Así es como son consideradas las
contraseñas para la mayoría de los usuarios que se ven obligados a establecer
credenciales de acceso para usar dispositivos electrónicos o para darse de alta
en la mayoría de servicios de Internet.
Sin embargo, a pesar de que
estamos hablando de una medida de seguridad, en muchos casos se
puede burlar este fastidio tecleando “123456”. Esta serie de números sigue
siendo en 2018 la contraseña más utilizada en todo el mundo, algo
que nos debería preocupar a tenor del incremento de ciberataques que
buscan hacerse con datos personales.
¿Qué es una contraseña segura?
La mejor contraseña es aquella
que no puedes recordar. Una contraseña segura es toda aquella combinación
de números, letras y caracteres especiales que impiden el acceso no autorizado.
Para que una contraseña sea
segura debe cumplir dos requisitos:
Longitud: debe contener mínimo 8 caracteres.
Complejidad: debe contener, al menos, un carácter de cada uno de los siguientes grupos:
Por ejemplo, “P36T=Mhe” podría
ser una contraseña segura que cumple con los requisitos mencionados, pero ¿es
fácil de recordar una clave así? Probablemente no para la mayoría de los
usuarios y en este punto es en el que se da el dilema de las contraseñas.
Este dilema se plantea cada vez
que tenemos que ponerle una contraseña a algo: ¿una sencilla y fácil de
recordar o una complicada y difícil de recordar?
Si optas por la primera opción,
prescindes de la seguridad; si optas por la segunda opción te topas con un
problema ya que tarde o temprano no podrás acceder a un servicio y deberás
iniciar el engorroso proceso de reestablecer contraseña.
En las siguientes líneas
hablaremos de cómo evitar ambas situaciones.
3 ciberataques con los que
logran robar tus contraseñas
Para que la seguridad exista
tienen que haber peligros. Por suerte, cada vez somos más conscientes de estos
peligros porque los ataques informáticos ocupan titulares y conversaciones en
las redes sociales. Sin embargo, el usuario medio no suele ser consciente
de la forma en la que se producen los ataques, por lo que en el día
a día, los cibercriminales se aprovechan de cualquier descuido para que un
ataque sea un éxito.
Ataques
phishing para que termines facilitando tu contraseña. El phishing es uno
de los ciberataques más utilizados por su alta tasa de éxito. Se trata de
hacerse pasar por una persona, empresa o institución para que envíes tus datos
(como tu contraseña), o lleves a cabo algún tipo de acción que de alguna manera
beneficia al cibercriminal, como por ejemplo, que te registres en una página
web o aplicación fraudulenta para así obtener tus datos. El ataque puede llegar
a ti de varias formas: por e-mail, por un enlace que te han enviado por redes
sociales o por un mensaje. Incluso podrían llamarte en nombre de un
superior o de una compañía de la que eres cliente para pedirte información
por teléfono. Nunca facilites claves o datos de acceso de ningún
tipo.
Ataques
por fuerza bruta para descifrar contraseñas. Se trata de un método en el
que se prueban todas las combinaciones posibles para encontrar la contraseña
que permite el acceso. En algunos casos, el ataque por fuerza bruta es
combinado con un ataque de diccionario, es decir, se combinan palabras que se
encuentran en el diccionario dado que muchos usuarios establecen como clave
conceptos de su propia lengua. Para evitar este tipo de ciberataque es
importante evitar palabras o nombres propios en tus
contraseñas.
Keyloggers,
las herramientas que registran lo que tecleas. Los keyloggers (registrador de
teclas) pueden presentarse en forma de programas informáticos que se instalan
en los equipos y se ejecutan en segundo plano, o bien en dispositivos
electrónicos como un USB. Todo lo que teclea el usuario queda registrado por el
keylogger, por lo que no solo es capaz de captar contraseñas, sino también
tarjetas de crédito y cualquier información sensible.A pesar de que tener una
contraseña compleja no evita ser víctima de este tipo de ataque, merece la pena
tenerlo en cuenta dado que se trata de otra forma más de que nos roben las
claves. Para mantener a raya los keyloggers existen programas
antikeyloggers, antispyware y cortafuegos.
¿Cómo crear una contraseña
segura?
Hay muchos métodos con sus
correspondientes teorías que explican cómo crear una contraseña segura, pero
¿qué es lo más práctico cuando estamos en el proceso de registro de un
servicio?
Una propuesta es el uso
de generadores de contraseñas. Basta un par de clicks para obtener una
clave única y segura que podremos copiar y pegar en la barra donde se nos pide
establecer contraseña.
