En muchos de los servicios y herramientas que utilizamos hoy en día en nuestro entorno digital, la contraseña es la última línea de defensa que separa nuestros datos de los ciberdelincuentes. Tenemos tendencia a buscar nuestra comodidad y reutilizamos las contraseñas, posponemos cambiarlas, las hacemos demasiado evidentes o fáciles de deducir…
Debemos concienciarnos de la importancia de crear contraseñas más seguras. Confiad en nosotros cuando os decimos que el “sacrificio” y “esfuerzo” que supone crearlas y cambiarlas regularmente es pequeño en comparación con los perjuicios que pueden provocar el no hacerlo. Eso no implica que no haya métodos más llevaderos para crear contraseñas seguras y gestionarlas, y por eso los vamos a compartir con vosotr@s.
Pero, ¿Cómo consiguen vulnerar nuestras contraseñas?
Tal vez el primer paso para interiorizar como crear contraseñas seguras y crear unos hábitos “saludables” al respecto, sea estar informado sobre las tácticas que se utilizan para vulnerarlas:
- Fuerza Bruta: Este tipo de ataque intenta de manera secuencial todas las combinaciones posibles de caracteres hasta dar con la contraseña adecuada. Si algo aprendemos de este tipo de ataque es que la longitud de una contraseña es importante, puesto que cada carácter adicional multiplica exponencialmente las posibles contraseñas. Así que, en el caso de las contraseñas, cuanto más larga mejor.
- Diccionario: Como su nombre indica, este ataque intenta contraseñas probando contraseñas que ya se encuentran almacenadas en un archivo o base de datos. Una de las mejores tácticas para neutralizar este tipo de ataque consiste en no utilizar nunca una palabra común como contraseña, sino componerla de varias palabras (a ser posible no relacionadas entre sí).
- Phising (o cualquiera de sus variantes): Por medio de este sistema los ciberdelincuentes trataran de engañarnos para que seamos nosotros mismos quienes les demos acceso a nuestras contraseñas. Lo más habitual es hacernos llegar un mensaje (email, sms, etc…) suplantando a una persona o empresa que pueda ser de nuestra confianza, y que contenga un enlace a una web donde se nos solicite introducir nuestras credenciales, o nos sugiera descargar un software que las sustraiga directamente de nuestros dispositivos.
En este caso lo mejor será usar el sentido común y no hacer caso de este tipo de mensajes. En cualquier caso, podéis acudir al artículo en el que tratamos este mismo tema en profundidad: » Los ciberataques «aparentemente» menos sofisticados, Phishing, Smishing, Vishing.»
- Brechas de seguridad en servicios: Por desgracia no siempre depende solo de nosotros mismos que nuestras contraseñas estén a buen recaudo. Cada vez son más las noticias de empresas que prestan servicios y cuya seguridad ha sido vulnerada, filtrándose así las credenciales de sus clientes. Dichas empresas avisarán a sus clientes e incluso les impondrán un cambio de contraseñas, pero claro… esto sucede solo una vez descubierta la brecha de seguridad.
- Cambiar las contraseñas periódicamente.
- Tratar de utilizar contraseñas diferentes para cada servicio en el que estemos registrad@s.
- No seamos inocentes: Escapemos de lo obvio. No debemos usar secuencias de números o letras. Por favor, nada de una contraseña que contenga “contraseña” o “password”. También es aconsejable evitar incluir información personal fácil de averiguar en caso de que sea un ataque dirigido a una persona en concreto (fechas de nacimiento, apellidos, ciudades de residencia, etc…).
- Evitar contraseñas vulnerables a ataques de fuerza bruta: Teniendo en cuenta cómo funcionan los ataques de fuerza bruta, deberíamos seguir ciertas pautas para neutralizarlos:
Crear una contraseña larga es crucial. Un mínimo de entre 12 y 15 caracteres puede considerarse una contraseña aceptable.
Mezclar caracteres, numéricos, mayúsculas, minúsculas, caracteres especiales…
Evitar sustituir letras con sistemas conocidos como por ejemplo usando “B1LB40” en lugar de “BILBAO”.
- No se lo pongamos fácil a los ataques por diccionario: Como ya hemos mencionado antes, nada de una simple palabra. Aunque viene relacionado con uno de los puntos anteriores, “ESTERNOCLEIDOMASTOIDEO” sigue siendo una única palabra y, por tanto, susceptible de que se encuentre en un “diccionario de passwords”.
¿Interesado en ampliar información sobre Ciberseguridad?
Contacta con nosotros y un consultor especializado te explicará los servicios y soluciones más adecuados para los principales riesgos emergentes en esta área
Solicitar más información
Métodos, ejemplos y consejos prácticos
En Semantic Systems sabemos una o dos cosas sobre ciberseguridad, y tenemos algunos métodos que pueden serviros para crear contraseñas seguras, pero a la vez fáciles de recordar.
Una buena idea puede ser, por ejemplo, crear contraseñas compuestas por palabras en diferentes idiomas que conozcamos y nos resulten a su vez familiares. Obviamente sería necesario incluir también números y caracteres especiales. ¿Qué posibilidades tendría un hacker de descifrar una contraseña como “2TxuletonesOfVasqueTernera!”?
Otra buena opción puede tratarse de tomar una frase que conozcamos, y crear una contraseña ininteligible utilizando solo las primeras letras de las palabras que componen dicha frase, siempre “aderezándolas” con otro tipo de caracteres. Como por ejemplo “1969Micameloro-Esdero1969” (Mi carro me lo robaron estando de romería, compuesta en 1969).
Seguro que con estas pautas ya empieza a volar vuestra creatividad para conseguir unas contraseñas más seguras. Pero somos conscientes de que es un ejercicio que puede resultar arduo en ocasiones. Por suerte hay algunas herramientas que nos pueden facilitar la vida como generadores automáticos de contraseñas seguras (donde podemos jugar con el nivel de complejidad que deseemos) y softwares y servicios de gestión de contraseñas.El consejo definitivo para securizar las contraseñas
Cabe la posibilidad de que, aun siguiendo todas estas pautas y consejos, nuestras contraseñas acaben siendo vulneradas. Por eso desde Semantic Systems recomendamos que en todos vuestros servicios tanto personales como corporativos, implementéis una solución de MFA (Multiple Factor Authentication).
Hay muchas herramientas que traen su propia solución, pero desde nuestro departamento de ciberseguridad podemos asesoraros e implementar en vuestros servicios, sistemas y herramientas una solución única de este tipo para apuntalar la seguridad y los accesos a vuestra información.
También te puede interesar leer el ebook tecnológico: Los mejores artículos de ciberseguridad de Semantic Systems
Iagoba Diaz
Analista de Ciberseguridad en Semantic Systems
¿Qué podemos hacer para adelantarnos a dichas situaciones? Las 2 principales respuestas son:
También hay diferentes webs donde podemos consultar si nuestras direcciones de correo y sus respectivas contraseñas han sido vulneradas en algún servicio online como por ejemplo https://haveibeenpwned.com/
La anatomía de una contraseña segura
Ahora que sabemos cómo nos roban las contraseñas, sabemos mejor como crearlas a prueba de dichos ataques. Se puede conseguir fácilmente siguiendo estos consejos: