¿Cuántas veces has experimentado el frustrante episodio de no recordar una contraseña y acabar poniendo al final la que sí era correcta, para tener que volver a cambiarla?

Las constantes peticiones de cambio de contraseña de los servicios digitales que usamos a diario —desde el email, hasta la cuenta de Zoom o las redes sociales— pueden suponer un verdadero dolor de cabeza (¿cómo recordarlas todas?).

Pero, además, pueden hacernos más vulnerables frente a los hackers, según advierten varios especialistas en ciberseguridad.

¿Cómo es posible que una nueva contraseña comprometa tu seguridad en internet?

Alteraciones mínimas

La clave está en que, cuando cambiamos la contraseña, tendemos a hacer alternaciones mínimas que acaban facilitando enormemente a los ciberdelincuentes la tarea de adivinarlas.

Por ejemplo, cambiamos “CDMX1” por “CDMX2”. O incluimos al final de la consigna el año en que nacimos. O cambiamos la última letra por otra o por el número del mes.

Y si son contraseñas muy complicadas, algunos usuarios las escriben en notas autoadhesivas y las pegan a la computadora.

“Al final, terminamos recurriendo a derivados de una misma contraseña porque no somos capaces de recordar otras nuevas y más robustas para todos los servicios que utilizamos.

Además, es frecuente reutilizar una misma contraseña — o una muy similar—en varios servicios”, le dice a BBC Mundo Juan Caubet, director de la Unidad de IT Security del centro tecnológico Eurecat.

“Eso hace que, si hay una brecha de seguridad o te roban una contraseña en una campaña de phishing [un fraude basado en la suplantación de identidad] los hackers puedan adivinar fácilmente la contraseña que utilizas en otras plataformas añadiendo o cambiándole dígitos a la base que ya tienen”.

El especialista en ciberseguridad dice que, para no ponérselo tan fácil a los estafadores, lo ideal sería que cada vez que nos solicitaran un cambio de contraseña, la cambiáramos por otra totalmente nueva, que además fuera robusta.

“El problema es que esto es poco manejable porque usamos muchas contraseñas”, añade.

CLAVES PARA UNA CONTRASEÑA ROBUSTA

• que tenga al menos 8 caracteres
• que combine letras, números y caracteres especiales
• usa mayúsculas y minúsculas
• no incluyas datos obvios, como tu nombre o tu fecha de nacimiento
• ¡no la uses en otro servicio! si una de tus cuentas se ve comprometida, todas estarán en riesgo

Fuente: Juan Caubet, especialista en ciberseguridad (Eurecat)

“Hace mucho tiempo que se busca resolver cómo hacer más seguras las contraseñas, pero el cambio obligatorio de contraseña es un parche y pronto será algo obsoleto; es mejor una sola contraseña robusta que varias que al final no lo sean tanto”, comenta Caubet.

No es el único que lo piensa.

De hecho, los expertos en seguridad informática llevan tiempo alertando contra del cambio frecuente de contraseña.

Hace unos años, Bill Burr —autor de una influyente guía sobre contraseñas de computadora que fue distribuida por el Instituto Nacional de Estándares y Tecnología de EE.UU. (NIST, por sus siglas en inglés)— se retractó de algunos de sus propios consejos.

Entre ellos, cambiar la contraseña cada 90 días agregando mayúsculas, números y símbolos, de manera que, por ejemplo, “protegido” podría convertirse en “pr0t3Gid0!”.

Sin embargo, se ha demostrado que las computadoras necesitan más tiempo para descifrar una combinación aleatoria de palabras que adivinar una palabra con sustituciones fáciles de recordar, como “Contr@sseÑ123!”.

“Me arrepiento de la mayor parte de lo que recomendé. Creo que probablemente los consejos eran muy engorrosos para mucha gente”, dijo el experto en 2017, ya jubilado y con 72 años, sobre el manual que publicó en 2003.

• El gurú de las Contr@señas1! asegura que la mayoría de sus recomendaciones fueron erradas

Muchas plataformas e instituciones siguen recomendando (y obligando) a cambiar de contraseña con frecuencia, pero otras ya no recomiendan tales pautas.

Microsoft se sumó al segundo grupo en 2019, cuando anunció que estaba eliminando los cambios periódicos de contraseña tras décadas recomendándolos. “Es una práctica antigua y obsoleta”, argumentó entonces.

