Tips para la seguridad de las contraseñas

Hoy 9 de mayo se celebra el Día Mundial de la Contraseña. Este día nos recuerda que debemos mantener siempre seguras nuestras contraseñas (y de paso, por qué no, todos nuestros datos sensibles) para evitar que caigamos en fraudes, robo e identidad y otros peligros que acechan la Internet.

A continuación, daremos algunos consejos útiles para proteger no solo nuestras contraseñas, sino también nuestras cuentas de usuario en general e información sensible.

Identidad robada

¿Cómo debe ser una buena contraseña?

Una vez leí que una buena contraseña debe ser “fácil de recordar pero dificil de adivinar”. Y comienzo diciendo esto porque he visto casos de muchos usuarios que usan contraseñas demasiado fáciles (como la infame “123456” o datos que otros podríamos conocer, como su número de teléfono, su número de DNI, su fecha de nacimiento u otros). ¿La razón? Todas las razones son del tipo “son más fáciles de recordar” o “no tengo tiempo de aprenderme una contraseña complicada”. El problema es que que a veces olvidamos que si es fácil para nosotros, lo será también para cualquier maladrín que quiera robarnos nuestra contraseña.

Pero, ¿cómo debería entonces ser mi contraseña? Aquí algunos consejos:

  • Mezclar letras mayúsculas, minúsculas, números y signos de puntuación.
  • Evitar usar palabras solas, es mejor usar frases completas.
  • Cambiar regularmente nuestras contraseñas.
  • No usar una misma contraseña para todas nuestras cuentas.
  • No usar como contraseña algún tado que otros puedan conocer o averiguar con facilidad.
  • No compartir nuestras contraseñas por correo electrónico, por chat, por mensajería ni por cualquier otro medio no seguro.
  • Memorizar nuestras contraseñas, no dejarlas anotadas en un cuaderno o en un archivo no protegido.

Un truco para crear y memorizar una contraseña complicada

Hay que admitir que, aunque una contraseña segura como “3RdoOYQcF2UYORgeUR5Q” es más segura que una como “4388925“, la primera es más difícil de memorizar que la segunda. Ahora voy a comentarles un buen truco que encontré en Internet para tener una contraseña segura y de paso memorizarla fácilmente.

Pensemos primero en una frase más o menos larga que podamos memorizar con facilidad, por ejemplo esta:

Mi perro Firuláis se cayó del quinto piso y rebotó por los aires

Si cogemos la primera letra de cada palabra, tendríamos esto:

mpfscdqpyrpla

Esta “palabra” es una buena mezcla para usarla como nuestra contraseña.

Podemos quedarnos con esta contraseña, o bien, si somos paranoicos podríamos complicarla más todavía. Por ejemplo, poniendo con mayúscula la primera “m” (por ser la primera palabra de nuestra oración) y la “f” (por ser un nombre propio), con lo cual nuestra contraseña quedaría así:

MpFscdqpyrpla

lo cual es mejor todavía porque ya estoy mezclando mayúsculas y minúsculas.

Y la puedo seguir complicando más. por ejemplo, en vez de la “q” de “quinto” podría poner el número 5:

MpFscd5pyrpla

Y así sucesivamente. podemos “complicarla” tanto como queramos, y todo a partir de una oración que nos será mucho más fácil de memorizar.

Gestores de contraseñas

Ya sea porque nuestra memoria es frágil, porque tenemos que administrar muchas contraseñas o por otros motivos, podemos usar un gestor de contraseñas. Estos son programas que nos permiten guardar todas nuestras contraseñas en un único archivo. Este archivo único está —obviamente— protegido y cifrado para evitar que algún curioso vea su contenido.

Uno de los más conocidos es KeePass. Es gratuito y no solo podemos usarlo para guardar nuestras contraseñas, sino que tiene otras funciones útiles para su manejo:

  • Un generador de contraseñas aleatorias. Podemos indicar el tamaño de nuestra contraseña y hacer que mezcle letras, números, signos de puntuación, mayúsculas y minúsculas al azar.
  • Un indicador de qué tan segura es la contraseña que escribamos o generemos.
  • Campos adicionales para guardar no solo la contraseña sino toda la información de nuestras cuentas: Dirección web, nombre de usuario, contraseña, fecha de caducidad y otros.
  • Opciones para copiar nuestro nombre de usuario o contraseña al portapapeles (útil para rellenar formularios sin tener que estar escribiendo una contraseña tediosa). para mayor seguridad, se puede configurar el programa para que borre automáticamente la contraseña del portapapeles después de una cierta cantidad de segundos o que permita pegarla solo una vez.
  • Opción para tener y manejar varios archivos de contraseñas.
  • Cada archivo está protegido por una contraseña y, además, se puede crear un segundo archivo para que funcione como “llave”, aumentando la seguridad.
Pantalla principal de KeePass

Pantalla principal de KeePass
(Imagen: keepass.info)

En la página de descargas de KeePass podemos encontrar las versiones “oficiales” para Windows, así como versiones “no oficiales” para muchas ás plataformas, como Mac OS X, GNU/Linux (varias distribuciones), BlackBerry, Android, iPad, iPhone o Windows Phone, entre otras.

