Uno de los principales problemas de seguridad en Internet es la utilización de contraseñas vulnerables (fáciles de averiguar) y especialmente si no se tiene un poco de conocimiento sobre el asunto.
Por ello voy a intentar dar algunos consejos y explicar cosas que debería conocer cualquier persona.
Por cierto una curiosidad que descubrí hace poco es que el «inventor» de las contraseñas en la informática fue Fernando Corbató, hijo de un español de Villareal (Castellón) que emigró a Estados Unidos. Corbató falleció en julio de 2019 a los 93 años.
Para mejorar la seguridad de las contraseñas recomendaría principalmente tres cosas:
- utilizar contraseñas seguras. Luego veremos como es una contraseña segura.
- no utilizar la misma contraseña para diferentes servicios / sitios web y especialmente en los sitios que sean más importantes, por ejemplo que consigan entrar a nuestra cuenta de gmail o dropbox probablemente será mucho más importante que perder una cuenta de usuario en un foro que ya no usamos. Si usamos la misma contraseña para Gmail, Facebook y Dropbox y alguien consigue nuestra contraseña de Gmail, ese atacante o cracker, (no confundir con hacker que no tienen por qué ser malos) también probará la misma dirección de correo con esa misma contraseña para ver si puede acceder a nuestro Dropbox o Facebook con ella.
- utilizar un segundo factor de autenticación (2FA o U2F). Esto es que además de nuestra contraseña, para poder acceder necesitaremos algo más que sólo podamos tener nosotros, por ejemplo nuestro teléfono donde recibiremos un sms, o usaremos una aplicación de códigos de autenticación (por ejemplo Google Authenticator que es gratis), o incluso una llave USB única (la más conocida es la Yubikey) que debemos llevar encima y meter en el puerto USB del ordenador. Al requerir algo «físico» y que sólo deberíamos tener nosotros, aunque nos roben la contraseña, si tenemos activado un segundo factor el cracker no podría entrar ya que por ejemplo no sabría el código que nos han enviado al teléfono porque el teléfono sólo lo tenemos nosotros.
Este estándar U2F (Universal second factor) es abierto, cualquiera con conocimientos de programación puede ver como está desarrollado. Que sea abierto no significa que no pertenezca a alguna empresa. El U2F lo empezaron a desarrollar Google y la empresa de hardware orientado a la seguridad Yubico (de la mencionada Yubikey).
Actualmente pertenece a la Fido Alliance. Mas información en wikipedia (en inglés): https://en.wikipedia.org/wiki/Universal_2nd_Factor
Algunas de las formas más habituales con las que alguien puede averiguar / robarnos una contraseña:
- por fuerza bruta: consiste en que alguien intenta averiguar nuestra contraseña probando miles (o millones) de combinaciones. Por ejemplo si sabemos que el usuario ejemplo@email.com tiene una cuenta en Facebook y queremos intentar averiguar su contraseña, en teoría si empezamos a probar todas las opciones llegaría un momento en el que acertaríamos la contraseña. Por ejemplo, con algún sistema automático como un script o un software preparado para esto, si Facebook sólo permitiese poner letras minúsculas en su contraseña y nada más, nos intentaríamos conectar a Facebook con el email y la contraseña «a», luego «b», «c», «d», y cuando terminase todas las letras probaría «aa», luego «ab» y así hasta que el script o software haya probado todas las posibilidades. Si tienes una contraseña larga, por ejemplo 12 o más caracteres, a día de hoy (en el futuro no sabemos) con este método llevaría años averiguarla. Sin embargo un password de 8 caracteres aunque combine letras minúsculas, mayúsculas, números y símbolos sin sentido alguno, se podría averiguar con las herramientas correctas en menos de 24 horas.
- diccionarios: son ficheros donde se ponen palabras habituales en un idioma concreto. luego con un programa se cogen una a una todas las palabras del diccionario y se van probando para ver si la contraseña era una de esas palabras. Por esa razón no se debe usar una única palabra común como contraseña. Es similar al método anterior pero mucho más rápido ya que sólo prueba las palabras que haya escritas en el diccionario.