Netflix es considerado por especialistas como un gigante del streaming. Además, es una de las apps más usadas en el mundo para visualizar series, películas y documentales, entre otras alternativas.

De acuerdo con la información publicada por medios internacionales, la compañía está tomando medidas drásticas para evitar el intercambio de contraseñas. Según The Verge, Netflix está buscando formas de frenar el intercambio de contraseñas por razones comerciales y de seguridad.

Otros medios aseguran que, al igual que Spotify, Netflix basa sus datos en mapeo y con eso la plataforma evitará que se pueda compartir la cuenta con otras personas que no vivan en la misma residencia y lo determinará a través del IP.

El mensaje que circula en las redes sociales

Varios tuiteros compartieron una imagen que ha llamado la atención a los usuarios de Netflix, al indicar que les apareció un mensaje de alerta en la plataforma. “Si no vive con el propietario de esta cuenta, necesita su propia cuenta para seguir viendo”.

En la misma imagen se visualiza que deberá contar con un código de verificación, el cual se puede obtener a través del correo electrónico o un mensaje de texto que llegará al número telefónico registrado. Y, en el caso que se cierre la cuenta o se elija la opción de verificar luego, el usuario podrá adquirir una nueva suscripción gratuita durante 30 días para poder disfrutar del contenido de la plataforma.

Sitios especializados como gammawire.com aseguran que Netflix comenzó a probar esas alertas debido a que, durante mucho tiempo la compañía quiere evitar que las personas presten sus contraseñas.

Según la información compartida, la advertencia ha aparecido en las cuentas de usuarios en EE. UU. y se desconoce la fecha en la que llegue esa restricción a países de Europa y Latinoamérica.

The Verge añadió que esta prueba está diseñada para ayudar a garantizar que las personas que usan cuentas de Netflix estén autorizadas para hacerlo. Además, se está implementando para tratar de mejorar las medidas de seguridad en torno a la protección de cuentas debido a que pueden existir intentos maliciosos de usar algunas de ellas de la que se obtuvo la contraseña a través de métodos fraudulentos.

Los fiscales holandeses dicen que el hacker, Victor Gevers, no será sancionado porque “actuó éticamente”.

Gevers compartió lo que dijo que eran capturas de pantalla del interior de la cuenta de Trump el 22 de octubre, durante las etapas finales de las elecciones presidenciales de Estados Unidos.

Pero en ese momento la Casa Blanca negó que el presidente hubiera sido hackeado y Twitter dijo que no tenía evidencia de ello.

Respecto a las últimas averiguaciones, Twitter dijo: “No hemos visto pruebas que corroboren esta afirmación, incluido el artículo publicado en Países Bajos. Implementamos de manera proactiva medidas de seguridad de cuentas para un grupo determinado de personas de alto perfil relacionadas con las elecciones en Estados Unidos, incluidas las del gobierno federal”.

La Casa Blanca no ha respondido a la solicitud de comentarios adicionales sobre esta cuestión.

Gevers dijo que estaba muy contento con el desenlace.

“No se trata solo de mi trabajo, sino de todos los voluntarios que buscan vulnerabilidades en internet”, expresó el hacker.

El investigador de seguridad cibernética dijo que estaba realizando un barrido semiregular de las cuentas de Twitter de candidatos electorales estadounidenses de alto perfil, el 16 de octubre, cuando adivinó la contraseña del presidente Trump.

• El “espantoso” giro que dio mi vida cuando fui blanco de Trump en Twitter

La policía holandesa dijo: “El pirata informático liberó el inicio de sesión por sí solo”.

“Más tarde declaró a la policía que había investigado la seguridad de la contraseña porque había grandes intereses involucrados en si esta cuenta de Twitter podía ser robada poco antes de las elecciones presidenciales”.

Enviaron a las autoridades estadounidenses sus hallazgos, agregaron.

Gevers les dijo a los agentes que tenía muchas más pruebas del “hackeo”.

En teoría, pudo ver todos los datos del presidente, incluidos:

• fotos y mensajes privados
• tuits marcados de forma privada
• a cuántas personas había bloqueado

La cuenta del presidente, que tiene 89 millones de seguidores, ahora está segura.

