La lista es producto de una base de datos de 3TB que contiene contraseñas que quedaron expuestas en algún tipo de incidente en lo que va del año. Así, los investigadores crearon una lista que indica no solo cuántas veces fue utilizada esa misma clave, sino además cuánto tiempo demoraría el que sea descifrada a través de algún ataque.

¡Y la buena noticia! 12345 ya no es la contraseña más utilizada en el mundo. En vez de eso, la corona a la pereza digital la tiene password, que significa en inglés contraseña (y no es necesaria la traducción para entender porque no es segura) y toma menos de un segundo en ser descifrada.

Los siguientes lugares en el top mundial son los siguientes:

1: Password

2: 123456

3: 123456789

4: guest

5: qwerty

6: 12345678

7: 111111

8: 12345

9: col123456

10: 123123

El informe de Nordpass también hace una distinción de las contraseñas más utilizadas por país. Nuevamente en Colombia la número uno es 12345. También vemos a colombia2020 y colombia (agradecemos el espíritu patriótico, aunque no la irresponsabilidad), así como nacional dentro de las contraseñas vulneradas.

Este es el top de contraseñas usadas en Colombia

1: 123456

2: password

3: 123456789

4: 12345678

5: 12345

6: 1234

7: 1234567

8: 1234567890

9: 54321

10: guest

El que las contraseñas más usadas sean números consecutivos no es nuevo. No solo se trata de un chiste común entre los expertos de seguridad, sino de una costumbre que por desgracia permanece hasta ahora. “Lo que muestra esto es un patrón que muchas veces siguen las personas a la hora de elegir una contraseña para que sean fáciles de recordar. Sin embargo, esto las convierte en fáciles de predecir. Sobre todo, en ataques de fuerza bruta automatizados en los que los cibercriminales utilizan software para probar múltiples combinaciones de direcciones de correo y contraseñas en segundos.”, destaca Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Por supuesto, tampoco funciona el tener una contraseña segura, pero compartirla entre múltiples cuentas. La razón es que solo uno de estos perfiles necesita ser vulnerado para que luego los ladrones informáticos tengan acceso a toda su información. La recomendación es utilizar algún administrador de contraseñas que le permita diversificar las que utiliza, pero al mismo no requiere el tener una memoria fotográfica para las decenas de perfiles, cuentas y servicios digitales que utilizamos hoy. 

Imágnes: Foto de Miguel Á. Padriñán

Sin embargo, este administrador a diferencia de otros existentes, no cuenta con una aplicación nativa; de hecho, funciona más como un servicio de ‘autocompletado’ que como un administrador de contraseñas independiente. Para acceder a él debes ingresar desde la configuración del teléfono, pero, para fortuna de todos, esto está cambiando. Gracias a la última actualización del sistema de Google Play, la compañía de Mountain View agregó un acceso directo para el Administrador de contraseñas. Te contamos cómo puedes establecerlo en la pantalla de inicio de tu teléfono.

Desde tu celular ingresarás a la configuración del sistema; en algunos teléfonos se encuentra como ‘configuración’ en otros como ‘ajustes’. En el menú debes buscar la sección ‘privacidad’, cuando ingreses aquí encontrarás la opción ‘autocompletar servicio de Google’. Al pulsar esta opción te encontrarás con la cuenta de Google que tienes abierta en el dispositivo y las diferentes categorías de información almacenada en el administrador de contraseñas.

Te puede interesar: ¡Finalmente! WhatsApp permitirá migrar tus datos de Android a iOs

Entre esas opciones encontrarás el botón ‘contraseñas’, en esta sección encontrarás las credenciales para iniciar sesión en diferentes aplicativos que están guardadas en el sistema. En la esquina superior derecha encontrarás un ícono de configuraciones, al entrar encontrarás u nuevo menú donde verás la opción ‘agregar acceso directo a su pantalla de inicio’. Recuerda que debes confirmar el acceso directo tocando ‘agregar’ nuevamente.

Y listo, ahora verás en tu pantalla de inicio el atajo para ingresar a las contraseñas que has almacenado en el administrador. Debes tener en cuenta que si tienes varias cuentas de Google sincronizadas con tu teléfono deberás seleccionar la cuenta principal cada vez que utilices el acceso directo para acceder al administrador de contraseñas.

