10 razones por las que necesitamos Contraseñas seguras

    Acepto y he leído la política de privacidad.Ver política.
    Responsable tratamiento: ESCUDA SGSI, S.L.
    Finalidad: venta de bienes, servicios y comunicación comercial.
    Derechos: entre otros, acceso, rectificación, supresión a escuda@escuda.es

    Acepto recibir información con fines publicitarios y de prospección comercial, incluido el envío de boletines y noticias (email, SMS y cualquier otro medio electrónico) sobre promociones y novedades de ESCUDA SGSI S.L. relacionados con servicios informáticos y ciberseguridad.

    10 razones por las que necesitamos Contraseñas seguras

    El pasado 6 de mayo, tuvimos otro de esos días internacionales, el Día Mundial de las Contraseñas. Más allá de otro día por celebrar, esta fecha nos permite recordar la importancia de tener contraseñas realmente seguras, para protegernos ante cualquier tentativa de intrusión en nuestros dispositivos digitales y/o sistemas.

    Razones contraseña segura

    No olvidemos que las contraseñas protegen nuestras informaciones, sobre todo las más valiosas, como puede ser el contenido de nuestras comunicaciones, los accesos a nuestros dispositivos y hasta el saldo de nuestras cuentas bancarias.

    Sin embargo, la realidad es que tendemos a ser negligentes, a la hora de crear nuestras contraseñas, ya sea porque no entendemos el interés de una contraseña fuerte o que no sabemos bien cómo crear una de forma adecuada. Sin olvidar que no es fácil recordar muchas contraseñas diferentes y ¡ni qué decir de la obligación de cambiarlas cada poco tiempo!

    Aquí intentaremos aclarar la importancia que tiene disponer de contraseñas seguras; qué hacer para crear una (o varias) que realmente protejan nuestras informaciones y asegurarnos que las contraseñas que estamos usando sean realmente seguras.

    1. ¿Qué es una Clave de Acceso o Contraseña?

    Lo primero que debemos entender es en qué consiste una Clave o Contraseña. Se trata de una forma de autentificación que usa información secreta para controlar el acceso a algún recurso (dispositivo digital, cuenta de correo, acceso a los recursos y documentos de nuestra empresa, tanto cercanos como remotos).

    Por ello la contraseña debe ser secreta, sobre todo para aquellos a quienes no queremos o no podemos permitir el acceso. ¡Somos la primera línea de defensa para proteger nuestras cuentas personales y de empresa!

    2. Riesgos asociados al uso de una contraseña insegura

    Tener una contraseña insegura o demasiado sencilla de adivinar, nos vuelve vulnerables. Los cibercriminales pueden usar diversos programas para intentar descubrir nuestras contraseñas, pero también, podemos ser víctima de lo que se llamada ingeniería social, esa práctica cuya finalidad es obtener información confidencial manipulando a los usuarios.

    Así que cuanto más sencilla sea nuestra contraseña, más rápidamente podrá ser adivinada por personas malintencionadas.

    errores contrasñas

    3. ¿Cuándo podemos considerar que una contraseña es segura?

    Para que una contraseña sea considerada como segura debemos asegurarnos que cumple los siguientes requisitos:

    • Ser larga: Cuanto más larga sea nuestra contraseña, menos posibilidad tendrá de ser descifrada en un lapso de tiempo corto. Cualquier contraseña puede ser descifrada si se dispone del tiempo suficiente, por lo que debemos intentar dificultarlo al máximo.
    • Ser compleja: Si el sistema nos lo permite, siempre debemos incluir en nuestra contraseña los siguientes elementos: letras mayúsculas, minúsculas, números y símbolos, como por ejemplo signos de puntuación.
    • Ser impersonal: En ningún caso nuestra contraseña debe estar relacionada con nosotros personalmente: por lo que debemos evitar usar fechas como el cumpleaños de nuestro hijo, el nombre de algún pariente o de nuestra mascota favorita, ni de cualquier información que se pueda asociar fácilmente a nosotros.
    • Ser secreta: Nunca, nunca debemos compartir nuestra contraseña con nadie, a menos que sea absolutamente necesario.

    En caso de que nuestra contraseña sea descubierta, debemos procurar que el daño sea mínimo. Con esto en mente, además de los requisitos anteriores, podemos añadir:

    • Tener una contraseña única para cada acceso: Debemos evitar usar la misma contraseña para más de una cuenta.
    • Mantenla siempre nueva: Cambiar nuestra contraseña con regularidad.

    4.¿Qué puedo poner en mi contraseña?

    Está muy bien saber qué elementos nos permiten considerar que nuestra contraseña es segura, pero eso no nos aclara ¿qué podemos poner en nuestra contraseña para que así lo sea?

