Article
2021-03-11

Contraseñas seguras: asegúrate de ponerle cerradura a tu empresa

Todo lo que necesitas saber sobre contraseñas para proteger tu negocio

¿Por qué son tan importantes las contraseñas?

Todos utilizamos contraseñas a diario. Una página web que requiere acceso con contraseña es una señal de que nuestros datos deben estar seguros. Si nos paramos a pensar, ¿qué es una contraseña? Es un secreto que decidimos compartir con una página web que se utiliza para confirmar nuestra identidad. Y confiamos en la página web para que guarde ese secreto.


contraseña

/ˈpɑːswəːd/

palabra o frase secreta que debe utilizarse para acceder a un lugar.

 

autentificación

/ɔːθɛntɪˈkeɪʃ(ə)n/

proceso o acción de verificar la identidad de un usuario o proceso.

Fuente: Diccionario de Lenguas Oxford

¿Cómo se roban las contraseñas?

Por desgracia, como todos sabemos, nuestras contraseñas y nuestros datos son codiciados. Los cibercriminales utilizan varios metodos para robar nuestras contraseñas, por ejemplo:


  • Pueden probar todas las contraseñas más utilizadas. Esto se conoce como dictionary attack. Por tanto, utilizar contraseñas sencillas o de uso común es muy arriesgado, y sustituir una "i" por un "1", una "e" por un "3" o una "o" por un "0" es un truco muy conocido que no proporciona protección adicional significativa.


  • Pueden probar todas las combinaciones posibles de contraseñas. Esto se conoce como brute force attack, cuanto más larga y aleatoria sea la contraseña, más tiempo se tarda en "descifrarla".


  • Pueden probar contraseñas que hayas utilizado previamente (por ejemplo, para otros servicios) que se hayan visto comprometidos en filtraciones de datos . Esto se conoce como credential stuffing. Tenemos tendencia a reutilizar contraseñas, así que cuanto más compartamos ese secreto, más probable será que se filtre en algún momento en el futuro.


  • Pueden intentar que les digas tu contraseña. Esto se conoce como ataques de phishing. A través de muchas formas de ingeniería social (en otras palabras, la manipulación psicológica de personas para que realicen acciones o divulguen información confidencial), los ciberdelincuentes pueden intentar obtener contraseñas. Su trabajo se ve facilitado por las redes sociales, donde todos compartimos cierta información (como el nombre de nuestra mascota o fechas memorables) que puede ayudarles a adivinar nuestras contraseñas.

Ser conscientes de estos ataques puede ayudarnos a crear contraseñas más seguras. Las contraseñas fáciles de adivinar conllevan un riesgo adicional, pero ¿quién tiene tan buena memoria como para recordar una secuencia de 20 caracteres aleatorios?

Tener una contraseña única que reutilizamos para varios servicios o páginas web significa que confías en que cada uno de estos sitios tiene medidas de protección adecuadas para mantener tu secreto a salvo... Estoy seguro de que todos sabemos lo que suele ocurrir cuando se comparte un secreto con varias fuentes: no se mantiene en secreto durante mucho tiempo.


¿Cómo mantener tus contraseñas seguras?

Encontrar un equilibrio adecuado entre utilizar contraseñas complejas y evitar la reutilización de las mismas en páginas web y servicios que almacenan información valiosa es todo un reto. Tampoco recomendamos escribir las contraseñas en notas adhesivas o en un archivo guardado en tu escritorio "miscontraseñas.txt" , por razones obvias.

Entonces, ¿qué recomendamo

  1. Si aún no lo estás haciendo, activa la autenticación de doble factor (2FA, también conocida como MFA - "multi-factor authentication") para las páginas web y servicios que almacenan información importante y ofrecen esta función. La autenticación de doble factor es el proceso de seguridad por el cual un usuario debe confirmar su identidad de al menos 2 maneras diferentes. Por ejemplo, acceder a tus correos electrónicos escribiendo tu contraseña y también introduciendo un código desde una aplicación de autenticación en tu teléfono móvil. Puede adoptar muchas formas, suele ser rápido y fácil de configurar, a menudo está disponible sin coste adicional y ayuda a proteger tus cuentas y datos.
  2. Utiliza un password manager: este tipo de herramientas básicamente te ahorran la labor de recordar varias contraseñas complejas. Eres tú quien debe decidir si confiar tus contraseñas en un password manager que almacene estas contraseñas en la nube o si prefieres una solución que las almacene localmente en tu dispositivo. Los password managers tienen ventajas adicionales como la generación de contraseñas completamente aleatorias, advertencias a la hora de elegir contraseña si se sabe que  esta ha sido comprometida en una filtración de datos y, por supuesto, la protección de acceso a estas contraseñas con una contraseña maestra y a través de la autenticación de doble factor (2FA).
  3. Para las contraseñas que es indispensable recordar, si los datos o el servicio son importantes (y la contraseña que protege el acceso a tu password manager es una de ellas), utiliza contraseñas complejas y únicas. Puedes utilizar estrategias mnemotécnicas (técnicas diseñadas para mejorar nuestra memoria) para ayudarte a recordar contraseñas largas o aparentemente complejas. El método "CorrectHorseBatteryStaple" es un ejemplo de ello: combinar tres o cuatro palabras no relacionadas. Revisa los siguientes ejemplos de contraseñas seguras en la siguiente infografía del Centro de Seguridad Digital de la Policía Británica:


Las 10 contraseñas más utilizadas y 10 ejemplos de contraseñas seguras (Fuente: Centro de Seguridad Digital de la Policía)

A lo largo de 20 años de esfuerzo, hemos conseguido entrenar a todo el mundo para que utilice contraseñas difíciles de recordar para los humanos, pero fáciles de adivinar para los ordenadores

Randall Munroe


En última instancia, todas las páginas web y servicios web saben que es normal olvidarse de las contraseñas, por lo que si nos olvidamos de una contraseña compleja no es el fin del mundo. De hecho, podrías incluso intentar no recordarla en absoluto y restablecer tu contraseña siempre que sea necesario. Esta no es la solución más práctica, pero te ahorra la necesidad de tener que recordar contraseñas complejas.

En Bewica, nos comprometemos a ayudar a tu empresa a mantenerse segura. Te notificamos si descubrimos que las contraseñas de alguno de tus empleados se han visto comprometidas en filtraciones de datos públicas y también te damos consejos prácticos sobre cómo configurar la autenticación de doble factor (2FA) para tu organización.

Jean-Martin Zarate

CTO