Imagen: Pixabay

Si nunca habías hecho la cuenta de cuántas claves tienes y te sorprendió saber el número, es quizás porque utilizas las mismas para poder acceder a un sinnúmero de sitios web, de lo contrario, sería casi imposible que recordaras casi un centenar de combinaciones diferentes (a menos de que las tengas anotadas todas en una libreta o en una hoja de Excel, tal y como lo hace el 49 % de los usuarios en Internet).

Qué es y para qué sirve un gestor de contraseñas

Un gestor de contraseñas es una plataforma cifrada que almacena todas tus credenciales de acceso a Internet. La ventaja del uno de uno de estas aplicaciones es que puedes establecer diferentes combinaciones con variedad de caracteres y claves verdaderamente robustas para cada sitio web, pues la plataforma las recordará automáticamente por ti. Esto significa un beneficio para los usuarios ya que, entre más contraseñas tengan, más insegura se puede volver su administración.

Eso sí: si te decides a usar algún gestor, debes saber que la única contraseña que deberás recordar es justamente la de esa plataforma, pues esa es la manera de comprobar que eres tú quien quiere iniciar sesión en algún sitio web que así lo requiera.

Las mejores plataformas para administrar tus claves

Actualmente, las grandes compañías como Google, Apple y Microsoft se están despidiendo de este sistema tradicional de contraseñas alfanuméricas por su complejidad y por lo vulnerable que se ha vuelto con el tiempo, sin embargo, mientras se hacen universales los sistemas basados en datos biométricos, te dejamos tres administradores que cuentan con versiones de prueba o gratuitas que puedes ensayar si decides establecer una contraseña para cada servicio que utilizas.

• 1Password: Compatible con Windows, macOS, iOS, Android, Linux y Chrome OS, esta aplicación que puedes probar por 30 días sin costo alguno, funciona a partir de una clave secreta privada basada en la contraseña maestra del usuario u contraseña, para cifrar y autenticar sus datos. Este detalle hace que al información sensible no se pueda comprometer, incluso si otra persona intenta acceder a algún sitio web con tus credenciales desde cualquiera de tus dispositivo.
• Dashlane: Al igual que 1Password, este gestor de contraseñas no es gratis, pero cuenta con una versión de prueba que te deja almacenar hasta 50 claves. Una de las características particulares de este administrador es que es capaz de monitorear la dark web con el fin de alertarte en el caso de que tus datos se hayan filtrado o incluso vendido.
• LastPass: Este es un administrador que cuenta con versión paga y gratuita. Si decides utilizarlo y no quieres pagar, aún esta plataforma te brinda bastantes ventajas, pues en su plan gratuito te permite almacenar una cantidad ilimitada de claves en diferentes dispositivos al tiempo. Este gestor, que también funciona con aquellos sitios que exigen autenticación de doble factor, es compatible con Windows, macOS, iOS, Android y Linux.

Imágenes: Unsplash

Google Assistant being able to change breached passwords >>>>> pic.twitter.com/Dfcnvhs1S5

— Max Weinbach (@MaxWinebach) May 3, 2022

La nueva opción ya había sido anunciada en el 2021 y comenzó a desplegarse lentamente en noviembre de ese mismo año, por lo cual desde entonces estaba claro que el sistema iba a funcionar con alertas que Google enviaría a sus usuarios con el fin de que el Asistente los pudiera llevar directamente a las páginas web comprometidas y allí cambiar sus contraseñas sin mayores inconvenientes.

Por supuesto la función también usará el administrador de contraseñas integrado de Chrome para generar y almacenar nuevos detalles de inicio de sesión.

Te puede interesar: ¿Se acerca el fin de las contraseñas? Microsoft y Google creen que sí

Además de lo anterior, The Verge reporta que una nueva características del Asistente de Google es que cuando Chrome en Android detecte que una contraseña usada ha sido hackeada, ofrecerá la opción de cambiarla automáticamente. Para activar esta función, el usuario deberá confirmar el permiso que le otorga al Asistente para ayudarlo a cambiar la clave vulnerada.

