La importancia de proteger tus contraseñas: consejos y ejemplos

Una de las quejas reiteradas por parte de prácticamente todos los usuarios son los problemas que les acarrea la gestión de sus múltiples contraseñas, ya que ahora necesitamos una para casi todo. Hubiera sido necesario explicar más y mejor, no solo por qué se deciden estas cuestiones, sino también mostrar los riesgos que conlleva un mal uso de la gestión de las contraseñas, así como intentar ayudar a crear contraseñas para que no sea un problema más en nuestro día a día. Es complicado, pero vamos a intentarlo.

Hay cuestiones que son conocidas, como la necesidad de usarlas cuando accedemos a nuestros servicios, ya que las contraseñas son la primera barrera de seguridad para proteger nuestras cuentas y la información que contienen. Pero mientras esto es obvio, es más complicado entender por qué es necesario ser muy estrictos en su uso.

Algunos riesgos que corremos al facilitar, aunque sea de forma involuntaria, el robo de nuestras credenciales pueden ser:

  • Robo de identidad: si alguien obtiene tu contraseña, puede acceder a tus cuentas y robar tu identidad, lo que puede llevar a fraudes financieros y otros problemas legales. Imagina que escribe a alguien conocido, simulando ser tú. Al poder acceder a tu correo, puede saber la forma en la que te diriges a esa persona, contestar a un correo, etc, por lo que puede ganarse su confianza y conseguir acceso a más información o incluso datos financieros.
  • Acceso no autorizado: una contraseña comprometida puede permitir que un atacante acceda a información sensible, como correos electrónicos, documentos personales y datos financieros. Esto pasaría más en una cuenta de trabajo, ya que cualquier persona, en su cuenta institucional, tiene información sensible que puede ser utilizada por terceros.
  • Ataques de fuerza bruta: los atacantes pueden usar programas automatizados para adivinar contraseñas. Las contraseñas simples y comunes son especialmente vulnerables a estos ataques. Imaginad con los ordenadores actuales, cuánto podría tardar en resolver una contraseña basada en fechas, nombres de mascotas, ciudad y año de nacimiento… las clásicas.
  • Compromiso de múltiples cuentas: si reutilizas contraseñas, un atacante que obtenga una de tus contraseñas puede acceder a varias de tus cuentas, aumentando el daño potencial. Este es un riesgo que se ve a menudo. Tenemos una cuenta institucional que consideramos segura, pero utilizamos cuentas gratuitas y utilizamos esa misma contraseña, por comodidad. Esas webs pueden ser muy seguras… o no. Cuando los ciberdelincuentes, consiguen este tipo de contraseñas lo que hacen es buscar otras cuentas y probar. Y muchas veces tienen suerte.
  • Pérdida de datos: el acceso no autorizado a tus cuentas puede resultar en la pérdida o alteración de datos importantes, lo que puede ser devastador tanto a nivel personal como profesional. Las personas que puedan conseguir a alguna cuenta tuya, en ocasiones, lo que quieren es simplemente dinero por tus datos, pero también pueden hacer daño y eliminar información que pueda ser importante.

Para evitar todos estos riesgos potenciales, podemos tomar una serie de sencillas medidas, para evitar el robo de nuestras credenciales. Veamos algunos:

No compartas NUNCA tus contraseñas

  1. Con amigos, compañeros de trabajo o familiares: incluso personas cercanas podrían poner en riesgo tu información. Nadie sabe si la persona que hoy nos adora mañana nos quiera hacer daño. Nuestras cuentas son únicamente nuestras y NUNCA hay que compartirlas con NADIE. Y remarcamos lo de NUNCA y a NADIE.
  2. Con desconocidos o correos electrónicos sospechosos: podrían ser intentos de estafa o phishing. Si no debemos compartirlo con gente en la que confiamos, es normal que a gente que no tenemos relación, menos.
  3. Con aplicaciones o sitios web no verificados: podrían ser fraudulentos, y esto es muy IMPORTANTE. A veces nos damos de alta en webs de dudosa reputación o incluso una normal, por lo que si compartimos contraseña, cabe la posibilidad de que los propietarios de estas webs o ciberdelincuentes que puedan acceder a estas webs, roben nuestras credenciales. Un buen consejo es SIEMPRE utilizar una cuenta gratuita para este tipo de altas en webs externas, y no usarla nunca de cuenta de recuperación, etc. Solo es para altas en este tipo de webs o servicios.
  4. En chats públicos o redes sociales: estos entornos no son seguros para compartir información confidencial. Podríamos aplicar todo lo anterior a este punto.
  5. En redes Wi-Fi públicas o poco fiables: tus inicios de sesión podrían ser interceptados, y este es otro de los errores comunes, ya que hay redes Wi-Fi gratuitas y totalmente legales, pero son muy fácilmente suplantadas por otras que lo que desean es robarte todas tus credenciales. Es tan sencillo de suplantar estas Wi-Fi, incluso en los lugares originales, que ante la duda, lo mejor es no utilizarlas.

