Los expertos han descubierto las contraseñas más inseguras y advierten: los profesionales pueden descifrarlas en menos de un segundo. TECHBOOK revela cuáles son – y cómo hacer que su contraseña sea tan segura que nadie pueda descubrirla.
La mayoría de la gente usa contraseñas que pueden recordar fácilmente. Este descuido puede ser explotado por los estafadores de la red.
Internet puede ser un lugar peligroso, por lo que intentamos protegernos lo máximo posible de los virus. Sin embargo, con nuestras contraseñas, la conveniencia a menudo gana. Lamentamos este descuido a más tardar cuando alguien crackea nuestra contraseña y hace un mal uso de nuestros datos.
Los expertos han revelado algunas de las contraseñas más utilizadas en Gran Bretaña como parte de un estudio de investigación. El aterrador resultado: menos de un segundo sería suficiente para que los estafadores descifraran muchos de ellos.
Éstas son las contraseñas más inseguras
Incluso si tienes problemas para recordar contraseñas difíciles, nunca debes usar una de estas diez contraseñas:
- 123123
- 123456
- 1234567
- 12345678
- 123456789
- 1234567890
- Contraseña
- qwertz
- 111111
- 987654321
También debe evitar cierta información como su nombre, el nombre de su pareja o el nombre de su mascota, ya que puede ayudar a los estafadores a descifrar su contraseña más rápidamente. Además, no uses el nombre de la calle en la que creciste, tu lugar de vacaciones favorito o el equipo deportivo del que eres fan. Toda esta información podría ser averiguada por los estafadores que utilizan la información de las redes sociales como Facebook.
Cómo conseguir una contraseña que no sea fácil de adivinar
Si se siguen estas reglas, los hackers necesitarían hasta cuatro mil millones de años para descifrar la contraseña, según los expertos:
- Utilice una contraseña diferente para cada cuenta en Internet.
- Utilice tres palabras al azar para su contraseña que no tengan ninguna conexión.
- Añada un número a estas tres palabras.
Sí, hay: contraseñas donde los hackers se rinden.
Si no puede y no quiere recordar innumerables contraseñas, también puede probar con un gestor de contraseñas.
Por lo tanto, una contraseña no debe tener caracteres especiales ni mayúsculas.
Todos los días utilizamos contraseñas para varios servicios. Longitud, caracteres especiales o cambios regulares – TECHBOOK preguntó a los expertos lo que realmente importa.
Las contraseñas protegen nuestras cuentas en los más diversos portales. Pero, ¿qué es una buena contraseña? ¿La longitud? ¿Tantos personajes especiales como sea posible? ¿Un cambio de contraseña cada pocas semanas? TECHBOOK habló con Arno Wacker, profesor de Protección de Datos y Compliance en la Universidad de las Fuerzas Armadas Alemanas en Munich, y con Tim Griese de la Oficina Federal de Seguridad de la Información (BSI). Una cosa primero: muchos de los saberes comunes para las contraseñas están obsoletos y no tienen sentido para el usuario.
Así de útil es un cambio de contraseña regular
En realidad suena bastante lógico: si quieres una contraseña segura, tienes que cambiar tus contraseñas a intervalos regulares. Demasiado para la teoría común. Sin embargo, esto ya no se aplica en esta forma. La regla tiene sus orígenes en las antiguas directrices del NIST (Instituto Nacional de Estándares y Tecnología), pero el manejo de las contraseñas fue cambiado por la Agencia Federal de los EE.UU. en 2017 y el requisito de cambios regulares de contraseña fue finalmente eliminado.
Opinión de los expertos en cyberseguridad
«La razón de esto es que mientras tanto hay algunos estudios científicos que dicen que un cambio regular tiene más probabilidades de perjudicar la seguridad que de beneficiarla. Una razón fácilmente comprensible es la psicología del usuario: si los usuarios no tienen que cambiar su contraseña cada pocos meses, tienden a elegir mucho menos las contraseñas malas/simples, es decir, tienden a limitarse a generar una contraseña buena y fuerte», dijo el experto en seguridad informática Arno Wacker a TECHBOOK.
Sin embargo, persiste el rumor de que los usuarios siempre deben cambiar sus contraseñas. Wacker ve una razón para ello en el hecho de que el BSI en Alemania sigue dando esta recomendación, al contrario de otras directrices. «La contraseña debe cambiarse regularmente, por ejemplo cada 90 días», dice el catálogo de protección básica de TI de BSI. Sin embargo, cuando se le preguntó por TECHBOOK, la BSI negó una recomendación sin restricciones para cambiar la contraseña regularmente.»
Según la experiencia de la BSI, los ciberataques exitosos se descubren en promedio sólo después de más de 200 días. Por lo tanto, un cambio regular de contraseñas puede tener sentido para hacer que las contraseñas robadas no sean útiles para los ciberdelincuentes, aunque el robo de contraseñas haya pasado desapercibido hasta entonces», explica Tim Griese de la BSI. En cualquier caso, los usuarios deben cambiar su contraseña si hay indicios de que la contraseña ha sido comprometida. Las indicaciones de esto pueden incluir el número de inicios de sesión fallidos y la fecha del último inicio de sesión. Al cambiar una contraseña, los usuarios deben asegurarse de que eligen una contraseña fuerte de nuevo.
¿Es aconsejable una contraseña compuesta de varias palabras?