Actualmente, para saber si las contraseñas de acceso a otros sitios y servicios web que tienes guardadas de forma automática en Google aún siguen siendo seguras, debes dirigirte a la configuración de tu cuenta y seleccionar, en el panel izquierdo, la opción de “Tú y Google” y luego escoge “Administrar tu cuenta de Google”. Una vez realizados estos pasos ingresa a la opción de “Tienes recomendaciones de seguridad”, de esta forma el buscador te entregará información sobre las contraseñas que usas repetidamente, las que son inseguras y las que han sido hackeadas.

Imágenes: Unsplash

Debido al incremento en el robo y suplantación de contraseñas por medio del registro de las mismas en cuentas como Google, la compañía decidió trazar un plan para prescindir de ellas. A cambio permitirá que inicies sesión en los sitios webs o aplicaciones que lo requieran exclusivamente con tu huella dactilar. De esta manera, Google se asegura de que solamente tú podrás iniciar sesión.

Actualmente, Google cuenta con un almacenamiento de contraseñas, las cuales, generalmente almacenan más contraseñas de la que crees; la seguridad que nos brinda es que estas quedan guardadas en un área privada. El beneficio de esto es que iniciar sesión en webs desde el navegador de Google es muy sencillo; por su parte, en las aplicaciones también te puedes autenticar fácilmente gracias a las contraseñas almacenadas.

Aunque la compañía de Mountain fue quien anunció este nuevo movimiento, no es la única que lo implementará. Microsoft y Apple también se están sumando a esta iniciativa, la cual integrarán en sus respectivos sistemas operativos, aplicaciones y navegadores. Finalmente, el objetivo de esto es simplificar el inicio de sesión desde cualquier dispositivo.

Te puede interesar: Así puedes reconocer un archivo sospechoso en Google Docs

Para llevar esto a la realidad, los celulares almacenarían una credencial FIDO, una clave de acceso con la que se desbloquearía el inicio de sesión en general. Según Google, esta clave se basa en criptografía de clave pública, la cual nos permite acceder únicamente cuando desbloqueemos el móvil.

“Para iniciar sesión en una web desde el ordenador, solo necesitaremos tener el teléfono a mano, ya que se nos pedirá que lo desbloqueemos para poder acceder. Después de hacerlo, ya no volveremos a necesitar el teléfono y podremos iniciar sesión simplemente desbloqueando el ordenador.” Google.

Las claves de acceso FIDO se sincronizarían con la cuenta de Google, de manera que puedas acceder aun cuando pierdas el teléfono. En caso de que esto suceda, Android podrá volver a sincronizar las credenciales en tu nuevo celular gracias al respaldo de seguridad. La compañía aun no mencionó fechas, por lo que no sabemos si podremos esperar la nueva función pronto. Estaremos atentos a próximos anuncios.

Imagen: Google

Una estimación hecha por NordPass, que es una empresa administradora de contraseñas, asegura no solo que, en 2022, cada internauta cuenta con un promedio entre 70 y 80 claves, sino que desde el inicio de la pandemia, el número de contraseñas creadas por usuarios ha crecido un 25 %. Piensa en tu experiencia: entre tus redes sociales, tus correos, tus cuentas bancarias, tu servicio de salud, tu plataforma de videollamadas, tu plataforma de servicios móviles, tus servicios de streaming, etc. ¿Cuántas contraseñas usas?

Te puede interesar: Estas fueron las 25 contraseñas más usadas en 2021

Entre más contraseñas haya, más insegura se vuelve su administración (y más aún cuando estas son repetidas). De hecho, un estudio de ESET Latinoamérica del 2021, asegura que al menos el 49 % de los usuarios en Internet anota sus claves para olvidarlas. Por razones como esta es que gigantes tecnológicos como Google, Apple y Microsoft están apostando a otro tipo de identificación que pueda ser no solo más segura, sino además, más conveniente y menos costosa.

La compañía fundada por Bill Gates, por ejemplo,  anunció el pasado 2 de marzo que su nueva forma de autenticación, sin contraseñas alfanuméricas, ya estaba disponible para las cuentas de todos sus clientes. Se trata del ‘Pase de acceso temporal’, el cual funciona como un código de acceso que está disponible por tiempo limitado y que se puede usar para configurar claves de seguridad sin tener que recordar una contraseña.

