Saltar al contenido
Aprendizaje

Por qué nunca debería reutilizar una contraseña

02 Mar, 2021
reutilizar-una-contrasena
¡Compartelo con tus amigos!

Por qué nunca debería reutilizar una contraseña

¿Eres una de esas personas? Ya sabes, ¿los que usan la misma contraseña para casi todos los sitios web? Has escuchado que es una mala idea, pero crees que estás seguro, ¿verdad?

Hazme un favor. Vaya a haveibeenpwned.com e ingrese su dirección de correo electrónico. O dile a un amigo que lo haga. Lo más probable es que usted o su amigo hayan tenido al menos una instancia de su información personal expuesta en una violación de datos. Y no estarías solo.

La computadora promedio está sujeta a un intento de piratería cada 39 segundos , según un estudio de la Universidad de Maryland. El primer punto de entrada que intentará un pirata informático es casi siempre su contraseña. Y si reutiliza una contraseña de un sitio a otro, una infracción en un sitio a menudo resultará en que su cuenta se vea comprometida en otros.

Entonces, ¿qué puede hacer para asegurarse de que sus contraseñas sean a prueba de balas? ¿Cómo puede limitar el daño de las violaciones de datos? La mejor manera es nunca reutilizar las contraseñas, y la mejor manera de hacerlo es utilizando uno de los mejores administradores de contraseñas.

Los viejos hábitos tardan en morir

Un estudio reciente de Google confirmó lo que la mayoría de nosotros ya sabía: muchas personas seguirán usando las mismas contraseñas, incluso si saben que las contraseñas ya han sido pirateadas.

A pesar de las advertencias de que sus contraseñas se habían visto comprometidas en violaciones de datos, casi el 26% de los usuarios del estudio de Google decidió continuar con sus contraseñas existentes. 

Algunos usuarios de la encuesta de Google dijeron que pensaban que las advertencias y el proceso de restablecimiento de contraseña eran confusos. Otros no pensaron que un restablecimiento de contraseña fuera realmente necesario. Otra encuesta mostró que casi el 83% de las personas utilizan una sola contraseña para varios sitios web.

Para muchas personas, la práctica deficiente de las contraseñas simplemente se reduce a una » fatiga de seguridad » , un cansancio o desgana para lidiar con la seguridad informática, a menudo por ser bombardeados por mensajes que le recuerdan que debe proteger su información.

No cuente con otros para proteger su contraseña

Pero debe hacerse cargo de la seguridad de su propia contraseña, porque no puede confiar en nadie más. Algunos sitios web y servicios en línea todavía almacenan las contraseñas de los usuarios como texto sin formato. Si un pirata informático obtuvo acceso a la base de datos de usuarios de uno de esos sitios web, su contraseña y los detalles de su cuenta quedarían expuestos instantáneamente.

La mayoría de los sitios web cifran las contraseñas, pero eso no lo resuelve todo. Los piratas informáticos pueden descifrar las contraseñas cifradas o «hash» de contraseñas débiles. Saben que muchas personas usan palabras simples, o una combinación de palabras simples, como contraseñas.

Entonces, los piratas informáticos ejecutan largas listas de palabras a través de algoritmos comunes de cifrado de contraseñas y guardan los hashes resultantes. Cuando hay otra violación de datos, todo lo que los piratas informáticos deben hacer es buscar hash que coincidan con lo que ya han generado.

También es importante comprender la seguridad del sitio web con el que está tratando. Un estudio de la Universidad de Cambridge descubrió que las peores prácticas de seguridad ocurren en sitios con pocos incentivos para mantener seguro su propio contenido, como los sitios web de medios. Los sitios que manejan información confidencial, como los servicios bancarios o de mensajería, implementaron una mejor seguridad de contraseña, pero nunca se puede estar seguro.

Las contraseñas alfanuméricas no son suficientes

Puede crear contraseñas seguras mezclando letras, números y caracteres especiales. Una contraseña alfanumérica es, por supuesto, mejor que una contraseña que solo usa letras. Pero si está convirtiendo contraseñas alfabéticas en alfanuméricas haciendo sustituciones obvias de caracteres, es probable que los resultados sean predecibles y fáciles de descifrar.

Por ejemplo, los piratas informáticos saben que muchas personas sustituirán la letra «o» por un cero («0»), la letra «l» por un «1» y una «i» por un signo de exclamación («!»). Si también lo hace, es posible que incluso sus contraseñas «complejas» no sean lo suficientemente seguras.