No obstante, Twitter se ha negado a responder preguntas directas de la BBC, pese a que la cuenta tenía seguridad adicional o registros que hubieran mostrado un inicio de sesión desconocido.

A principios de este año, Gevers también afirmó que él y otros investigadores de seguridad iniciaron sesión en la cuenta de Twitter de Trump en 2016 usando una contraseña, “yourefired“, vinculada a otra de sus cuentas de redes sociales en una filtración de datos anterior.

La contraseña más reciente, “¡MAGA2020!” es la abreviatura en inglés del eslogan de su campaña, Make America Great Again (“Hacer a Estados Unidos grande otra vez”).

Es una necesidad: para utilizar o consumir estos productos y servicios tenemos que identificarnos con nuestro nombre de cuenta (usuario o dirección de correo electrónico) y autenticarnos, es decir, demostrar que somos realmente quienes decimos ser.

La autenticación se puede basar en tres aspectos diferentes:

• Algo que solo el usuario conoce, como un PIN o contraseña.
• Algo que solo el usuario posee, como una llave, tarjeta o token físico.
• Algo que solo el usuario es o hace (un aspecto biométrico), como una huella dactilar o un patrón gestual.

Por su bajo coste, sencillez y transversalidad, el primer tipo de autenticación, basado en contraseñas, es el que más utilizamos en nuestra vida cotidiana. Pero ¿podemos sentirnos seguros utilizando este tipo de autenticación?

Ataques a contraseñas

Pensemos en un usuario medio, que utiliza entre 50 y 100 productos y servicios diferentes. Esto implica que debe generar y recordar entre 50 y 100 contraseñas para poder acceder a todos ellos. Lo que suele hacer este tipo de usuarios es definir contraseñas fáciles de teclear y de recordar, por lo tanto:

• Cortas y con letras.
• Que incluyan palabras o términos con un significado.
• Que incluyan datos personales como fechas de nacimiento, nombres de familiares o mascotas, objetos relacionados con aficiones, etc.
• Que ya se usen en otros productos y servicios.

Desde el punto de vista del usuario, esto tiene todo el sentido y hace su vida digital más cómoda. Pero desde el punto de vista de un atacante que quiera averiguar una contraseña, estos hábitos también hacen su trabajo más sencillo.

¿Cómo actúan los ciberdelincuentes?

El ataque clásico a contraseñas es la fuerza bruta, es decir, el atacante prueba con todas las combinaciones posibles de caracteres hasta averiguar nuestra contraseña. Obviamente hay herramientas que automatizan este proceso de prueba-error, muchas de ellas gratuitas y ampliamente distribuidas.

Si hemos generado una contraseña de 4 caracteres, todos letras minúsculas, el atacante tendrá que probar 531 441 combinaciones diferentes (con nuestro alfabeto de 27 letras). Parece un número muy alto, pero con la potencia de cómputo de los ordenadores domésticos actuales, se pueden probar todas de manera casi instantánea.

Si los atacantes utilizasen servidores más potentes o superordenadores de centros de investigación, por ejemplo, no les daría tiempo ni a pestañear. Cuanta más potencia de cómputo, menos tiempo necesita el atacante para dar con la contraseña que busca.

Si definimos una contraseña de 8 caracteres y, además, mezclamos letras mayúsculas, minúsculas, números y símbolos (70 posibilidades en total, por ejemplo), el atacante ya tendría que probar 576 480 100 000 000 combinaciones diferentes. Con la capacidad de los ordenadores actuales, tardaría años, un tiempo que probablemente no le compense.

El problema es que si una contraseña con esta complejidad (8 caracteres de diferente tipo) incluye palabras conocidas, con un significado, el atacante comenzará probando, de entre todas las contraseñas posibles, aquellas que incluyen este tipo de palabras. Para ello usará un diccionario que recoge las claves más frecuentes (por ejemplo, password o iloveyou). Y esto reduce mucho el tiempo que necesita para dar con nuestra contraseña.

Además, este diccionario puede incluir palabras o fechas que tienen que ver con la persona en concreto (información que se puede extraer hoy en día con mucha facilidad de sus redes sociales). Esto puede ahorrarle mucho tiempo al ciberdelincuente, evitándole probar muchas combinaciones y convirtiendo años de pruebas en horas o incluso en minutos.