Una versión más avanzada son los diccionarios personalizados, si el cracker conoce datos tuyos como tu nombre, ciudad, año de nacimiento o el nombre de tu mascota, añade todo eso a un diccionario y el programa empieza a hacer combinaciones de todo.
Por ejemplo tu mascota se llama Laica, vives en Madrid y naciste en 1995. El sistema probaría Laica1995, Madrid1995, 1995madrid etc… y si no encuentra nada, empezaría a probar esas palabras en combinación con todas las palabras de un diccionario genérico mucho más amplio. - ingeniería social: el atacante intenta sacar datos nuestros que podamos haber usado en nuestra contraseña, puede ser a través nuestra o de gente que nos conozca. Por ejemplo puede investigar nuestra fecha de cumpleaños y probar distintas contraseñas con un dato como el año de nacimiento. Siguiendo el ejemplo anterior podría probar simplemente laica1985pepito1984 o 1984pepe
- keyloggers: son programas que se instalan en un ordenador para capturar todas las pulsaciones de teclas de la persona que use ese ordenador y envían dichas pulsaciones de forma invisible para el usuario al cracker. Como es lógico, el que escribe no sabe que hay un programa haciendo eso y son programas que no dan señal alguna de estar instalados.
- phising: el cracker te envía por ejemplo un email o un sms avisando de que te llega un paquete de Amazon y cuando pinchas el enlace te lleva a una web similar a la página para acceder a Amazon donde al intentar loguearte (entrar con tu usuario), lo que estás haciendo es enviar tus datos (email y contraseña) al cracker.
El problema de crear una contraseña larga y con letras, números, símbolos… que no tenga ningún sentido lógico es que obviamente no será fácil para nosotros recordarla y menos aún si como he recomendado se tiene una contraseña diferente para cada servicio o página web en la que tengamos una cuenta de usuario.
¿que solución hay entonces?
La mejor a día de hoy es el uso de gestores de contraseñas como Keepass, Lastpass y similares. Yo uso Keepass porque es totalmente gratuito, y de código abierto. Con ellos tendremos todas las contraseñas en un mismo lugar, y pueden ser todas diferentes y con caracteres aleatorios ya que la misma aplicación te las genera. Lo único que hay que tener cuidado es de generar una contraseña potente para acceder al gestor de contraseñas y que no perdamos ni puedan conseguir otras personas.
Y lo segundo, activar el 2FA (ver arriba lo que es) en todos los servicios que lo permitan, que en los servicios importantes (Gmail, redes sociales, Dropbox…), todos lo tienen. En mi caso yo siempre que el servicio lo permita utilizo la opción de Google Authenticator.
Antes de acabar, algo tan importante como una contraseña segura, es saber que en caso de que olvidemos una contraseña tendremos opción de recuperarla. Por ello es especialmente importante que si nuestro método de recuperación de contraseña está basado en recibir un correo en nuestro email, la contraseña de esa cuenta de email sea siempre lo más segura posible. Otra opción de recuperación que a mi particularmente nunca me ha gustado y que usan algunos servicios (por suerte cada vez menos) es la de guardar nuestra respuesta a una pregunta que supuestamente solo conocemos nosotros. Por ejemplo la pregunta es «nombre de mi mascota favorita» o «nombre de mi mejor amigo de la infancia». Como es lógico, la respuesta a esta pregunta es normalmente bastante fácil de averiguar para alguien que nos conozca un poco, y además otro problema de este sistema es que puede ser difícil para nosotros recordar cuál fue la mascota que elegimos o como escribimos su nombre (Laica, laica, LAICA) a la hora de poner la respuesta.
Información adicional: recomendaciones de Google para contraseñas seguras: https://support.google.com/accounts/answer/32040?hl=es
Espero que el artículo te haya servido para ser consciente de que hay que tener contraseñas seguras y como hacerlo, y si así ha sido, o si ves que se me ha pasado algo importante, se agradece un comentario.