    Existen innumerables consejos sobre cómo crear una contraseña segura, aquí listamos algunos de los que consideramos más pertinentes:

    • Crearla a partir de una frase: la idea es pensar en una frase que solo tenga sentido para nosotros. Como por ejemplo: “Erase una vez en el país de la oliva y el vino”, también podemos usar un verso de una canción o lo que se nos ocurra. Si usamos la primera letra de cada palabra, obtenemos: “Euveepdlouev” que ya cumple con el requisito de longitud.
    • Otra variante es crearla a partir de un conjunto de palabras sin aparente relación: por ejemplo escogemos objetos relacionados con la cocina, como: “cafetera banano ventana horno” y los usamos todos pegados: “Cafeterabananoventanahorno” o usar las dos primeras letras de cada palabra: “Cabaveho”.
    • Convertir algunas letras en números: usualmente se hace con las vocales, pero al ser conocido, no debemos dudar en hacerlo también con las consonantes. Volviendo a usar primer ejemplo, nos podría dar: “Euv3epd10uev”
    • Sin vocales: retomando el ejemplo del conjunto de palabras, podemos usar solo las consonantes de las palabras, o frase, que hemos escogido: “Cftrbnnvntnhrn”
    • Palabras y números mezclados: esta es otra opción, para hacer la contraseña lo más impersonal posible, como: “Cafetera36banano98ventana010horno” (evitar los números al inicio o final de la contraseña)
    • Palabras, números y signos mezclados: Nos permite ir haciendo la misma contraseña cada vez más compleja. Por ejemplo: “€Uv3*pd10uev”
    • Tomar como ejemplo una cuadrícula de Sudokus: otra buena opción está en usar una plantilla que nos permita crear un sinnúmero de contraseñas de forma rápida y fácil. Podemos usar un sudoku ya resuelto o crear uno desde cero. La idea es crear un trazado (como el que haces para el pin de tu móvil), pero con más caracteres y, a partir de ese conjunto de números, crear las contraseñas reemplazando algunos de los números por letras (mayúsculas y minúsculas) y signos o caracteres especiales.

    Recomendaciones complementarias:

    • Entre más larga e ilógica sea nuestra contraseña, más segura será.
    • No debemos dejar ningún espacio dentro de la contraseña

    5. ¿Qué tipo de contraseñas debo evitar?

    Ya hemos visto cómo debemos construir nuestra contraseña para que sea realmente segura, pero puede que pensemos que nuestra contraseña habitual ya no es segura y nos preguntemos porqué deberíamos cambiarla.

    Como dicho más arriba, los ciberdelincuentes tienen diferentes medios para adivinar o tener acceso a nuestras contraseñas “habituales”. Aquí algunos tipos de contraseñas que debemos evitar:

    • Fechas de Cumpleaños (el nuestro o de cualquiera de nuestros parientes)
    • Números de teléfono
    • Información de la empresa (por ejemplo su NIF)
    • Nombres, incluyendo películas y equipos deportivos
    • Simplemente ofuscar una palabra común («Cl@v$$e»)

    Recordemos que se trata de dificultar la tarea de quien intente acceder a nuestras informaciones usando nuestros accesos.

    6. ¿Por qué debo cambiar mi contraseña con regularidad?

    Cada vez necesitamos más contraseñas para acceder a diferentes sitios, tanto por razones personales (banca online, reserva de clases en el gimnasio, diversas webs, etc.) como profesionales, la solución de facilidad está en escoger una contraseña que, aunque robusta, usamos para todo e indefinidamente. Esto es un grave error, puesto que nunca sabemos si no hay alguien intentando adivinar nuestra contraseña para, gracias a ello, suplantarnos en cualquier acceso.

    Para evitarlo lo mejor es cambiar de contraseña con regularidad, según la importancia de los datos que queremos proteger. Lo más habitual suele ser cambiar la contraseña cada 3 o 6 meses, para los accesos de importancia media y cada mes, cuando se consideran más sensibles. Muchos sistemas incluyen esta obligación de forma automática.

    Así que cambiar nuestra contraseña con regularidad, nos permite disminuir la probabilidad de que nuestra cuenta (o nuestras cuentas) se vea comprometida.

    Tampoco debe sorprendernos que, al momento de crear una nueva contraseña, el sistema nos reclame confirmarla. Es decir que nos pide escribirla de nuevo (sin posibilidad de usar la función copiar-pegar). Su finalidad es verificar que hemos escrito correctamente la contraseña ambas veces, lo que nos ayuda a asegurarnos que la recordaremos.

    7. Interés de usar un gestor de contraseñas

    Eso de crear una contraseña segura, visto las recomendaciones anteriores finalmente no parece tan complicado, sin embargo tener que cambiarla cada dos por tres resulta bastante más complicado, sin hablar de tener que inventar una diferente para cada acceso, cada página web, etc. ¡Es un sin vivir!