Todos los años se publican listados con las contraseñas más habituales que se han visto involucradas en diferentes ataques y que permiten mejorar estos diccionarios malignos.

Phishing, otra forma de obtener contraseñas

Los ataques de fuerza bruta no son los únicos dirigidos a robar las contraseñas. La mayor parte de las campañas de phishing actuales preguntan directamente a los usuarios por sus claves o les llevan mediante enlaces a interfaces falsas muy bien construidas donde, si los usuarios confían, teclean sus contraseñas (pensando que interactúan con el servicio legítimo y no con uno controlado por el atacante).

En muchas brechas de datos de grandes proveedores también se filtran nuestras contraseñas desde sus propias bases de datos. El famoso servicio Have I been pwned? nos permite descubrir si alguna de nuestras contraseñas se ha visto comprometida en una de estas brechas.

Y hay un problema añadido: como muchos usuarios reutilizan contraseñas, una vez descubierta su contraseña para un servicio, con el método que sea, el atacante probará inmediatamente si esta misma contraseña le sirve para acceder a otros.

¿Cómo podemos protegernos?

Una vez comprendido el problema, parece obvio que necesitamos contraseñas largas (12 caracteres es lo que recomiendan los expertos en la actualidad), complejas (en cuanto a variedad de caracteres), que no incluyan palabras o frases ni información personal y únicas para cada servicio. De estas, necesitamos entre 50 y 100… ¿Cómo lo hacemos?

Una solución es el social login, que implica que nos autentiquemos en la mayor parte de servicios que usamos a través de un proveedor de identidades, como Facebook o Google.

Si mantenemos contraseñas seguras para los proveedores que usamos (lo que es más sencillo, porque serán tres o cuatro como mucho), nos ahorramos tener cuenta en el resto de productos y servicios que utilizamos. Pero ya hemos hablado en el pasado de los problemas que esto puede suponer para la seguridad y la privacidad.

Si queremos seguir asociando una contraseña a cada producto o servicio que utilizamos, hay dos buenas soluciones para incrementar nuestros niveles de seguridad:

1. Utilizar un gestor de contraseñas. Es muy intuitivo: si tengo que recodar 100 contraseñar largas y complejas diferentes, las apunto. Pero en lugar de hacerlo en un papel, que debería llevar siempre conmigo, lo hago en una lista digital, en un gestor que me ayuda a generarlas, a almacenarlas e incluso a escribirlas cuando las necesito. Los hay gratuitos y de pago, locales y en la nube, para perfiles básicos o domésticos y profesionales. Lo esencial es elegir una solución robusta y proteger esta lista de contraseñas con una contraseña maestra bien definida (larga, compleja, no reutilizada).
2. Habilitar un segundo factor de autenticación en los productos y servicios más importantes. Si habilito un autenticador adicional, aunque alguien conozca mi contraseña, no va a poder suplantarme, ya que se le pedirá un segundo factor que demuestre que es quien dice ser. Normalmente, algo que solo yo poseo o algo que solo yo soy o hago (lo que comentábamos al inicio del artículo). No es imposible que el atacante pueda conseguirlo en algunos casos, pero le complica mucho las cosas y nos proporciona un segundo nivel de protección.

Con estas dos buenas prácticas, ninguna especialmente costosa ni compleja, conseguiremos estar mucho más tranquilos con nuestra seguridad online.

Marta Beltrán, Profesora y coordinadora del Grado en Ingeniería de la Ciberseguridad, Universidad Rey Juan Carlos

Este artículo fue publicado originalmente en The Conversation. Lea el original.

Sigue estos tips para combatir las amenazas de seguridad.

También vea: 12 años acosada en internet: “Fue aterrador, él controlaba cada parte de mi vida”

– Actualiza tu navegador con frecuencia

Es importante porque los navegadores están en una batalla permanente con los hackers, y cada actualización es para reforzar la barrera que cada momento está siendo atacada. La mayoría de los navegadores tienen la opción de hacer actualizaciones automáticas, lo cual es recomendado.

– Usa el bloqueo de ventanas emergentes

Estas páginas pueden instalar malware en el computador que puede causar problemas internos y de seguridad. Es posible hacer una lista de páginas autorizadas para que el bloqueo no sea tan inconveniente.

– Solo instala programas que conozcas

No confíes en software gratis que no conozcas bien. En muchos casos son programas diseñados para registrar la actividad del usuario, robar información de navegadores, y hasta fotos y documentos.