La autenticación biométrica, que ha popularizado Apple con su reconocimiento manual; el uso de huellas dactilares o la aplicación de un código único autogenerado por las mismas empresas, son parte del futuro que abrazarán las grandes compañías para eliminar de sus cuentas, y de una vez por todas, el uso de contraseñas inseguras, que no solo se vuelven cada vez más numerosas, sino que, cuando no son difíciles de recordar, están mal diseñadas, poniendo en riesgo la seguridad online de los usuarios.

Imágenes: Unsplash

Recientemente, Firefox anunció una función que permitirá guardar y autocompletar contraseñas para aplicaciones del sistema Android. De esta forma será más fácil, sencillo y seguro poder iniciar sesión en las apps.

Esta nueva actualización es muy parecida a las disponibles por Google Chrome. Para usarla lo único que hay que tener en cuenta es que al momento de obtener una aplicación en los dispositivos Android, se podrá agregar una nueva contraseña o guardarla directamente en el navegador Firefox.

También puede leer: Firefox: la nueva versión evita seguimiento en múltiples sitios

Esta contraseña estará disponible automáticamente tanto en dispositivos móviles como en computadoras de escritorio. Así, se podrá autocompletar cualquier contraseña que haya sido guardada desde el navegador:

1. Crea una cuenta o agrega una contraseña para cualquier aplicación en su dispositivo móvil y guárdala directamente en el navegador Firefox.

2. Completa de forma automática y fácil la contraseña en el teléfono y usa cualquier contraseña que haya guardado en el navegador para iniciar sesión sin importar la cuenta, por ejemplo, Twitter o Instagram.

Además, el navegador anunció que sigue apostándole a la seguridad biométrica por lo que se podrán desbloquear las contraseñas o iniciar sesión con la huella digital o el rostro del usuario.

Todas estas funciones, según el navegador en un comunicado oficial, estarán disponibles a partir del martes 5 de octubre de 2021 con la última versión de Firefox en Android.

Imágenes: Mozilla- captura de pantalla

También será más fácil ingresar a las cuentas en tu dispositivo Android. Por ejemplo, ahora puedes ingresar a una cuenta de Gmail o de YouTube y luego podrás acceder a todos los demás servicios solo presionando un botón.

Te puede interesar: Google Play Music está muerta, larga vida a YouTube

Quizás uno de los cambios más importantes estará en la versión de escritorio. Ahora, si tienes el navegador de Chrome abierto con una cuenta de Google, al momento de ingresar una contraseña podrás elegir entre guardarla solo en el dispositivo que estás utilizando o guardarla en la cuenta de Google de modo que tengas acceso a ella en todos los dispositivos. Es una opción útil si, por ejemplo, manejas plataformas solo en un computador de negocios y prefieres que esa información esté aislada de tus otros dispositivos.

Muchos conocen las ventajas de tener la información sincronizada de las cuentas de Google. Al cambiar de celular permite tener acceso a todos los perfiles sin la necesidad de recordar cada una de las contraseñas utilizadas en las diferentes redes sociales. Así, los cambios más recientes pueden no ser muy llamativos, pero sí ofrecen pequeñas mejoras en la experiencia de uso.

Google confirmó que se trata de un lanzamiento escalado y que las actualizaciones llegarán “en las próximas semanas”.

Imágenes: Google

Investigadores de CyLab Usable Security and Privacy Laboratory de la Universidad Carnegie Mellon aseguran que esto no es suficiente. Básicamente porque seguimos usando patrones descifrables –que nos ayudan a recordarla–, pero que los criminales cibernéticos puedes aprovechar. “Las personas se aseguran de pasar todas las necesidades, pero muchos seguimos los mismos patrones y esto es lo que nos hace un blanco fácil. Por ejemplo, números al final o la primera es la mayúscula”, explicó Lorrie Cranor, director del laboratorio

También te puede interesar: Password Checkup, de Google te dice si tu contraseña fue hackeada

Por eso,  Cranor y su equipo propusieron un sistema que les permite a los usuarios de sitios web crear contraseñas más seguras dando consejos de cómo mejorarla una vez el usuario la crea. De este modo, ¡los amantes de “StarWarsLaMejor9!” podrán recibir consejos para mejorar, pero seguirla recordando.

