Cada año, en el primer jueves del mes de mayo, se conmemora el Día Mundial de la Contraseña, un escenario perfecto en el que Check Point® Software Technologies Ltd. (NASDAQ: CHKP), nos recuerda la importancia de cuidar hasta el último detalle de una contraseña, ya que es una de las principales barreras contra los ciberdelincuentes.
Las contraseñas las utilizan miles de millones de usuarios en todo el mundo, y pese a su enorme importancia, todavía existe un sinfín de malas prácticas a la hora de gestionarlas y crearlas. En 2019, el Centro Nacional de Ciberseguridad del Reino Unido reveló que 23 millones de personas en todo el mundo continúan utilizando contraseñas inseguras como «123456», hecho que evidencia que todavía son muchos los usuarios que no son conscientes de los peligros que esto supone.
Aunque este no es el único problema al que nos enfrentamos. Los incesantes avances tecnológicos no sólo llegan para beneficiar a los usuarios, sino que también ofrecen a los ciberdelincuentes nuevas herramientas para llevar a cabo sus ataques. Lo que hasta hace poco se consideraban contraseñas seguras, comienzan a quedarse anticuadas y generan nuevas vulnerabilidades.
La llegada de nuevas tarjetas gráficas con memoria virtual (VRAM), ha abierto la puerta a que estos dispositivos de hardware procesen datos a alta velocidad, los mismos que utiliza la minería de criptomonedas. Sin embargo, también pueden utilizarse en ciberataques por fuerza bruta para la obtención de contraseñas, donde los modelos nuevos llevan a cabo más de un millón de comprobaciones en apenas un segundo, tremendamente más rápidas que las comprobaciones logradas hasta ahora por los procesadores. Esto significa que, si por ejemplo, contamos con una contraseña con menos de 12 caracteres basada en exclusiva en el uso de letras y números, podría vulnerarse en apenas unos días.
De acuerdo con el último informe de Hive Systems, que comparte los tiempos aproximados en los que los ciberdelincuentes pueden “derribar” nuestras contraseñas, pasando desde un esfuerzo mínimo y unos tiempos prácticamente instantáneos para las contraseñas más inseguras, hasta los 438 trillones de años de las claves más robustas. Y es que en cuestión de tan sólo un año, se ha visto como estos mismos cifrados han recortado los tiempos de posible vulneración en hasta un 90%. Una cifra que, con la entrada de nuevos agentes como los servicios en la nube o la inteligencia artificial, podrían verse reducidos en los próximos años.
Figura 1. Tabla de contraseñas de Hive System basada en contraseñas con hash MD5 crackeadas por una GPU RTX 2080.
El objetivo y los motivos están claros, pero ¿qué debe tener una contraseña para ser segura y robusta?
- Cuanto más larga y variada, mejor: debe contar con una longitud mínima de entre 14 y 16 caracteres, además de estar formada por diferentes letras, combinando mayúsculas y minúsculas; además de símbolos y números. No obstante, tal y como se puede ver en la anterior tabla, con tan sólo aumentar hasta los 18 caracteres combinados, se llega a construir una clave completamente indescifrable. Esto se basa en la cantidad de intentos que requiere la práctica de fuerza bruta: el número total de combinaciones es igual al número de caracteres elevado a la de su longitud.
- Fáciles de recordar, pero complejas de adivinar: debe ser una combinación que solo el usuario conozca, por lo que es recomendable no usar datos personales como fechas de aniversarios o cumpleaños, o los nombres de familiares, ya que estos pueden resultar más fáciles de averiguar. Una manera sencilla de crear claves que cualquiera pueda recordar es utilizar frases completas, ya sea utilizando escenarios cotidianos o absurdos, con ejemplos como ‘meryteniauncorderito’, o su equivalente todavía más seguro con diferentes caracteres ‘@M3ry#Tenia1Corderito’.
- Únicas e irrepetibles: crear una nueva contraseña cada vez que se acceda a un servicio, evitando así usar una misma clave para distintas plataformas y aplicaciones. De esta manera se puede asegurar que, en el caso de que se vulnere una clave, los daños serán mínimos y más fácil y rápidamente reparables. Según una encuesta de Google y Harris Poll publicada en 2019, el 65% de los participantes reutilizan sus contraseñas en múltiples cuentas y servicios web.
- Siempre privadas: una premisa que puede parecer básica, pero es importante recordar. No hay que compartir una contraseña con nadie, siendo especialmente recomendable no apuntarla en ningún sitio cercano al ordenador o incluso en algún archivo dentro del mismo. Para esta labor, se puede contar con herramientas como los gestores de contraseñas, que realizan este mismo trabajo de manera más segura.
- La auténtica seguridad está a tan sólo dos pasos de nosotros: además de tener una contraseña fuerte y segura, el uso de una autenticación de dos factores (2FA) supone un gran aumento en la seguridad. De esta forma, cada vez que un atacante o una persona no autorizada quiera acceder a una cuenta ajena, el propietario de la misma recibirá un aviso en su teléfono móvil para que le conceda o deniegue el acceso.
- Cambiarla periódicamente: algunas veces, aunque se realicen todas estas prácticas, ocurren incidentes fuera de nuestro alcance, como las filtraciones de bases de datos de las compañías. Por ello, es recomendable revisar de manera periódica si un correo ha sido víctima de alguna vulnerabilidad a un tercero, así como tratar de rastrear las cuentas se han podido comprometer. Para ello, hay que contar con herramientas de acceso público como la web Have I Been Pwned, que tratan de recopilar la información básica de estas fugas para tratar de ofrecer un soporte y ayuda para los usuarios. De igual manera, aun si estas no han sido vulneradas, siempre se recomienda actualizar las contraseñas cada pocos meses.
“Cada día, los ciberdelincuentes crean nuevos ataques destinados a robar las contraseñas de usuarios. Técnicas como el phishing han conseguido vulnerar miles de servicios robando credenciales” comparte Eusebio Nieva, director técnico de Check Point para España y Portugal. “Este riesgo puede remediarse fácilmente estableciendo contraseñas seguras, haciendo mucho más difícil que los ciberdelincuentes logren adivinar estas combinaciones, garantizando el máximo nivel de seguridad para nuestros dispositivos”.
Más información
- 4 trucos para crear contraseñas a prueba de hackers
- 4 formas de saber que debes cambiar tus contraseñas
- Estadísticas de contraseñas que las pequeñas empresas deben conocer
- 3 razones por las que deberías usar contraseñas de frase
- 5 trucos del FBI que puedes utilizar para proteger tus contraseñas