Recuerda que, aunque generes una
contraseña segura, es importante no volver a utilizarla, ni hacer
pequeñas variaciones entre una clave y otra. Cualquiera de estas dos prácticas
convierte a una contraseña segura en una vulnerabilidad.
Como es lógico, no hay cabeza
capaz de memorizar combinaciones de números, letras y caracteres sin sentido,
por lo que vamos a ver cómo podemos guardar las contraseñas seguras que has
creado.
¿Cómo guardar tus contraseñas
de forma segura?
Continuamente repetimos que la
seguridad no es cómoda, pero es necesaria. Debemos integrarla como un hábito,
tal y como tenemos interiorizado que hay que cerrar un coche cuando salimos de
él, o cuando no prestamos las llaves de casa a cualquier persona.
Sin embargo, el hecho de que cada
vez utilicemos más servicios por Internet y el que seamos dueños de más
dispositivos electrónicos incrementa nuestra incomodidad al vernos en la
tesitura de tener que utilizar contraseñas para todo.
¿Solución? La más recomendada es
el uso de gestores de contraseñas. Algunos de los más populares
son:
1password. Se trata de una aplicación que puedes tener en el ordenador y en el smartphone. Se integra en el navegador para generar, guardar y utilizar las contraseñas en las webs donde se requieran. Tiene una prueba gratuita de 30 días.
Dashlane. Este es otro programa similar a 1password, que además tiene la opción de servir de wallet para criptomonedas. En este caso, tiene un plan gratuito bastante completo por si necesitas usarlo solo en un dispositivo.
KeePass. Popular entre los usuarios técnicos, ya que se trata de un gestor de contraseñas gratuito y de código abierto, por lo que puede ser adaptado a las necesidades de quienes lo vayan a utilizar.
Es importante tener en cuenta que
todas estas herramientas pidenque introduzcas una contraseña
segura para poder acceder a las demás, es decir, solo tendrás que
memorizar una única clave de ahora en adelante.
Las 5 claves definitivas para
evitar el hackeo de tus contraseñas
Crea una contraseña larga y compleja con un generador de contraseñas como el que te proponemos.
Inmediatamente, almacena la clave en un gestor de contraseñas previamente instalado en tu equipo.
No reutilices esa contraseña ni la compartas con nadie.
Teclea tu contraseña en los equipos de confianza y ten especial cuidado con las redes públicas: se pueden ver los datos que se envían y se reciben a través de ellas.
Si está disponible, activa el doble factor de autenticación.
Puede que de un tiempo a esta parte hayas ido notando que, en la barra de direcciones de tu navegador, al principio de la URL y acompañadas del dibujo de un candado, aparecen las siglas HTTPS cuando entras en las webs que visitas a diario. Esto no es sino un indicativo de que tu conexión con la página está cifrada, es segura y es más difícil que alguien la intercepte. ¿Cómo esto es así? Comencemos.
¿Qué es el
protocolo HTTPS?
HTTP es el acrónimo de Hypertext Transfer Protocol (en
español protocolo de transferencia de hiper texto). HTTPS es igual, pero
añadiéndole «Seguro».Estos dos protocolos se usan para lo
mismo, la transferencia de datos.
La diferencia básica entre ambos es la forma en la que viajan los
datos. Si los datos son transferidos mediante HTTP, estos viajan en claro y son
accesibles para cualquiera que intercepte la comunicación. En cambio, el
protocolo HTTPS usa una conexión segura mediante un cifrado SSL y por tanto los
datos viajan de un modo seguro de un lugar a otro.
El objetivo de usar HTTPS responde a dos cuestiones: en
primer lugar, certificar que la web visitada es legítima, y en segundo
lugar que se mantiene la integridad y la privacidad de los datos de conexión.
Al tener cubiertos estos dos aspectos, se obtiene protección contra ataques
man-in-the-middle.
Adicionalmente, ofrece cifrado en dos
direcciones para las comunicaciones entre servidores y clientes, lo que
protege contra el espionaje y la manipulación de los contenidos de la
comunicación. En la práctica, sirve como una garantía razonable de que nos
estamos comunicando con la web que queremos y no con un impostor, lo que también
protege contra ataques por phising, como el que se produjo en el Comité
Demócrata Nacional antes de las últimas elecciones presidenciales de EE.UU..
Históricamente las conexiones HTTPS se han usado,
fundamentalmente, para transacciones económicas, correo electrónico y dotar de
mayor seguridad a los sistemas de comunicación corporativos.
