Un ciberdelincuente puede obtener millones de datos con teclear la contraseña más simple que podamos pensar, porque esa es la que usamos la mayoría. Un estudio en 2011 reveló que la clave más habitual para servicios y plataformas digitales por parte de los usuarios de iPhone era 1234...
Se supone que las 'passwords' o contraseñas son una clave que nos protege ante intrusiones. Por ejemplo, evita que los cacos rompan nuestra página de Amazon o Aliexpress y se apoderen de nuestro número de cuenta y otros datos personales. ¿Por qué somos tan pasotas entonces? Vale: se puede alegar que el estudio es de 2011; cierto, pero la situación no parece haber cambiado, al menos en España.
Hace un año un reportaje revelaba que esta clave seguía siendo mayoritaria... ¡entre los médicos para acceder a los sistemas de los hospitales españoles! Es decir, en un tema tan sensible como la sanidad y la información personal, no se observan los mínimos estándares de seguridad a la hora de crear contraseñas.
Pero lo más sangrante es que escribir y gestionar contraseñas complejas es mucho más sencillo de lo que parece, y si no lo hacemos es por pereza y comodidad malentendida, además de cierta ignorancia sobre cómo debe ser una contraseña sólida. Es cierto que las exigencias de seguridad de los sitios han mejorado mucho, pero si no ponemos nosotros la base que es la contraseña, el edificio será mucho más fácil de derribar.
A continuación se ofrecen ocho sencillos consejos para escribir una contraseña potente y segura.
1. Para empezar, tómatelo en serio
El tema es importante, y poner como contraseña en servicios donde hay información sensible, propia o ajena, 12345678 o 00000000 o similares es una irresponsabilidad. Empieza a rascarte un poco el coco para buscar una clave mínimamente compleja.
2. Olvida las 'claves sentimentales'
Ni tu DNI ni tu cumpleaños ni el nombre de tu pareja, tus hijos o tu perro o gato ni cualquier otra efeméride que te identifique deben ir en la contraseña. El delincuente usará los pocos, o muchos, datos públicos que tenga sobre ti para buscar combinaciones sentimentales. Y es muy posible que acierte: la revista Globb Security aseguraba hace pocos meses que la mitad de los españoles usamos contraseñas de este tipo.
3. No uses solo números
Si en lugar de poner 123456789 decides combinar los números en series más largas, seguro que ganas en seguridad. El problema es que por muy larga que sea la serie, los delincuentes cuentan con robots (programas) que son auténticas metralletas de lanzar números aleatorios para probar si coinciden con tu contraseña. Es cuestión de tiempo que te rompan el servicio en lo que se conoce como descifrado ' por fuerza bruta'.
4. No uses solo letras
Pasa exactamente igual que con los números; cuestión de poner un robot que combine el alfabeto a lo bruto y a toda velocidad hasta encontrar tu clave.
5. Combina números y letras
Mejor si mezclas números y letras en series largas, ya que de este modo dificultas mucho un ataque 'por fuerza bruta'. Bueno, mejor dicho: los ciberdelincuentes se rigen por la ley del mínimo esfuerzo, tienen mucho donde elegir y no van a perder el tiempo con una contraseña compleja cuando pueden ir a por cientos de miles de bobas que abundan por el ciberespacio. Así que se olvidarán de ti.
6. Mejor si mezclas números, letras y signos
El 'sumum' de la complejidad serían claves donde intercales números, signos como $, %, & y otros con letras del abecedario. Si trabajas con algún servicio que tiene información muy sensible -por ejemplo eres médico y entras en el sistema de historiales de tu hospital- debes usar este tipo de claves.
7. Nunca uses la misma contraseña para dos servicios diferentes
Otro clásico en el que casi todos incurrimos: tenemos dos o tres variantes de una misma clave y la usamos en todos los servicios. Pueden ser muy elaboradas, pero rota una, rotas todas. Lo mejor es crear una contraseña distinta para cada plataforma.
8. Guarda las claves en lugar seguro
La manera más ortodoxa de guardar tus claves es construir claves complejas, escribirlas en un documento de papel y guardarlo en un lugar seguro y conocido, a salvo de intrusos. Puede que algún día las puedas necesitar, por ejemplo si limpias el navegador de cookies, cambias de navegador o cierras la sesión.
Ahora bien, esta máxima tiene matices: puedes usar usar los 'llaveros' de tus navegadores, que son sistemas que recuerdan tus claves y las guardan bajo un clave maestra de alto cifrado que solo tú conoces. Eso sí: procura no olvidarte de la contraseña del llavero o perderás todas tus claves.
Otra estrategia es copiarlas en un documento de texto que, sin embargo, no guardes en el disco duro de tu ordenador -al estar conectado a internet puede ser víctima de programas espía-, sino en un llavero USB que dejes en lugar seguro.
Apuesta por la autentificación en dos pasos
Aunque tu clave sea muy buena y compleja, a día de hoy los ciberdelincuentes tienen suficientes medios para levantártela, intentando suplantarte con argucias sociales al frente del servicio. Las plataformas lo saben y por eso han desarrollado métodos de autentificación en dos pasos, en los cuales no basta con la contraseña, sino que es necesario identificarse frente al servicio por distintos métodos, normalmente vinculados con tu teléfono móvil.
Uno modelo de autentificación en dos pasos es el que usa Twitter, que ha sufrido no pocos ataques de suplantación de identidades. Esta red emplea la autenticación por SMS, en la que para poder acceder al servicio hay recibir un código en el teléfono por SMS que despues se debe escribir.
Otros servicios, como por ejemplo Slack, exigen el empleo de Google Autenticator, una aplicación para móviles de Google que genera códigos aleatorios que se deben usar para identificarse en la plataforma. Pero son muchos más los servicios que permiten establecer una autenticación en dos pasos y cada uno tiene su método.
*Servicio informativo ElDiario.es