Cualquier internauta que utilice como mínimo una contraseña (ya sea para acceder al correo, a un foro o a juegos en línea, por poner solo algunos ejemplos) puede ser víctima del chantaje de ciberdelincuentes.
Usar contraseñas que combinen números, letras minúsculas y mayúsculas y caracteres especiales, que sean diferentes para cada sitio web y cambiarlas cada medio año son algunos de los consejos informáticos que ponen las cosas difíciles a hackers que se dedican a extorsionar a los usuarios con las contraseñas.
Hace unas semanas, el experto en ciberseguridad Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación de la Universitat Oberta de Catalunya (UOC), publicaba un artículo en el que revelaba una práctica frecuente: el chantaje que nos pueden hacer a los internautas los ciberdelincuentes cuando estos se hacen con nuestras contraseñas. El chantaje llega en forma de correo electrónico sospechoso en el que se nos muestra alguna de las contraseñas que utilizamos para acceder a algún web y se nos dice que, si no pagamos una determinada cantidad de dinero, generalmente con bitcoins, la harán pública a nuestros contactos.
De entrada, el profesor Serra aconseja no hacer caso de este correo electrónico, es decir, no responderlo y borrarlo directamente. Si bien la mayoría de estos correos irá al correo basura, algunos sí que llegan a nuestra bandeja de entrada. «Podemos llegar a recibir decenas de este tipo de mensajes en una semana», afirma. Los eliminaremos cada vez que recibamos uno. Una vez borrados, el experto aconseja no utilizar la misma contraseña en diferentes sitios web, porque si alguien la roba de un servidor, podría entrar inmediatamente en todas las demás cuentas del usuario.
Serra quiere dejar claro que cuando se produce un robo de contraseñas «no es por culpa del usuario que tiene una contraseña fácil o repetida, sino por problemas en los servicios en los que nos damos de alta». «No es algo que dependa de nosotros, podemos tener problemas siempre», afirma.
Poner las cosas difíciles al ladrón
Serra apuesta por tener «un buen sistema de contraseñas», y eso significa adoptar una serie de medidas que entorpezcan el trabajo del hacker. Por ejemplo, aparte de no usar la misma combinación para todos los sitios web, aconseja usar contraseñas con un mínimo de ocho caracteres, que contengan algún tipo de símbolo diferente aparte de las tradicionales letras minúsculas y mayúsculas, números o signos de puntuación. Además, para los sitios web que gestionan datos sensibles, se aconseja que la longitud mínima sea de doce caracteres. Lo apuntaba un extenso decálogo sobre seguridad destinado a usuarios digitales publicado por los Estudios de Informática, Multimedia y Telecomunicación de la UOC en 2014, que también aconsejaba no usar palabras del diccionario ni relacionadas con los datos personales como el nombre, la fecha de nacimiento o el domicilio, y no guardar la contraseña en la memoria del navegador.
También es partidario de cambiar a menudo todas las contraseñas que tengamos, cada medio año aproximadamente, y de utilizar un gestor de contraseñas para evitar tenerlas apuntadas en un papel o en el bloc de notas del ordenador, o tener que recordarlas. En este caso, la única que habrá que retener es la que usamos para entrar en el gestor, que la podemos tener en el móvil o en el ordenador.
Serra también recomienda activar un segundo factor de autenticación siempre que sea posible. Esto permite, por ejemplo, que si entras en el correo desde una ciudad, una IP o un ordenador que no son los habituales, recibirás un mensaje en el móvil con un código que deberás introducir para poder acceder a tu correo electrónico. Así, aunque nos roben la contraseña, no podrán entrar en el servicio, ya que el ladrón no dispondrá de este segundo código, que solo recibirá el usuario en su móvil.
Además, también es partidario de usar un correo para trabajo o para las amistades y crear uno nuevo para acceder a foros, a juegos en línea y, en definitiva, para navegar por internet.
¿Cómo saber si estamos afectados?
La página web https://haveibeenpwned.com/ permite comprobar si estamos afectados y si nuestras contraseñas han sido filtradas alguna vez en internet. Serra explica que cualquier persona que tenga al menos una contraseña en línea puede ser víctima de chantaje.
Periódicamente los ciberdelincuentes filtran millones de contraseñas en internet. Redes tan populares como Dropbox, Adobe, LinkedIn, Tumblr, Baddoo, Gmail, Twitter o PlayStation han sido víctimas de robos de información de usuarios en los últimos años.
Uno de los casos más sonados se produjo en 2015 cuando se revelaron más de 35 millones de contraseñas de la red Ashley Madison, que ponía en contacto a personas que ya tenían pareja.
La red social Adult Friend Finder fue pirateada hace un par de años y puso al descubierto datos personales de más de 339 millones de cuentas. A finales de 2017, la empresa de ciberinteligencia española 4iQ encontró en la web oscura 1.400 millones de contraseñas robadas, lo que se convertía en la mayor filtración ocurrida hasta entonces.
A pesar de estos casos, Serra explica que nunca se ha detenido a nadie por un chantaje de contraseñas.