La pregunta secreta (esa gran olvidada)

He leído muchos artículos que hablan de seguridad para contraseñas, pero pocos nos hemos puesto a pensar que ese mismo cuidado deberíamos tenerlo para nuestra pregunta secreta. Una pregunta secreta es un dato que podemos usar en caso perdamos nuestra contraseña o la hayamos olvidado.

Típicamente, cuando nos registramos en algún servicio, se nos muestra una serie de “preguntas secretas” para elegir, por ejemplo “¿Cuál es tu apellido de soltera?” o “¿Cuál es el nombre de tu mascota?”. Seleccionamos una de estas preguntas y luego ingresamos la respuesta, por ejemplo “Díaz” o “Manchitas”. Entonces, si se da el caso de que perdemos nuestra contraseña, la página nos hará la pregunta secreta como una forma de verificar si realmente somos los dueños de la cuenta, para lo cual debemos indicar nuestra respuesta secreta.

Aunque ahora hay medios más seguros para verificar si somos o no los verdaderos dueños de una cuenta, la pregunta secreta sigue siendo usada por algunos servicios. Incluso algunos ahora nos permiten ingresar nuestra propia pregunta secreta. ¿Dónde está el error? El error en el que muchos proveedores caen es en poner como pregunta secreta información personal del usuario (como en los 2 ejemplos anteriores). Y si el usuario cae en la tentación de responder a la pregunta secreta con un dato real, un intruso podría obtener la respuesta secreta.

¿Cómo así? Imaginemos que quiero obtener acceso al correo de un amigo. Entro al correo y veo que el formulario me hace la pregunta secreta “¿Cuál es el nombre de tu mascota?”. No sé la respuesta, pero podría “engañar” a mi amigo para que me la dé. Por ejemplo durante una conversación inocente:

— Oye, ¿sabes de qué tengo ganas?

— ¿De qué?

— De tener una mascota.

— Sí, es lindo tener un animalito en casa.

— ¿De veras? ¿Tienes tú alguna mascota?

— Sí, un perrito.

— Ah mira, ¿cómo se llama?

— Le puse “Manchitas”

— Jajaja, qué risa… [bla bla bla]

Y listo. ya tengo la respuesta que quería. a este tipo de truco se le llama ingeniería social.

¿Cómo lo evitamos? Lo más fácil de hacer es evitar responder lo obvio. Podemos responder con un dato inventado, o poner una respuesta que no tenga nada que ver con la pregunta. Por ejemplo:

Pregunta: ¿Cómo se llama tu mascota?
Respuesta: Base por altura sobre 2

Verificación de dos pasos

La verificación de dos pasos es algo que últimamente estamos viendo en cada vez más servicios y, si bien no es exactamente una contraseña, nos da protección adicional para nuestras cuentas. Consiste en que después de ingresar nuestra contraseña de, por ejemplo, nuestro correo electrónico, el formulario nos pedirá que ingresemos un código adicional que el proveedor de correo nos enviará (usualmente a nuestro teléfono celular en un mensaje de texto). Cuando recibamos el mensaje con el código, lo ingresamos en el formulario y recién allí podremos ingresar. Por eso se llama “de dos pasos”, siendo el primero paso el ingreso de nuestra contraseña y el segundo el ingreso del código. Estos códigos son desechables: Una vez utilizado el código para ingresar una vez, ya no se puede utilizar para ingresar una segunda vez, por lo que cuando queramos ingresar una segunda vez a nuestro correo, el sistema nos enviará un código distinto a nuestro celular.

Este mecanismo es usado también en otros casos donde se necesite verificar nuestra identidad. Gmail hace uso de este mecanismo para registrar un nuevo usuario (para verificar que quien se está registrando es un humano y no un programa que podría ser malicioso), y no es mediante SMS sino con una llamada de voz. En las veces que me tocó usar esta función, sin embargo, el funcionamiento no es tan bueno como debería ser: Solo me ha funcionado cuando pido que me manden el código a un celular Movistar (ni Claro ni Nextel me han funcionado).

World Password Day

Como suele pasar con este tipo de fechas (como el que se nos viene este segundo domingo de mayo), el World Password Day [literalmente “Día mundial de la contraseña”] es un día para recordarnos algo que deberíamos tener en cuenta todos los días del año. De todos modos, si nos damos una vuenta por la página oficial del evento encontraremos una fría estadística: El 90% de las contraseñas de los usuarios es vulnerable. Tenemos en la página también un pequeño formulario donde podemos “probar” nuestras contraseñas (la escribimos en una caja de texto y la página nos dirá qué tan fuerte es, tal como lo haría KeePass) y algunos consejos útiles (como el uso de un gestor de contraseñas, ya comentado anteriormente). La nota curiosa la pone un juego llamado Password Blaster, que como lo indica la descripción, está hecho cin la base de las peores costumbres de los usuarios de cara a sus contraseñas.

Así que ya lo saben. Si no quieren perder el acceso a sus cuentas, cuidemos la seguridad de nuestras contraseñas. Y por cierto, ya me toca cambiar las mías 😉

Comparte este artículo :)
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Danilo Quispe Lucana

Ingeniero de sistemas, desarrollador web y de software. Aficionado a la ciencia y tecnología desde chico.

También te podría gustar...

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *