿He llegado ya a mil millones?
Se podría convertir, considerando solo la primera letra de cada palabra y los signos utilizados:
Esdted¿Hlyamm?
Si se comprueba en la web de Password Checker, se observa que es muy segura (aunque no tiene números). Si se le añadiese uno (un 1 al final, por ejemplo), sería incluso mejor.
Otro ejemplo que podría ser una buena clave para Twitter (por eso le añado el # inicial):
#Me gusta la plataforma del pájaro azul ¿y a ti?
#Mglpdpa¿yat?
(para averiguar esta por fuerza bruta, según la página, se necesitarían en el mejor de los casos 6.000 millones de años).
Como se puede comprobar, este tipo de claves son fáciles de generar ni de recordar.
Para personas que sean más visuales, también funciona otro sistema: crear claves largas con palabras más o menos relacionadas y símbolos al principio y/o al final (aunque hay que tener en cuenta que algunos servicios limitan la longitud máxima).
Si se crea una clave con las palabras:
Madrid Vacaciones Contaminación Mar
Podría ser algo así como (suponiendo que se le añade por sistema un $ al principio y una cifra, que puede ser el número de palabras utilizadas, al final)
$MadridVacacionesContaminacionMar4
Para recordarlo, solo deberíamos crear una imagen mental con una asociación de las ideas: Supongamos que me voy a Madrid de vacaciones y solo veo contaminación y no el mar.
Parece más complicado de lo que es, y una vez se prueba o se crea para un cierto servicio, se puede recordar fácil. Por ejemplo, una clave para Facebook:
Página Fotos Azul Blanca Cotilleo
Resultaría:
$PáginaFotosAzulBlancaCotilleo5
Para evitar ataques de diccionario, se podría incluso, para nota, quitar la última letra de cada palabra: $PáginFotoAzuBlancCotille5.
Un consejo importante es que no se debe utilizar información personal para crear las contraseñas que pueda ser averiguada por personas cercanas o que tengan acceso a ciertos datos privados.
Es muy frecuente usar las fechas importantes propias o de familiares, número de DNI, poner el propio nombre como clave, etc. Se debe evitar a toda costa.
Mediante la llamada “Ingeniería social” muchas veces se consigue acceder a cuentas usando información proporcionada por la persona, así que conviene huir de las claves con estos datos (salvo que formen parte de alguna estructura robusta como las explicadas en el punto 1 mediante los métodos indicados).
Es muy habitual que las contraseñas utilizadas sean sencillas (ya comentado en el punto 1) o poner en todos la misma. Hay estudios que dicen que solo un 8 % de los usuarios no reutilizamos las claves en diferentes servicios, y eso es un peligro. ¿A quién le gustaría que accediesen a su banco, correo electrónico o redes sociales?
Imagina que existe una vulnerabilidad en algún servicio y se filtran las claves (no es ciencia ficción, ya ha ocurrido en el pasado en varias ocasiones como en el caso de Adobe, por ejemplo).
Si se usa la misma en todos los sitios, no sería extraño ni complicado que alguien con mala idea comprobase si en los principales servicios (Facebook, Gmail, Twitter, algunos bancos, etc.) se está utilizando.
Con alguno de los métodos explicados en el punto 1, no sería muy complejo tener una contraseña personalizada para cada servicio con una pequeña modificación.
Ante la menor duda de que alguien pueda haber visto la contraseña, que pueda haber sido interceptada o comprometida de alguna manera, aunque es siempre tedioso, se debe proceder a cambiarla por otra igual o más robusta.
Es también una obviedad pero para evitar olvidos (aunque suele existir la opción de “recordar contraseña” en casi todos los servicios) las claves en ocasiones se guardan en papel, en un fichero en el ordenador, etc.