¿Cómo se
establece una conexión con HTTPS?
En todos los procesos de cifrado se necesita una clave para, en
primer lugar, cifrar la información y, en segundo lugar, volverla legible.
En el caso de HTTPS tiene que ser única para cada sesión, y debe generarse sin
que nadie más tenga posibilidad de saberla.
Para ello se utiliza una técnica conocida
como cifrado asimétrico, que utiliza un sistema basado en dos claves:
una pública y una privada. Estas claves son un par de números
relacionados de forma algo especial, de forma que un mensaje cifrado con una
clave sólo puede ser cifrado con su par correspondiente.
Dicho de otra manera: si queremos entrar en nuestra bandeja de
entrada de Gmail, la conexión de salida de nuestro PC se cifra con la clave
pública. Cuando esa conexión llega al servidor de Google, se descifra usando la
clave privada.
Sin embargo, antes de que la petición de conexión llegue a su
destino, el navegador cifra una preclave generada en el momento con la clave
pública del servidor al que nos queremos conectar. Eso se envía al servidor,
que descifra la preclave con su clave privada. Tanto el servidor como el
navegador aplicarán un cierto algoritmo a la preclave y obtendrán la misma
clave de cifrado.
A partir de este momento, superado el escollo del intercambio de
la clave, cliente y servidor cifran y descifran los datos con ella. Como nadie
más la conoce, las comunicaciones son, en teoría, seguras. Esto es lo que
hace que HTTPS sea importante, ya que gracias a él nuestras comunicaciones con
las webs serán solo entre ellas y nosotros.
¿Por qué
es importante HTTPS?
El uso de HTTPS evita el espionaje por parte de intrusos. Los intrusos incluyen desde actores maliciosos, a empresas legítimas pero que se consideran invasivas. En esta última categoría entrarían, por ejemplo, los proveedores de servicios de Internet o ISPs.
Además de tener precaución con el uso del correo electrónico y el acceso a los perfiles de redes sociales, ¿qué otras cosas pueden poner en riesgo nuestra seguridad y privacidad si hacemos uso de dispositivos públicos?
a) No realizar ninguna acción en la que intervenga datos bancarios como sería comprar en una tienda online o acceder al servicio de banca electrónica. Este tipo de información es extremadamente sensible y crítica como para hacer uso de ella desde un dispositivo y conexión desconocida.
b) No introducir en ninguna web datos personales sensibles como puede ser el Documento Nacional de Identidad (DNI) o información sobre el estado de salud.
c) No cerrar la sesión cuando accedemos a un servicio y noguardar las credenciales de acceso en el navegador. Si la sesión queda abierta o las credenciales guardadas en el navegador, cualquiera que acceda al equipo después de nosotros tendrá la posibilidad de acceder a ella y utilizarla sin nuestro consentimiento. Para evitar esto podemos utilizar las funcionalidades de navegación anónima que disponen los navegadores.
d) No usar teclados virtuales, cuando es posible, para introducir credenciales de acceso. Este tipo de programa emulan las funciones de un teclado convencional, se muestra en la pantalla un teclado en el que se selecciona cada carácter por medio del ratón. Su uso está muy extendido en la banca online. Este tipo de software evita en gran medida que algunas clases de malware conocidos como keyloggers capturen las pulsaciones que hacemos con el teclado convencional.
e) Conectar al equipo un USB o un disco duro externo. Existen algunos malware que capturan toda la información contenida en la memoria externa o que se alojan en la misma hasta que se ejecuta en otro equipo para posteriormente infectarlo.
f) Descuidar el equipo cuando lo estemos utilizando. Aunque parezca algo inverosímil un simple descuido puede ser suficiente para que un ciberdelincuente robe información personal nuestra.
El uso de equipos públicos en determinadas situaciones puede sernos de utilidad, pero debemos ser precavidos con la información que facilitamos evitando, siempre que sea posible, introducir cualquier tipo de información personal ya que nunca sabemos cuan seguro es el equipo. Utilizaremos un dispositivo en el que tengamos confianza como un smartphone con la conexión de datos móvil activada para realizar trámites importantes: acceder a la banca online, realizar compras, acceso al correo, etc.
No siempre
tenemos disponible nuestro ordenador personal junto a nosotros para realizar
una tarea determinada, incluso, si no tenemos nuestro smartphone con nosotros,
solo tenemos la opción de usar un pc público. Al no saber que tipo de seguridad
tienen, o si esconde malware como puede ser un keylogger, te dejamos unos tips
para no correr riesgos en el intento.
