¡Quitádmelo todo menos mi contraseña!

Security Awareness
8 mayo 2023
Toglietemi tutto ma non la mia password

Parafraseando una conocida película, este podría ser hoy el lema de todos nosotros, obligados a recordar, según los investigadores de NordPass, una media de entre 70 y 80 contraseñas para acceder a todos los dispositivos, aplicaciones, programas y datos dispersos por el éter.

Un desafío al que cada cual se enfrenta echando mano de su creatividad: los hay que escriben sus contraseñas en el teléfono disfrazándolas con nombres falsos, los que las escriben en un «post-it» que esconden y luego olvidan dónde, los que les hacen una foto, los que las escriben en un archivo guardado con un nombre que después siempre se les olvida, los que usan la fecha de nacimiento de su hijo, pareja o mejor amigo, los que usan la misma contraseña para todas las webs y aplicaciones, y así podríamos seguir hasta el infinito.

Una cosa es segura: la contraseña es para todos un elemento muy valioso, una joya 2.0 que hay que guardar con celo y mucho cuidado. De hecho, nos permite acceder a nuestros datos, que ahora son bienes primordiales, y, al mismo tiempo, impide que otras personas, tal vez con malas intenciones, se apoderen de ellos.

Pero también es una de nuestras peores pesadillas. De hecho, que nos roben las contraseñas o se vean comprometidas puede provocar diversos incidentes de seguridad informática con graves consecuencias, como infecciones de «ransomware», «malware» y robo de datos. Para las empresas, se trata de riesgos nada desdeñables que pueden provocar interrupciones de la actividad y daños económicos y de imagen.

Además, el «smart working» ha agravado el problema. Según un estudio reciente de 2022, el 62 % de los empleados comparten contraseñas a través de mensajes o correos electrónicos. El mismo estudio presenta estadísticas alarmantes sobre la falta de cuidado con las contraseñas, como el hecho de que el 57 % de los encuestados admitiera haber escrito contraseñas de internet relacionadas con el trabajo en «notas adhesivas» y, de ellos, el 67 % declarase haber perdido esas notas.

En resumen, con las contraseñas no se juega. Dado que el 50 % de los ataques informáticos implican el robo de credenciales de inicio de sesión, mantener las contraseñas a salvo es un pilar clave de las políticas de seguridad.

Por eso, lo primero que se enseña a todos los internautas, que según las últimas estimaciones son 5160 millones de personas, o sea, el 64 % de la población mundial, es a hacer un uso consciente y sobre todo seguro de esta herramienta. Lo cual se traduce, en primer lugar, en generar contraseñas complejas.

Una contraseña compleja debe ser impredecible, estar formada por una mezcla de mayúsculas y minúsculas, tener más de diez caracteres y contener números y caracteres especiales. Por ejemplo, xT34?hjKL56#. Claro está, tener que recordar 70 contraseñas de este tipo pondría a prueba incluso al usuario más motivado.
Por lo tanto, una alternativa válida es el uso de un generador de contraseñas complejas.

Los principales navegadores disponen de generadores integrados que sirven de ayuda para quienes efectúan un registro, para lo que utilizan uno de los tres métodos para generar una contraseña aleatoria:

  • Generador pseudoaleatorio de números (PRNG, por sus siglas en inglés) el ordenador utiliza un algoritmo para generar la semilla que forma la contraseña aleatoria.
  • Verdadero generador de números aleatorios (TRNG): utiliza una fuente física, como la desintegración radiactiva de isótopos, para generar la semilla.
  • Número pseudoaleatorio criptográficamente seguro (CSPRNG): un tipo de PRNG adaptado para su uso en criptografía.

Para proteger la generación de la contraseña resultante, un generador de contraseñas sólido suele utilizar funciones «hash» o cifrado por bloques, que actúan para evitar una serie de ataques que podrían hacer inseguras las contraseñas.

Los generadores de contraseñas suelen almacenarlas para su uso cuando el usuario intenta acceder a un sitio web concreto. En ese momento, el generador ofrecerá acceso a la contraseña o rellenará el campo para la contraseña en la página de inicio de sesión. Por lo tanto, los generadores de contraseñas crean contraseñas fuertes y seguras y también pueden ayudar a gestionarlas.

Sin embargo, esta solución no está totalmente exenta de riesgos, ya que por muy difícil que sea descifrar la contraseña, esta puede ser objeto de «phishing» o ser hackeada.

Por lo tanto, sigue siendo importante estar atentos a lo que hacemos en internet y hemos de mantener siempre un alto nivel de seguridad. Especialmente dentro de una empresa u organización, los empleados deben evitar compartir sus contraseñas, escribirlas en papeles o dejar sus ordenadores o dispositivos conectados cuando se alejen de sus mesas. En resumen, deben recibir una formación adecuada sobre la higiene de las contraseñas y la importancia de mantenerlas protegidas.

Y, aunque pueda parecer una conclusión trivial, nada en el mundo de la ciberseguridad lo es.
Por ello es necesario que el mayor número posible de personas reciba la formación adecuada e incluya en su agenda semanal un hueco para practicar y poner en práctica sus conocimientos teóricos. Y todos sabemos que nadie haría esto durante un largo periodo de tiempo si no es parte de un programa de formación específico.

Suscríbete al boletín

Artículos relacionados