Una práctica común utilizada por los piratas informáticos para descifrar contraseñas es el ataque de diccionario. Con este método, un script automatizado intenta ingresar a una cuenta probando sistemáticamente cada palabra del diccionario como contraseña. Los scripts también pueden probar las sustituciones de letras y números más comunes, como se detalla anteriormente.

Para contrarrestar estos ataques de » fuerza bruta «, muchos sitios web bloquean a los usuarios durante un período de tiempo limitado después de un cierto número de entradas de contraseña incorrectas. Este mecanismo de defensa anti-piratería también se encuentra en iPhones , donde la cantidad de tiempo de espera aumenta con cada entrada incorrecta.

Estos bloqueos prolongados de cuentas significan que un hacker, incluso uno con la ayuda de un programa automatizado, puede tardar años en acceder a una cuenta.

Sin embargo, incluso la contraseña más segura puede ser víctima de un «keylogger», un programa o dispositivo que puede grabar todo lo que escribe en un teclado. Los registros de lo que ha escrito se envían a un pirata informático remoto, que luego puede acceder a cualquier contraseña que tenga, sin importar cuán fuerte sea.

reutilizar-una-contrasena

Autenticación de dos factores

El uso de una contraseña fue una vez la única capa de protección de la cuenta para usted en Internet. Ahora se pueden agregar teléfonos inteligentes u otros dispositivos como otra capa. 

Con la autenticación de dos factores (2FA), se le pedirá una segunda forma de autenticación de identidad cuando inicie sesión en una cuenta desde un nuevo dispositivo o ubicación. Si un hacker no tiene ese segundo «factor», entonces el hacker no puede ingresar a su cuenta, ni siquiera con su contraseña.

La forma más común de 2FA envía un código de acceso temporal a su teléfono a través de un mensaje de texto SMS o una aplicación de teléfono inteligente. También hay aplicaciones de autenticación gratuitas , creadas por Google, Microsoft y varias otras empresas, que pueden generar códigos de acceso temporales directamente en el teléfono.

El segundo factor también puede ser una llave de seguridad USB fabricada por una empresa como Yubico o Google. Estas llaves vienen en formatos USB-A, USB-C o Lightning para conectarse a PC y teléfonos inteligentes, y algunas también tienen radios NFC de corto alcance para interactuar con dispositivos Android más antiguos. Se puede usar una sola clave para iniciar sesión en docenas de cuentas en línea.

Muchos servicios, como Google, Microsoft, Facebook y Twitter, admiten llaves de seguridad. Las claves en sí mismas no almacenan ninguna información del usuario, por lo que si pierde una, es casi imposible que alguien descubra que le pertenece.

Sin embargo, 2FA no es la solución de contraseña completa, los piratas informáticos han encontrado formas de interceptar mensajes SMS con códigos 2FA y de estafar a las víctimas para que escriban estos códigos en sitios web falsos. Mientras tanto, las llaves de seguridad USB cuestan entre 15€ y 70€ cada una, dependiendo de sus características.

Gestores de contraseñas, más necesarios que nunca

La mejor manera de mantener sus contraseñas únicas y seguras, y sus cuentas lo más seguras posible, es utilizar un administrador de contraseñas.

Estos programas pueden generar contraseñas complejas y guardarlas para que no tenga que recordarlas en absoluto. Pueden decirle cuándo las contraseñas existentes son demasiado débiles y pueden sugerir mejores reemplazos. Algunos de ellos incluso pueden cambiar sus contraseñas para docenas de cuentas diferentes a la vez en caso de una violación de datos importante.

Con un administrador de contraseñas, deberá recordar solo una contraseña: la «contraseña maestra» para el administrador de contraseñas. Piense en él como «el único anillo para gobernarlos a todos» de El Señor de los Anillos, y no lo pierda. (Muchos administradores de contraseñas admiten claves de seguridad para proteger la contraseña maestra).

Puede probar un administrador de contraseñas como LastPass de forma gratuita para ver si es para usted. Consulte nuestra lista de los mejores administradores de contraseñas para obtener más opciones.

Mantenerse por delante de la multitud

A medida que nos presentan nuevos servicios en línea, también aumenta la cantidad de cuentas en línea que tenemos. En lugar de hacer que la seguridad de la cuenta sea una tarea ardua, los métodos anteriores facilitan la tarea. Si implementa 2FA y un administrador de contraseñas y se asegura de no reutilizar ninguna de sus contraseñas, estará más seguro que el 99% de la población. 

La próxima vez que haya una violación de datos y todos los demás se apresuren a cambiar sus contraseñas en varias cuentas, puede relajarse sabiendo que solo tendrá que cambiar la contraseña correspondiente al servicio violado.

¡Compartelo con tus amigos!