Comparte este artículo
TIEMPO DE LECTURA: 6 MINUTOS
Autor: Said Ramírez Hernández. Red Team Lead, ARSEN Compañía.
Índice de contenido
- ¿Por qué es importante saber cómo crear una contraseña segura?
- Consejos sobre cómo crear una contraseña segura
1. ¿Por qué es importante saber cómo crear una contraseña segura?
Hoy, más que nunca, el uso de las plataformas digitales se ha convertido en una pieza clave en nuestra vida diaria, ya sea para la realización de nuestras actividades del trabajo o de la escuela, o simplemente como un medio de entretenimiento para distraernos de lo pesado que ha sido nuestra jornada o para la compra de algún producto que necesitamos. Cualquiera que sea la razón, sólo nos basta con abrir un navegador o una aplicación, iniciar sesión, dar unos clics y listo.
Los mecanismos de autenticación en su forma más común (usuario + contraseña) han existido por años, y muchos mitos se han construido a su alrededor, a tal grado que las organizaciones establecen políticas de seguridad (algunas veces absurdas) para que sus usuarios establezcan contraseñas “seguras” en vez de centrar sus esfuerzos en temas de capacitación en materia de seguridad de la información, sin darse cuenta de que con esto sólo favorecen la adopción de las malas prácticas.Por esta razón, aquí hay algunos consejos que te ayudarán a fortalecer la seguridad de tus contraseñas y a proteger tu información de una mejor manera:
2. Consejos sobre cómo crear una contraseña segura
Complejidad
Por muchos años se ha establecido que emplear caracteres alfanuméricos y especiales es la mejor forma de crear una contraseña. Esto hasta cierto punto es parcialmente correcto.
En vez de utilizar una contraseña compleja, es mucho mejor utilizar frases de contraseña. Es decir, en vez de emplear contraseñas como “P@$$w0rd” o peor aún, “1234567890”, utiliza una frase que te sea fácil de recordar y que sea difícil de adivinar, como por ejemplo “LasZucaritasSonRicas”.
De esta manera, reduces la probabilidad de que ésta pueda ser obtenida a través de un ataque de diccionario o de fuerza bruta. Además, evita el uso de patrones predecibles, palabras que aparezcan en un diccionario, el nombre del mes o de la empresa seguido del año, el nombre de tu mascota o una fecha memorable, entre otras.Almacenamiento
Por nada del mundo guardes las contraseñas en lugares inseguros como notas adhesivas, libretas, navegadores web, archivos de texto plano generados en un bloc de notas, procesadores de texto, hojas de cálculo o una aplicación de notas. Si lo haces, al menos protégelos con una frase o mediante un mecanismo de cifrado.
Como anécdota, el año pasado me tocó realizar un servicio de pruebas de penetración para una organización de talla internacional. Después de acceder al equipo de un usuario, me puse a navegar en sus documentos y encontré una carpeta llamada “Keys”, la cual contenía tres documentos: “Master.kdbx” (archivo usado por el gestor de contraseñas KeePass), “master key.pdf” (archivo con la contraseña maestra para poder abrir el archivo mencionado anteriormente) y “Master.csv” (un archivo separado por comas con la misma información almacenada en el gestor).
Afortunadamente para mí (y para desgracia de la organización), el usuario resultó ser un gerente de infraestructura: el archivo contenía todas las llaves del reino, por lo que tanto su infraestructura interna como en la nube, fue asequible en su totalidad.Autenticación de Múltiples Factores
La más conocida es la Autenticación de Doble Factor (2FA), mecanismo que permite que un usuario valide su identidad mediante algo que es (usuario), algo que conoce (contraseña) y algo que tiene (One-Time Password u OTP).
Este OTP, usualmente es enviado a través de un mensaje de texto SMS o de correo electrónico, o generado de forma dinámica con un tiempo de vida finito (treinta segundos, por lo regular), a través de un dispositivo físico como el que es usado por algunos bancos o mediante una aplicación, como Google Authenticator, Microsoft Authenticator y Okta Verify, entre otros.
En lo personal, prefiero utilizar una aplicación en mi dispositivo móvil. De esta manera, elimino la dependencia de la cobertura de mi proveedor de telefonía celular, así como las fallas en el diseño del protocolo SMS (debido a que éste no fue diseñado bajo un esquema de seguridad) o del acceso a una red de datos que me permita consultar mi correo electrónico.