Este soporte, sea el que sea, no debería estar a la vista (nada de poner un Post-it al lado del ordenador con el listado de las claves o en el primer cajón a la izquierda de la mesa del ordenador) y tener medidas de seguridad adicionales (por ejemplo, si se usa un fichero de Word, ponerle una clave para poder abrir ese documento).
Existen servicios como 1Password o LastPass que almacenan de forma cifrada y muy segura los listados de claves (e incluso pueden generar nuevas claves robustas) y se integran con los navegadores y diferentes programas (hay incluso apps para móviles). Eso sí, lo único que hay que hacer en estos casos es recordar la clave maestra para abrir la aplicación. ¿Son seguros? Sí, pero no hay que olvidar que tienen una parte online y nada es 100 % seguro.
Hay especialistas que dicen que se debe cambiar la clave cada año. Personalmente no lo hago, pero lo que sí conviene revisar de vez en cuando es la información asociada para recuperar una cuenta.
Por ejemplo, algunos servicios (entre ellos Google) permiten añadir una dirección de correo electrónico alternativa en caso de perder la clave. Es fundamental que esté actualizada y tengamos acceso a esa cuenta.
Aprovecho para recordar que también es muy importante pensar bien qué se va a poner en las típicas preguntas de seguridad que añaden algunas webs como medida adicional para recuperar la clave. Suelen ser cuestiones más o menos cerradas como “¿Cómo se llama tu mascota?” ¿Cuál fue el nombre de tu primer colegio?” o similares. Personalmente nunca facilito la información real, ya que alguien podría llegar a averiguar este dato y por muy megarrobusta que sea mi clave (la generada en el paso 1), cambiarla.
Tan importante es tener una clave robusta como defenderla y que nadie la pueda ver (ojo a los cotillas que merodean a nuestro alrededor).
Esto incluye utilizarla en equipos desconocidos o públicos (como en un cibercafé, en un ordenador compartido, etc.), ya que podrían tener programas espía, malware o keyloggers (que registran lo que el usuario teclea). Incluso no se deberían introducir las contraseñas utilizando conexiones Wi-Fi abiertas o poco seguras por regla general.
Es muy recomendable, si el servicio lo permite, utilizar la verificación en dos pasos. De esta manera, no solo hay que introducir la contraseña, sino que hay otra fase adicional (envío de un SMS, generación de un código, etc.) que refuerza la seguridad del proceso.
Hoy en día, además de los bancos (que suelen proporcionar una tarjeta de coordenadas para firmar las operaciones realizadas a través de banca online) muchas páginas como Twitter, Google, Facebook, etc. tienen la opción de activar la verificación en dos pasos, reforzando, y mucho, la seguridad de la cuenta y, con ella, de nuestra información y privacidad.
Buenas, la verdad es que a día de hoy, que hay que tener un usuario y una contraseña para prácticamente cualquier cosa, o uno se busca un algoritmo que le permita recordar fácilmente las contraseñas, o se vuelve loco. El problema es que si alguien llega a deducir el algoritmo, te ha cazado todas…
Creo de todas formas que en general todavía falta concienciar a muchas personas de la importancia de la seguridad, el «si yo no tengo nada importante» es una respuesta bastante común. No llegan a ver que simplemente pillándote una contraseña pueden llegar a ir tirando del hilo e ir sacando más y más información.
Gracias por el artículo.
Saludos
Hola, Scherzo
Tienes toda la razón en la importancia de las claves separadas por servicio.
Sobre lo del algoritmo, si no tiene una dependencia directa del servicio, no hay tanto problema. Ya es más problema sería si alguien lleva a ver la «semilla». Así, si por ejemplo «La plataforma de comunicación del pajarito azul» se convierte en LPdCdPa7. Si consiguen encontrar la frase y varias claves, se podría llegar a conocer el algoritmo, pero para averiguar las otras contraseñas, se necesitan las frases. De ahí la importancia de encontrar algunas muy fáciles de recordar.
Saludos y como siempre gracias a ti por el comentario.