– Nunca escribas una contraseña en un computador público.

– Navega en privado

Los navegadores tienen herramientas para esconder historiales, caches y otro tipo de información que en general almacenan. Esto es particularmente importante cuando se usa un computador compartido.

– Proxies

Hay unos que son gratuitos y basados en la web, como Proxify, Anonymouse o Hide My Ass. Otros son manuales y se configuran en los ajustes del navegador. Los dos permiten navegar anónimamente. Es importante que el proxy sea de confianza, ya que puede ser una trampa de hackers.

– VPN

Para los que necesitan Internet a velocidades más altas y no tienen problema con pagar las redes virtuales privadas esconden el i.p. Uno de los servicios más populares es The Onion Router.

– Las contraseñas, quizás la recomendación más importante de la lista

Todos tenemos muchos servicios que requieren contraseña. Los hackers también saben esto. No compartas tu contraseña con nadie, ni tu abuela y asegúrate de que no te estén mirando cuando la escribas.

La red social Twitter descubrió una falla en su servicio: “Recientemente descubrimos un bug (error) que almacenaba las contraseñas no ocultas en un registro interno. Corregimos el bug y no tenemos ninguna indicación de que haya intrusión o uso fraudulento de nadie”, escribió la red en un tuit, recomendando “por precaución” a los usuarios cambiar la contraseña.

Twitter explicó el error en un blog muy breve titulado “Mantenga su cuenta segura”, que no aclara desde cuándo existe el fallo o cuántas contraseñas se han visto afectadas.

El grupo sostuvo que “oculta las contraseñas a través de un proceso de hash utilizando una función llamada bcrypt, que remplaza la contraseña real por una serie aleatoria de números y letras que se almacena en el sistema de Twitter“.

“Esto permite que nuestros sistemas validen sus cuenta sin revelar sus contraseñas, que es una norma de la industria”, continúa el blog.

“Debido a un bug, las contraseñas se introdujeron en un registro interno antes de ser sometidas al proceso de hash. Nosostros mismos hemos encontrado el error, eliminado las contraseñas y tomado medidas para que este error no vuelva a suceder”, agrega Twitter.

El grupo lamentó “profundamente” lo ocurrido. “Reconocemos y apreciamos la confianza que ustedes depositan en nosotros y nos comprometemos a ganar esa confianza todos los días”, dijo a sus usuarios.

La acción de Twitter, que ingresó en Bolsa en 2013, perdió un 1,14% a 30,32 dólares justo después del cierre de este jueves.

Una contraseña o clave es una forma de autentificación que utiliza información secreta para controlar el acceso hacia algún recurso. La contraseña debe mantenerse en secreto ante aquellos a quien no se les permite el acceso.

¿Qué es una contraseña segura?

La seguridad es siempre relativa, pero una contraseña segura debería cumplir la mayoría de los requisitos siguientes:

– Una longitud mínima de siete caracteres
– Letras mayúsculas y minúsculas
– Incluye números
– Incluye caracteres no estándar: ñ, $, % ë â…
– No es ninguna palabra incluida en un diccionario
-Buscando en Google, arroja cero resultados

¿Cómo crear una contraseña segura?

Crear una contraseña segura es un proceso muy sencillo: para ello existen los generadores de contraseñas. Ahora bien, ¿realmente necesitas introducir 1ñCb7Hç36K}* cada vez que accedes a Gmail? Seguramente no.

También vea: Cambridge Analytica: ¿por qué no ha salido a hablar Mark Zuckerberg en medio del peor escándalo que ha enfrentado Facebook?

La contraseña ideal es aquella que está formada por una palabra o frase inventada de una longitud y complejidad mínimas y que sólo nosotros conocemos.

De esta forma no será víctima fácil de ataques por fuerza bruta.

Al final, lo más importante es tener algo de sentido común y alcanzar un equilibrio entre la molestia que supone recordar y escribir una contraseña y el porcentaje de riesgo de que alguien la averigüe. Usar una contraseña kilométrica e imposible de recordar no es práctico.

Tendrás que apuntarla en algún sitio, y eso implica que otra persona pueda leerla… o que la pierdas para siempre.

También vea: Exigen protección de datos de ciudadanos tras escándalo de Facebook