Si no sabes si un sitio o aplicación admite la autenticación de doble factor, busca en Internet “2FA NOMBRE_SERVICIO_O_APLICACIÓN” y te aparecerán los resultados para realizar este procedimiento. Es importante mencionar que la configuración del 2FA no te hará inmune a que un actor de amenaza pueda obtener tu contraseña y acceder a tu información; pero si es una capa extra de seguridad.Notificaciones de seguridad
Algunos servicios o aplicaciones permiten el envío de notificaciones de seguridad cuando suceden eventos críticos, como nuevos inicios de sesión (tanto exitosos como fallidos) o cambios de contraseña. Dichos servicios te permitirán actuar de una manera más rápida ante eventos inusuales.
Te recomiendo visitar la sección de seguridad de cada uno de los servicios digitales que utilizas y realizar los ajustes necesarios.Reutilización
No utilices la misma contraseña en más de un sitio, es mejor si creas contraseñas por sitio o aplicación. De esta forma, en caso de que tus credenciales llegasen a ser vulneradas, reducirás la superficie de impacto a únicamente la información que se encuentra almacenada en el sitio afectado.
Gestor de contraseñas o llavero
Existen herramientas que ayudan a almacenar tus contraseñas y notas importantes de forma segura, sin importar si se trata de un dispositivo móvil o una estación de trabajo. Incluso, pueden llegar a ser multiplataforma.
Algunas son de tipo open source, como KeePass, ButterCup, LessPass, mientras que otras son de tipos comercial como 1Password u ofrecen un modelo freemium en el que tienes una funcionalidad básica limitada y las funcionalidades más avanzadas tienen un precio.
O si lo prefieres, otras ya vienen incluidas en el sistema operativo del dispositivo como el Keychain de Apple, Samsung Pass o Google Smart Lock para dispositivos Android por mencionar algunos.Uso
Las contraseñas son algo muy personal. Evita compartirlas con otras personas. Si por alguna razón lo tienes que hacer, realiza un cambio antes de proporcionarla y vuélvela a cambiar cuando ya no la utilicen.
Cambio de contraseña
Cambiar la contraseña de forma constante no es lo ideal, ya que eventualmente terminarás adoptando una las malas prácticas anteriormente mencionadas. Las organizaciones adolecen de esto debido a que exigen a sus usuarios adoptar una política compleja y restrictiva.
Cambia tu contraseña cuando consideres o identifiques que tu cuenta ha sido comprometida en alguna divulgación, o hazlo de forma regular para aquellos servicios críticos como los bancarios, las aplicaciones de inversión u otros que consideres pertinente.Nada es seguro
Aunque sigas estos consejos, nunca sabes lo que está del otro lado. Desde el punto de vista de ciberseguridad, ningún sistema es 100% seguro y casi nunca sabes lo que está detrás.
Es decir, no sabes si la aplicación o el sitio web fueron programados de forma segura; no sabes qué controles utilizan para el resguardo de la información; tampoco si aplican un cifrado a la información almacenada en la base de datos, si cuentan con las actualizaciones de seguridad más recientes o si su infraestructura tecnológica está obsoleta.
Aunque sea la organización más grande del mundo, no quiere decir que sea impenetrable: todo es contextual y cada día existen nuevas vulnerabilidades de seguridad que los podrían afectar y derivar en una divulgación de información.
Existen muchos sitios, como Have I Been Pwned, que te indican si tu cuenta ha sido vulnerada en alguna brecha de seguridad. Una funcionalidad similar es la que viene embebida en los navegadores web como Firefox Monitor, Password Monitor en Microsoft Edge o Password Monitoring de Apple. Como un buen amigo me dijo alguna vez, “la seguridad es un estado mental, si tú crees que estás seguro y adoptas las mejores prácticas, no tendrás de qué preocuparte”. Espero que esta información te sea útil y la pongas en práctica. Conviértete en la primera línea de defensa para salvaguardar la información, sin importar si ésta es de uso personal o pertenece a tu trabajo o escuela.
Numeralia de interés:
- Cada usuario tiene en promedio 85 contraseñas, entre cuentas de trabajo y personales.
- Fuente: nota web en Forbes.com