Mientras que el laboratorio de seguridad espera que los sitios web puedan adquirir esta herramienta como un estándar para brindarle mayor seguridad a sus usuarios, Cranor les recomienda a todos usar administradores de contraseñas para crearlas y recordarlas.

Imagen: Stories (Vía Freepik).

Es un riesgo porque, por más segura que sea una contraseña, en caso de que esta sea filtrada o vulnerada y llegue a la Internet, puede ser la puerta para que alguien tenga acceso a todos los servicios.

“Sabemos por otra investigación que hemos realizado en el pasado que las personas que han expuesto sus datos por una violación de datos tienen 10 veces más probabilidades de ser secuestradas que una persona que no está expuesta por una de estas violaciones”, dijo Kurt Thomas, miembro del equipo de investigación contra el abuso y la seguridad de Google.

Te puede interesar: Chrome bloqueará tus descargas inseguras

Pero el gigante de Internet está buscando maneras de que sus usuarios sean más proactivos al momento de proteger su información. El año pasado lanzó su Extensión de Revisión de contraseña para Google Chrome. De manera sencilla, es una herramienta que compara la contraseña de ingreso con una base de datos de más 4 mil millones de contraseñas que han sido filtradas en la Internet.

Por supuesto, al ser una herramienta opcional para los usuarios de Chrome, son pocos aquellos que han agregado la opción a su navegador. Una oportunidad perdida para Google, que asegura que comenzará a integrar la extensión como una herramienta en Menú de Seguridad de cada cuenta de Google.

Para hacer esta revisión de cuentas que comparten contraseña, sin tener que instalar la extensión o si estás usando un navegador diferente a Crome tienes dos opciones. Puedes ingresar a este enlace y acceder a la opción del fondo ‘llamada ‘Revisión de contraseña’.

La segunda opción es ingresar a tu cuenta de Google (puedes hacerlo desde tu correo, al seleccionar tu foto de perfil y luego la opción ‘Gestionar Cuenta de Google’), luego la opción que dice ‘Mantenemos tu cuenta segura’ o ‘Encontramos problemas de Seguridad’. Es posible que tengas que ingresar de nuevo, para verificar que tienes acceso a la cuenta en cuestión.

El navegador verificará las contraseñas guardadas en la cuenta y te dirá: si tienes alguna contraseña que esté comprometida,  cuántas de ellas son usadas en más de una instancia y cuáles cuentas cuentan con una que sea poco segura.

Imágenes: Capturas de pantalla

Ahora hay una app para que puedas compartir la contraseña de servicios como Netflix, sin dar acceso a otra información. Se llama Jam y se lanzó en una beta privada esta semana. La base del servicio es que permite al usuario el guardar la información de ingreso de estas plataformas, usando encriptación local. Luego puedes añadir amigos y permitirles el acceso a la contraseña para algún servicio.

La idea es que la aplicación sea gratuita y parece que su modelo quiere, a futuro, servir como una plataforma para construir cuentas compartidas de servicios. De esta manera, por ejemplo, podrías pagar entre varias personas un servicio como Spotify y Disney+. Algo que, de hecho, es una práctica bastante común, con lo que lo único que haría Jam es facilitar la tarea. De acuerdo a un estudio por Hub, cerca del 80% de los usuarios entre 13 y 24 años han compartido sus contraseñas de servicios de streaming.

“La necesidad de Jam era obvia. No quiero saber que el compañero de cuarto de mi ex novia ha estado usando mi cuenta nuevamente. Todos comparten contraseñas, pero para los consumidores no existe una forma segura de hacerlo. ¿Por qué?”, comentó John Backus, fundador de la app, para el portal Techcrunch. “En el mundo empresarial, los administradores de contraseñas del equipo reflejan la realidad de que varias personas necesitan acceder a la misma cuenta, regularmente. Los consumidores no tienen el mismo tipo de sistema, y ​​eso es malo para la seguridad y la coordinación”.

Te puede interesar: Así puedes desactivar la reproducción automática en Netflix

Las dos preocupaciones principales en este momento son la seguridad y la legalidad de la aplicación. Frente a la primera, su fundador afirma que todo lo que es almacenado en Jam se encripta de manera local. De esta manera, el equipo no puede ver las contraseñas y la información de los usuarios no estaría en peligro si la compañía es hackeada. De hecho, una de las cualidades que la app destaca es que ellos no saben las contraseñas o sitios que se están compartiendo.