Visto lo anterior, veamos qué otras precauciones podemos tomar:

  • No uses credenciales corporativas en plataformas no autorizadas. Puede exponer tu cuenta a ataques de phishing y otras formas de robo de identidad. Los atacantes pueden obtener acceso a información sensible de la empresa, lo que puede resultar en pérdidas financieras y daños a la reputación.
  • Cambia las contraseñas por defecto: los dispositivos y programas suelen venir con contraseñas predeterminadas que deben ser cambiadas (routers, dispositivos conectados a internet, etc.).
  • Cierra sesión en aplicaciones web: especialmente en dispositivos compartidos. Hay herramientas que permiten mostrar las contraseñas usadas si se consigue el acceso físico al equipo, por lo que si no estamos delante del ordenador, siempre hay que cerrar las aplicaciones.
  • Responsabilízate de tus contraseñas: Sé consciente de su importancia y custodia.
  • Usa contraseñas diferentes para cada servicio: evita que una brecha comprometa múltiples cuentas, sobre todo, no uses las mismas contraseñas para tareas personales y profesionales.
  • Utiliza generadores de contraseñas: los gestores de contraseñas pueden generar y almacenar contraseñas seguras para ti, evitando la necesidad de recordarlas todas. Esta es una solución para aquellas personas que tenemos demasiadas cuentas y una cierta edad.
  • Cambia la contraseña inmediatamente si sospechas que ha sido comprometida: esta medida tendría que ser lo primero que hagas, simplemente si tienes una ligera sospecha de que algo ha podido pasar.
  • Cambia las contraseñas periódicamente:  y evita el truco de utilizar siempre la misma y cambiar el último carácter por un número. Pensamos que somos los más listos del mundo, pero es lo primero que prueban los ciberdelincuentes cuando ven un número al final en la contraseña.
  • Evita usar información personal: no utilices nombres, fechas de nacimiento o palabras comunes. Estas son fáciles de adivinar para los atacantes. Hay sistemas que utilizan diccionarios de hackeo y este tipo de contraseñas son las primeras que van a probar.
  • No uses opciones de recordatorio de contraseñas en navegadores web: es muy cómodo, es verdad, pero para el que no lo sepa, no os imagináis lo amables que son los navegadores en mostrarnos las contraseñas guardadas si accedemos al ordenador.
  • No apuntes tus contraseñas en papeles o post-its visibles: y más de una persona se estará riendo al leer esto, porque sucede. Escribir la contraseña debajo del teclado también es algo frecuente. Esto es especialmente peligroso en entornos de trabajo compartidos o públicos.
  • No reutilices contraseñas antiguas: si una contraseña antigua se ve comprometida, reutilizarla en el futuro puede poner en riesgo tus cuentas nuevamente. Los atacantes a menudo prueban contraseñas antiguas en nuevas cuentas para ver si siguen siendo válidas.

Por ahora, solo hemos puesto pegas, pero no hemos dado soluciones a esos problemas. Por tanto, vamos a explicar cómo se pueden crear contraseñas complicadas de averiguar pero fáciles de recordar.

Cómo crear una contraseña robusta

Cuanto más larga sea la contraseña, más difícil será de adivinar. Usa al menos 8 caracteres si no se indica lo contrario. Aquí tienes algunos ejemplos y técnicas:

1.         Piensa en una frase o varias palabras:

            o          Ejemplo: “MiGatoNegroEsFeliz2024!

2.         Incluye mayúsculas y minúsculas:

            o          Ejemplo: “aLiCaNTe#123

3.         Añade algunos números:

            o          Ejemplo: “Fin_Verano2024*

4.         Personaliza tus contraseñas según el servicio:

            o          Ejemplo: “UA_Cloud#2024

Reglas Mnemotécnicas

1.         Usa una frase como base y cambia letras por números:

            o          Ejemplo: “M1G4t0N3gr0EsF3l1z!

2.         Mezcla dos palabras e incluye números:

            o                      Ejemplo: “Soy_Ingeniera#24

3.         Combina información conocida por ti:

            o          Ejemplo: “Correo_UA!2.0.2.4

Y, sobre todo, si la herramienta lo permite (lo ideal es probar si lo acepta) es utilizar la letra ñ y la ç en la contraseña. Si los ciberdelincuentes son extranjeros, no tendrán estos caracteres en su teclado. Además, como son considerados como caracteres especiales, consiguen que la contraseña sea más robusta.

Miguel Ángel Alcaraz
Servicio de Informática