    Si se nos sigue atragantando la obligación de renovar nuestras contraseñas o nos cuesta mucho recordarlas, podemos contar con los Gestores de contraseñas como solución para eliminar esas dificultades de una sola vez.

    Un gestor de contraseñas nos permite generar contraseñas únicas, largas, complejas y fáciles de cambiar para todas las cuentas, además de suministrarnos una solución de almacenamiento seguro y cifrado para esas mismas contraseñas.

    Existe diversidad de gestores de contenidos, cada quién puede encontrar el que mejor le convenga. Si estamos buscando este tipo de herramienta, aquí podemos encontrar una buena comparativa. Entre las numerosas ventajas que tienen: nos quitan de encima la obligación de ir creando nuevas contraseñas cada dos por tres, además, las que genera son prácticamente imposibles de descodificar.

    ¿Qué podemos pedir a un gestor de contraseñas? Que sea:

    • Seguro
    • Fácil de usar
    • Permita organizar todo tipo de información
    • Bloquear la app después de cada uso (nos solicite identificación en cada acceso)
    • Usar huella dactilar del móvil
    • Generar contraseñas seguras
    • Se pueda sincronizar con otros dispositivos
    • Permita exportar/importar copias de seguridad
    • Bloquear capturas de pantalla
    • Conectividad, para poder usarlas al momento
    • Precio (actualmente las podemos encontrar desde gratuitas, hasta de subscripción mensual, pasando por pago una sola vez)

    8. ¿Cómo consiguen los ciberdelincuentes nuestras contraseñas?

    A pesar de todas las precauciones que podamos tomar, puede ocurrir que personas malintencionadas logren conseguir nuestra contraseña, ¿cómo lo hacen?

    Entender cómo los ciberdelincuentes intentan acceder a nuestros datos críticos nos ayuda a evitar ver nuestra información comprometida. Las formas de ataque más habituales son:

    • Ataques de ingeniería social: Se trata de ganarse la confianza del usuario, por ejemplo, suplantando nuestra de identidad a través de correos electrónicos y mensajes de texto, en los que un ciberdelincuente intenta engañar a otros usuarios para que: proporcionen sus credenciales, hagan clic en enlaces o archivos adjuntos maliciosos o vayan a sitios web maliciosos. Últimamente los ejemplos más sonados han tratado de suplantar a entidades bancarias o empresas de reparto de paquetería.
    • Ataques a través del diccionario: Aquí el atacante suele usar una lista de palabras comunes, propias de un diccionario, para intentar acceder a las contraseñas, previendo que haya usuarios que hayan utilizado palabras comunes o contraseñas cortas. En esta técnica también se incluye añadir números antes y/o después de las palabras comunes, visto que esto no aumenta la complejidad de la contraseña, ni la hace más difícil de adivinar.
    • Ataques de fuerza bruta: En estos casos, los ciberdelincuentes suelen generar, de forma aleatoria, contraseñas y conjuntos de caracteres para adivinar, por insistencia y repetición, las contraseñas. Es la mayor razón por la que nos interesa tener contraseñas robustas, pues a mayor robustez, más tiempo se necesita para descubrirla:
    ataques fuerza bruta
    • Pulverización de contraseñas: Variante del ataque de fuerza bruta, tiene como objetivo múltiples cuentas. En el caso de la pulverización de contraseñas, la persona malintencionada sólo prueba algunas de las contraseñas más comunes, pero en múltiples cuentas, para así tratar de identificar a la persona que usa una contraseña por defecto o fácil de adivinar.
    • Keyloggers: Este tipo de ataque requiere la instalación de un software keylogger en el dispositivo digital de la víctima. Lo que se suele lograr a través de un ataque de phishing (por email). Con ello el cibercriminal puede capturar la forma en que la víctima pulsa las teclas de su teclado, para hacerse con su nombre de usuario y las contraseñas de sus distintas cuentas.
    • Interceptación de tráfico: Los ciberdelincuentes usan software de rastreo de paquetes (de datos) para supervisar y capturar el tráfico de red que pueda contener información sobre las contraseñas. En los casos en que el tráfico no esté cifrado o utiliza algoritmos de cifrado débiles, podrían conseguir las contraseñas con relativa facilidad.
    • Man-in-the-middle: también conocido como ataque intermediario. En estos casos el cibercriminal se coloca en un punto intermedio entre un usuario y la página web o la aplicación que está utilizando o a la que está ingresando. A menudo suplanta la identidad de dicha web o app. Eso le permite capturar el nombre de usuario y la contraseña que introduce en la página falsa. También ocurre que los ataques de phishing por correo electrónico lleven a las víctimas, desprevenidas, a este tipo de sitios.