En cuanto a la legalidad… es otro tema diferente. Las plataformas son conscientes de que sus usuarios comparten sus contraseñas. HBO, de hecho, cree que esta práctica ha ayudado a que muchas de sus series consigan el impacto que desean y creen que el negocio no está necesariamente en el número de suscripciones sino en la popularidad de los contenidos. Netflix ha intentado durante años educar a sus usuarios y ‘amenazar’ con soluciones que bloqueen a aquellos que comparten sus cuentas.

La mayoría de servicios como Spotify de manera clara tiene cláusulas que prohíben compartir las credenciales, a menos de que se compre un plan familiar. Así, Jam abre un nuevo espacio para que estas plataformas entren en una batalla legal. Un conflicto que, considerando que tiene de enemigos a varios gigantes establecidos (Disney, Spotify, Netflix, Amazon), no pinta muy bien para esta app que ofrece una solución para el costo creciente de la ‘dieta del streaming’.

Imágenes: Netflix

En un comunicado a través de su blog, Google afirmó que no todos los usuarios de G Suite habrían sido afectados. Además, aseguró que las empresas que sí lo fueron recibieron una notificación al respecto. Así mismo, dijo que en las investigaciones hechas hasta el momento no encontraron que ninguna contraseña fuera usada de manera indebida.

Aparentemente, la falla se habría originado debido a que los administradores de G Suite podían ponerle una contraseña o cambiársela a las cuentas. Cuando se hacia esto, la consola guardaba automáticamente la información –usuario y contraseña– sin encriptarla.

Debido al error, Google les ha quitado los permisos a los administradores de G Suite para crear o cambiar la contraseña de una cuenta.

“Nos tomamos la seguridad de nuestra empresa extremadamente enserio y nos enorgullecemos de los avances que hemos hecho en la industria para proteger la seguridad de las cuentas. Sabemos que no cumplimos con nuestros propios estándares en esta ocasión, pedimos disculpas por ello y prometemos mejorar”, concluye el comunicado.

Cómo Google guarda las contraseñas

Google incluso quiso explicarles a los usuarios cómo hace para reconocer que una persona escribe la combinación de usuario y contraseña correcta. De este modo, asegura que el sistema fue creado de tal manera que no guarda ningún dato.

Así que para verificar la información de una cuenta de Google lo que hace es usar criptografía. Cuando una persona crea una cuenta, en lugar de recordar letra por letra y número por número, el sistema los mezcla con una función que la empresa llama ‘hash function’ –la traducción más cercana es función de picar– que convierte la información en algo similar a  “72i32hedgqw23328” y eso es lo que Google guarda.

Cuando un usuario entra de nuevo a su cuenta, el sistema hace una especie de mezcla en reversa para asegurarse que los datos y la combinación son los correctos. Google explica que mezclar los datos es fácil, pero deshacer esto y lograr el orden adecuado es casi imposible.

Imagen: natasaadzic (Vía iStock).

Las contraseñas son un elemento con el que debemos convivir en nuestro día a día. Muchos usuarios descuidados utilizan patrones fáciles de adivinar como qwerty123 o el nombre de su mascota. Otros, utilizan secuencias de número, letras mayúsculas, letras minúsculas y caracteres especiales que, en algunos casos, olvidan, pero que al menos son más difíciles de adivinar.

Firefox Lockbox: mejor si ya eres usuario del navegador de Mozilla

Mozilla quiere facilitar el proceso de acordarse de las contraseñas de todos los servicios. El medio The Next Web afirma que, aunque el mercado está abarrotado de administradores de contraseñas, Firefox Lockbox pretende ofrecer un proceso inicial de configuración mucho más sencillo que el de su competencia.

Eso sí, este proceso será más sencillo si quien lo quiere utilizar ya es usuario habitual del navegador de Mozilla. Una vez que se instala la app, esta copia automáticamente las contraseñas de Firefox, lo que ahorrará tiempo a quien ya tenga varias almacenadas.

En su uso normal, las contraseñas que Firefox Lockbox automáticamente rellene no se podrán leer. Eso sí, el usuario podrá acceder a ellas a través del lector de huellas del teléfono o el reconocimiento facial, dependiendo de las opciones de seguridad de su smartphone.