Lo ideal es
utilizar este tipo de equipos para acceder a servicios en los que no
tengamos que introducir ningún tipo de información personal (nombres
de usuario, contraseñas, datos bancarios, etc.) como por ejemplo para buscar
noticias, consultar mapas, rutas o lugares turísticos.
Correo electrónico
Siempre que
sea posible evitaremos su uso. En caso de tener que acceder al correo electrónico
desde un ordenador público, hay que realizar unas configuraciones previas, en
un equipo seguro, para salvaguardar la seguridad y privacidad de la cuenta.
Facilitamos
dos maneras diferentes en las que se puede acceder al correo sin poner el
riesgo la privacidad y seguridad de la cuenta.
1. Crear una
cuenta de correo temporal
Crear una
cuenta de correo temporal a la que reenviar todos los correos que se envíen a la cuenta
principal. De esta forma, se evita comprometer la seguridad de la cuenta de uso
habitual, ya que en ningún momento se estará accediendo a ella.
A
continuación explicaremos cómo crear una cuenta temporal a la que reenviar
todos los correos recibidos en los servicios Gmail y Outlook por ser los clientes de correo más utilizados
por los usuarios según Google Trends.
Lo primero
que tenemos que hacer es acceder al servicio que queramos y crear una nueva
cuenta de correo. Recuerda utilizar una contraseña robusta y diferente a tu cuenta de
email habitual, para evitar accesos no autorizados.
La
verificación en dos pasos en la cuenta de correo temporales
una medida de seguridad extra, muy útil, con la que evitaremos que, si un
ciberdelincuente captura nuestras credenciales de acceso al correo electrónico,
acceda al mismo ya que se requiere de otro código adicional para terminar el
proceso de acceso a la cuenta. Esta segunda clave puede obtenerse de diferentes
formas: a través de un SMS a un número móvil asociado a la cuenta, una llamada
de voz, correo electrónico o una app.
Gmail:Si quieres saber más acerca de cómo activar la verificación en dos pasos en Google accede a la siguiente web: Añadir verificación en dos pasos.
Outlook:Para activar la verificación en dos pasos en la cuenta e Outlook accede a la siguiente web: Contraseñas de aplicación y verificación en dos pasos.
Redes sociales
Como sucede
con el correo electrónico, siempre que sea posible evitaremos su uso en
ordenadores públicos ya que simplemente para acceder, es necesario aportar
información confidencial como usuario y contraseña. Además, en los perfiles hay
disponible gran cantidad de información personal por lo que no es recomendable
acceder a ella desde un equipo en el que no podemos tener confianza. Si es asumible
el riesgo, es importante aplicar unas medidas de seguridad previamente y, por
supuesto, también desde un equipo de confianza.
Opciones de
seguridad en Facebook
Esta red
social cuenta con un menú en exclusiva para configurar la privacidad y
seguridad de la cuenta. Para ello, una vez logueados, nos dirigiremos a la
parte superior derecha de la pantalla y seleccionaremos con el ratón el icono
con forma de flecha. A continuación, haremos clic sobre la opción “Configuración”.
En el menú
lateral izquierdo de la nueva ventana, seleccionamos la opción “Seguridad” para
configurar todas las opciones disponibles en la red social. Algunas
interesantes son:
Las “Alertas de inicio de sesión”, que avisan al propietario de la cuenta cuando alguien inicia sesión desde un dispositivo no reconocido.
Las “Aprobaciones de inicio de sesión” que es el sistema de verificación en dos pasos que tiene Facebook.
“Donde has iniciado sesión” que muestra una lista con la fecha y hora de acceso, la ubicación y el dispositivo desde el que se accedió.
Para obtener
más información sobre todas las configuraciones disponibles, se puede consultar
directamente la web de soporte y ayuda de
la red social.
Opciones de
seguridad en Twitter
En Twitter
también se puede activar la verificación en dos pasos. Si nos dirigimos a la
parte superior derecha de la pantalla, hacemos clic en el icono de nuestro
perfil y seleccionamos la opción “Configuración” accederemos a una nueva
ventana en cuyo lateral izquierdo encontraremos un menú con distintas opciones,
entre ellas la de “Seguridad y privacidad”. Dentro de ésta, está la
“Verificación de inicio de sesión”.
Para obtener
más información sobre las opciones de seguridad y privacidad en Twitter puedes
visitar la siguiente web: https://support.twitter.com
Comentarios recientes