    9. Medidas adicionales de autenticación y protección que pueden adoptar los usuarios

    Como hemos podido constatar a lo largo de nuestra lectura, una sola línea de defensa no es suficiente para mantener a raya los ciberataques. Lo mejor para asegurar una mayor solidez de nuestras herramientas de seguridad está en utilizar múltiples tácticas. Entre las cuales podemos destacar:

    • Activar la autentificación de dos pasos (2FA): Permite verificar nuestra identidad agregando un segundo factor de autenticación, además de la contraseña de nuestra cuenta. Hoy día es el método que ofrece la mayor protección, al comprobar nuestra identidad gracias a más de un método.

    ¿En qué consiste? Se trata de usar, además de nuestra contraseña, una de estas tres opciones:

      • Algún dato que sepamos: como un número de PIN, una contraseña o un patrón.
      • Algún elemento que tengamos: una tarjeta de débito o crédito, un teléfono móvil o un token de seguridad, como por ejemplo un token USB o un llavero remoto.
      • Algún rasgo físico: es decir de identificación biométrica, como la huella de voz o una huella digital.
      • Autenticación multifactorial (MFA): Se trata de confirmar la identidad de los usuarios añadiendo un paso más al proceso de autenticación, ya sea mediante tokens físicos o gracias a aplicaciones móviles. Garantiza que, incluso si una contraseña se ve comprometida, los ciberdelincuentes no puedan acceder a la información.
      • Single Sign-On (SSO): Sistema que permite a un usuario usar un único nombre de usuario y contraseña, seguros, en varias aplicaciones de una misma organización.
      • Formación y educación en ciberseguridad: A medida que las ciberamenazas evolucionan y se multiplican, los cibercriminales siguen desarrollando nuevas técnicas para sus ataques. Los usuarios debemos tomar conciencia de la ciberseguridad, tanto para nosotros mismos como para nuestra empresa, e informarnos sobre el estado de las amenazas.

        Una forma de asegurarnos que todos estamos prevenidos ante los riesgos de                 ciberseguridad, es poner en marcha formaciones para que toda nuestra plantilla esté concienciada a los riesgos y la forma de prevenirlos. Así además luchamos contra la brecha de habilidades en ciberseguridad.

    10. ¿Qué puede hacer ESCUDA por tu empresa u organización?

    En ESCUDA nos mantenemos siempre alerta ante los nuevos ciberriesgos, desarrollos de software, así como las mejores prácticas, para proteger y asegurar los datos de nuestros clientes. Disponemos de herramientas que nos permiten revisar todos los sistemas de tu empresa u organización, para ayudarte a estar seguros que todo lo que estás haciendo permite mantenerla a salvo. No solo se trata de verificar el estado de vuestras contraseñas y su gestión, sino también de la seguridad en general, tanto de los dispositivos digitales, como de los datos, incluyendo las copias de seguridad, sin olvidar la concienciación de nuestros equipos a la ciberseguridad.

    Si piensas que te podemos ayudar y/o resolver tus interrogantes sobre temas de seguridad TIC y/o ciberseguridad, no dudes en contactar con nosotros, llamando al 931 931 848 o cumplimentando este formulario.

    Más información:

    Trucos para crear contraseñas seguras y fáciles de recordar

    ¿Cómo logra un hacker descifrar mi contraseña?

    Decálogo para evitar que nuestras contraseñas se vean comprometidas

    Tutorial: ¿cómo hacer una contraseña fuerte en tan solo un minuto?

    ‘123456’, la contraseña más usada este año

    Los mejores gestores de contraseñas para Android: comparativa a fondo

    Cómo ver tus contraseñas guardadas en Chrome desde cualquier dispositivo o navegador

    Derechos digitales

    Cómo proteger sus contraseñas

    ¿Sabías que el 90% de las contraseñas son vulnerables? | Oficina de Seguridad del Internauta (osi.es)

    #escuda #Contraseña #ContraseñaSegura #ClavedeAcceso #Vulnerabilidad #IngenieríaSocial #CambiarContraseña #GestorDeContraseñas #ciberdelincuencia #ciberdelincuentes #cuberriesgos #RiesgoCiber #Keyloggers #Maninthemiddle #Phishing #2FA #MFA

    Puede que estos artículos te gusten

    ¿Qué es Pegasus? El software espía más famoso

    ¿Qué es Pegasus? El software espía más famoso

    A mediados de 2021, en Francia, se comenzó a hablar mucho del software Pegasus. Un software espía o ‘spyware’ que parecía afectar a dispositivos móviles. Sobre todo smartphones de personalidades nacionales, incluido al jefe de estado francés, Emmanuel Macron.  Desde...

    Leer más

    ¿Te ha gustado este artículo?

    Comparte esta publicación con quien tú quieras