Una contraseña compuesta de varias palabras puede ser muy útil. «Una frase de contraseña también puede proporcionar un alto nivel de protección, pero no debe ser demasiado corta», aconseja Griese de la BSI. La longitud determina la calidad de una contraseña. Sin embargo, no se recomiendan las contraseñas que consisten en dos palabras, especialmente porque una contraseña de 20 letras o más se considera segura y es probable que dos palabras por sí solas no puedan alcanzar esta longitud. «Pero el enfoque es correcto: si se utiliza una frase entera, es decir, la llamada frase de contraseña, cuya longitud total supera con creces los 20 caracteres, entonces puede considerarse segura hoy en día», explica Arno Wacker.
Cuando se utilizan dos palabras con un total de 10 letras, la fuerza de la contraseña es de unos 47 bits. O para decirlo de otra manera: un ordenador necesitaría 140.737.488.355.328 intentos para averiguar la contraseña mediante un ataque de fuerza bruta en el que se ejecuta cada posible combinación de letras. Esto ya es un desafío para un solo ordenador, pero no para las grandes redes de ordenadores.
Con tres palabras de 16 letras, es mucho mejor con unos 71 bits, pero tampoco llegas todavía a la zona segura. Con cuatro palabras con un total de 20 letras, los usuarios alcanzan una fuerza de 95 bits, que se considera segura hoy en día, mientras que con seis palabras, ya se llegaría mucho más allá de la fuerza criptográfica recomendada por el NIST. Sólo para expresarlo de forma comprensible: Para una contraseña de 20 letras, una computadora o red de computadoras necesita 39,614,081,257,132,168,796,771,975,168 intentos de encontrar la contraseña – ¡incluso si sólo consiste en letras minúsculas!
¿Es suficiente una contraseña fuerte para todos los servicios?
No importa lo fuerte que sea una contraseña, los usuarios siempre deben elegir diferentes contraseñas – y nunca usar sólo una para todas las cuentas. En caso de fugas de datos, las bases de datos de contraseñas son robadas a los proveedores de servicios. Después, no es necesario descifrar la contraseña del usuario. «Si esta contraseña, no importa lo fuerte que sea, se utiliza para otras cuentas, estas cuentas también están abiertas a un atacante.
Por lo tanto, es importante utilizar diferentes contraseñas para diferentes cuentas», dice Tim Griese de BSI a TECHBOOK. Además, el usuario nunca sabe lo bien que el servicio utilizado trata la contraseña. «En el peor de los casos, el servicio guarda la contraseña en texto plano (por ejemplo, bastante actualizada, como ocurrió en Facebook)», dice Wacker. La fuerza de la contraseña sería completamente irrelevante en tal ataque.
Qué hacen los caracteres especiales en las contraseñas
Y los usuarios escuchan este consejo una y otra vez cuando se trata de contraseñas: los caracteres especiales hacen que una contraseña sea más segura. ¿Pero es esto cierto? A menudo los usuarios no tienen ni siquiera la posibilidad de elegir, se les pide que utilicen una contraseña con caracteres especiales.
«Los caracteres especiales amplían el rango de caracteres utilizados, haciendo más difícil a los atacantes descifrar la contraseña. Sin embargo, una contraseña muy larga sin caracteres especiales (frase de contraseña) hace que sea igual de difícil para un atacante o, dependiendo de la longitud de la frase de contraseña, incluso más difícil que una simple contraseña. Por lo tanto, la longitud de la contraseña elegida es más importante que el uso de caracteres especiales», dice Tim Griese de la BSI.
Depende de la longitud
Una contraseña nunca puede ser lo suficientemente larga. «Aquí se puede decir en términos generales que cuanto más largo mejor – la longitud juega el mayor papel en la seguridad de la contraseña», explica el experto Arno Wacker. Dependiendo del servicio, hay ciertas reglas para la duración. Una contraseña en línea debería tener más de diez caracteres y una contraseña WLAN debería tener más de 20 caracteres.
Desde el punto de vista matemático, según Wacker, una contraseña con una longitud de doce caracteres o más se considera buena y ofrece suficiente seguridad. Sin embargo, según las directrices del NIST, las contraseñas de 20 caracteres o más sólo son realmente seguras.
Cómo crear la contraseña perfecta
Pero aparte de la longitud, ¿qué más es decisivo? «Una contraseña ‘buena’ es una contraseña que no sigue un patrón, es decir, es completamente aleatoria y para cada carácter se elige un carácter de un conjunto de 100 caracteres», dice Wacker. Parece un verdadero reto recordar una buena y, sobre todo, larga contraseña para una gran variedad de servicios. Pero no te preocupes, una memoria elefante no es necesaria, un administrador de contraseñas promete ayuda.
«Este es un software que almacena las contraseñas del usuario de forma segura y encriptada en un archivo. El acceso a él está asegurado por una fuerte contraseña maestra y potencialmente un segundo factor», dice Wacker.
Dado que todas las contraseñas se almacenan en este software, dice, se debe prestar especial atención a la seguridad en este punto. Por lo tanto, el software debe ser de código abierto, un buen ejemplo es KeePassXC, aconseja Wacker.
Si los usuarios han olvidado su contraseña, pueden utilizar la pregunta de seguridad para acceder a su cuenta. Pero: «La cuestión de la seguridad es una muy mala idea y por lo tanto también se ha eliminado de las directrices actuales del NIST o incluso se ha exigido explícitamente que ya no exista.
Es absolutamente correcto – los atacantes (hackers) pueden responder a la pregunta de seguridad, en la medida en que se basa en información que está disponible de alguna manera o que puede ser adivinada, y así evitar la contraseña más fuerte», sabe Arno Wacker. Si se debe establecer una pregunta de seguridad, los usuarios deben elegirla de acuerdo con los mismos criterios que una contraseña.