Firefox Lockbox ya está disponible para Android de manera gratuita en la tienda de Google Play. En caso de que tengas iPhone, esta app la puedes descargar en la App Store.

Imágenes: Mozilla. 

Cada uno de nosotros maneja uno, dos y hasta tres dispositivos móviles al tiempo. Esto quiere decir que si hemos sido lo suficientemente precavidos -por cada dispositivo que manejamos- tenemos una contraseña, y si a esto le sumamos las cuentas de correo electrónico y redes sociales que están instaladas en esos dispositivos, estaríamos hablando de más de cuatro claves o contraseñas a la vez.

Pero el tema no se detiene aquí. Se hace aún más complejo cuando también eres el responsable de las cuentas de correo y las redes sociales de tu empresa, una tarea que te hace propenso a incidentes de seguridad por la gran cantidad de información sensible que debes gestionar; y para rematar, los expertos en seguridad te dicen una y otra vez que crees contraseñas únicas y difíciles de adivinar.

¿Cómo puedes recordar todas tus claves y al mismo tiempo evitar convertirte en un riesgo para tu organización? La compañía de seguridad y antivirus ESET recomienda cinco acciones que pueden ayudarte a bajar el número de contraseñas que debes aprender de memoria:

Cerrar las cuentas que ya no se utilizan

Ser meticuloso y cerrar todas las cuentas que ya no se actualizan o a las que ya no se les presta atención, especialmente si contienen información sensible, es una manera de reducir riesgos de seguridad.

Dividir las cuentas en grupos

Es importante dividir las cuentas en dos grupos, las que contienen información importante y las que no. Para el primero se debería aplicar un nivel extra de robustez y complejidad en las contraseñas; una acción no tan necesaria para el segundo.

Establecer contraseñas basadas en frases

Una oración fácil de recordar -utilizando mayúsculas y minúsculas, símbolos especiales y números- se puede recordar más fácil que una combinación aleatoria. Sin embargo, es importante tener cuidado con no caer en frases conocidas de libros o películas, o frases ‘cliché’, que por ser tan comunes serían fáciles de descifrar por un cibercriminal.

Utilizar un gestor de contraseñas

Estos programas guardan múltiples contraseñas y cifran el listado, de tal forma que pueda ser consultado desde allí siempre que lo desees. Para esto, solo es necesario recordar una contraseña maestra, que será la responsable de abrir el listado.

No usar la misma contraseña para múltiples cuentas

Parece obvio, pero es importante mencionar que no se recomienda usar una misma contraseña para múltiples cuentas. De hacerlo, los cibercriminales lo único que tendrían que hacer es dar con esa clave que puede poner en peligro la seguridad de la empresa y robar la identidad del usuario.

Como recomendaciones adicionales, Camilo Gutiérrez -jefe del laboratorio de investigación de ESET Latinoamérica- sugiere que “Para evitar problemas, desde Eset recomendamos tener el sistema operativo y todo el software de los equipos actualizado, y utilizar una solución de seguridad completa que te proteja de malware y otras amenazas que rondan por el ciberespacio. Conocer los riesgos a los que se está expuesto permite tomar las medidas necesarios para disfrutar de la tecnología de manera segura”. 

Imagen: Pexels.

Jeremy Hammond tenía muy buenas razones para usar una contraseña imbatible. Era el sospechoso de un robo de información a la firma de seguridad Stratford, que le ofrecía servicios al Pentágono y a algunas de las más grandes corporaciones de Estados Unidos. Por eso su cabeza tenía un precio alto. Para capturarlo, el FBI tuvo que seguirlo por meses, incluso infiltrándose en sus redes de contactos.

Cuando lo encontraron en su casa, corrió a cerrar su portátil, de modo que toda su información quedara cifrada. Pero su contraseña era muy débil: ‘Chewey123’. Chewey era el nombre de su gato. Él sospecha que por eso los agentes pudieron recoger pruebas en su contra. Hoy paga 10 años de cárcel.

