27 de
Abril , 2021
Cada vez son más los servicios que utilizamos online y van desde ver películas, escuchar música o las propias
redes sociales, hasta servicios que requieren más de nuestros datos como la banca en línea, servicios
gubernamentales o nuestro correo electrónico. Al utilizar estos servicios siempre requerimos un usuario y
contraseña.
Pero alguna vez te has preguntado, ¿Qué tan segura es tu contraseña?
Con el aumento de servicios online, también han aumentado los ciberataques, que van desde spam hasta el robo de datos o suplantación de identidad. Una mala contraseña puede poner en riesgo tus datos personales o cuentas bancarias.
Contraseñas Inseguras
El recordar todas nuestras contraseñas es una tarea complicada, por lo cual la mayoría de la gente cae en el error de utilizar datos sensibles como el nombre de su pareja, hijos, mascotas o fechas de sus nacimientos, también es muy común es utilizar datos públicos relacionados con sus gustos.
O aún más peligroso, según un estudio de la empresa NordPass, en el año 2020 las contraseñas más utilizadas fueron las que componen un orden numérico como 123456789 o un orden de distribución de teclado como qwerty o asdfghjkl y sus variantes qwert12345, password1, etc.
Un error también bastante común es el utilizar la misma contraseña para varias cuentas, ya que si una se ve comprometida el atacante podría tener acceso a otras cuentas en las que tengamos un usuario con la misma contraseña.
¿Cómo podrían robar mi contraseña?
Hay muchas técnicas que utilizan los atacantes, los más comunes son
Ataques de fuerza bruta:
A grandes rasgos se basan en el intento de descifrar la contraseña con datos personales que el atacante conozca, de los cuales puede proveerse de lo que se comparte en las redes sociales e intentará muchas combinaciones posibles hasta dar con la contraseña, los ataques de fuerza bruta solo son cuestión de tiempo para que el atacante de con la contraseña y dependerá de la complejidad de la misma que tan rápido el atacante logre su cometido.
Ataques de diccionario:
También se les podría catalogar como ataques de fuerza bruta, pero en esta situación el atacante puede valerse de un diccionario que contenga una gran cantidad de combinaciones de números y letras por ejemplo: palabras que se encuentran en un diccionario del idioma de la victima, contraseñas que se hayan encontrado en ataques previos y como los humanos somos predecibles, es muy probable que la misma contraseña se use por más de una persona, este tipo de ataque es más rápido que probar combinaciones al azar y el porcentaje de éxito es muy elevado.
Phishing:
Normalmente se propaga a través del correo electrónico, ya sea que el usuario ingrese datos en una página clonada o suplantada por el atacante o que al abrir el correo se ejecute un archivo adjunto que contenga malware o alguna redirección que el atacante empleará para hacerse de la contraseña.
Ingenieria social:
El atacante puede suplantar a personal de cierto servicio o empresa esperando obtener nuestras credenciales.
¿En cuanto tiempo podría un atacante vulnerar mi contraseña?
Un estudio realizado por Mike Halsey MVP de Microsoft, nos muestra cuanto tiempo tardaría un hacker en descifrar contraseñas segun su composicion:
Recomendaciones
Como lo observamos en el gráfico anterior, el que nuestra contraseña sea larga no necesariamente la hace segura, a menos que sea de 18 caracteres o más. Por lo cual recomendamos:
- Variar entre números, mayúsculas, minúsculas y símbolos en nuestras contraseñas.
- Emplear frases en lugar de palabras cripticas ya que es más fácil recordar una frase, el problema es que no todas las aplicaciones lo aceptan
- En caso de que el sitio nos limite en número de caracteres, utilizar la máxima longitud en conjunto con la primera recomendación
- No utilizar la misma contraseña para los distintos servicios en los que tengamos una cuenta.
- Utilizar el doble factor de autenticación siempre que sea posible, la mayoría de los servicios importantes tiene esta opción
- No utilizar datos personales o relacionados con nuestros gustos o basados en información que hayamos publicado o se pueda encontrar por otro medio
- No anotar las contraseñas en cuadernos, notas o cualquier otro lugar que esté a la mano de personas ajenas.
- Evitar compartir nuestras contraseñas con otras personas.
Sabemos que el recordar o crear contraseñas largas y variadas puede ser complicado y muy confuso, una opción recomendable es emplear una frase larga por ejemplo: "el mes de abril fue un mes excelente para mis planes" este password es más fácil de recordar que "xfg%f5&.45" y es muy seguro aunque no contenga caracteres especiales, el único inconveniente es que la mayoría de las aplicaciones limitan el número de caracteres que se pueden usar para la contraseña, pero para nuestro beneficio también existen herramientas gestoras de contraseñas que además de generar contraseñas seguras también guardan nuestras contraseñas para así tener una mayor seguridad sin el dolor de cabeza que es tener que estar recordando o buscando nuestras contraseñas.
Algunos ejemplos de estos servicios son:
LasstPass
Tiene funciones gratuitas y de paga.
KeePass
Gratuito y de código abierto.
El uso de los administradores de contraseñas también tienen sus pros y contras, de los que hablaremos en otro artículo.
Sigue nuestras redes sociales porque vamos a tener tutoriales sobre como usar estas herramientas, cuales son nuestras favoritas, etc. así como también como activar el segundo factor de autenticación en las principales redes sociales.
Escrito Por:
Alan Tapia
Security Consultant