Mark Zuckerberg, el fundador de Facebook, creó un imperio basado en el axioma fundamental de la ética hacker: la pericia informática y la afición por los retos. Igual: sus cuentas –inactivas– de Twitter y Pinterest fueron violadas de la forma más estúpida. Al parecer, ‘Zuck’ usaba su clave de LinkedIn en estos dos servicios, y cuando fueron robadas las credenciales de la red social profesional, los atacantes pudieron acceder a sus otras cuentas.

Si esto le ocurre a gente como a Hammond o Zuckerberg, ¿qué nos puede pasar a usted o a mí? ¿Será que estamos condenados a que nos roben las claves todo el tiempo? Claro: no usamos buenas contraseñas porque son difíciles de memorizar. Y si lo hacemos, lo más probable es que sea la misma en varios servicios. Si ‘grabarse’ una contraseña buena es difícil, grabarse varias es casi imposible. Y, de todos modos, ésta quedaría expuesta tan pronto se la roben.

No usamos buenas contraseñas porque son difíciles de memorizar

Y –no quiero ser ave de mal agüero, pero– digo ‘se la roben’ porque va a pasar. Esos ataques ocurren casi todos los días. Solo en mayo pasado, unas 642 millones de contraseñas fueron hurtadas, según calculó el medio Ars Technica.

¿Qué pasaría si nuestra mala memoria dejara de ser un problema? Como pasaba más tiempo del que me gustaría admitir recuperando las claves que olvidaba todo el tiempo, descargué LastPass, un administrador de contraseñas. Hay otras opciones bastante buenas en el mercado, como Dashlane o Sticky Password.

Ahora, los accesos de todos mis servicios son una cadena de letras, números y caracteres especiales que no quiero ni debo aprender de memoria. Incluso se completan automáticamente en mi navegador o mi móvil. Por eso, puedo darme el lujo de no usar la misma clave en dos servicios diferentes.

En realidad, solo me toca aprenderme una contraseña: la del acceso al administrador. Como tenía que ser segura y fácil de memorizar, opté por una frase larga que no solo es obviamente falsa, sino que no tiene sentido: algo así como ‘el mandarinas con sandalias tienes un color salado’. Con espacios y todo. Ese es un truco común en las decenas de publicaciones que hay en internet sobre cómo crear claves fuertes: si usas combinaciones de palabras muy comunes, es más fácil adivinarlas.

La única vez que he odiado al administrador de contraseñas es cuando me tocó cambiar de móvil. Para poder bajar la app de LastPass me toca ingresar en mi cuenta de Google, y digitar cada caracter sin equivocarse es tortuoso.

Claro, me toca pagar unos cuantos dólares al año. Pero, a cambio, puedo olvidarme de recordar la clave de cada pequeño servicio que uso o he usado. Ese es un problema que tú también has tenido. Y estamos de acuerdo en que la vida es muy corta como para pasarla recordando contraseñas.

Imagen: Psyomjesus (vía Wikimedia Commons)

Tiro al aire es mi columna mensual en la revista ENTER.CO.

Esto hace que pierdan su efectividad: los robos de información y las bases de datos de contraseñas se han vuelto una historia demasiado común. Si uno de esos sitios es atacado, los criminales probablemente terminan con los accesos de varios otros sitios. Y en un escenario particularmente malo, una de esas claves puede ser la del correo electrónico del usuario, lo que facilitaría el proceso de recuperación de contraseñas de otros servicios.

Hay una solución para ese problema: los administradores de contraseñas. Son programas que almacenan todas las claves del usuario en un archivo cifrado con niveles muy altos de seguridad. Éstos generan automáticamente contraseñas únicas y buenas para cada servicio. El usuario puede verlas luego de ingresar una clave maestra. Además, la base de datos cifrada está guardada en la nube y puede ser recuperada o ser vista en diferentes dispositivos. 

Es posible tener contraseñas buenas y usables

Los administradores más populares se han ganado la aceptación de buena parte de la comunidad de seguridad informática, aun despiertan algunas críticas. La principal objeción es que centralizan el riesgo: si la clave maestra se ve comprometida, el resultado puede terminar en desastre.

La funcionalidad clave es que la aplicación no pueda descifrar la base de datos con las contraseñas. Es decir, que no almacene la contraseña maestra y esta solo esté en poder del usuario, y que las claves sean descifradas localmente en los equipos del usuario.

Otras funciones bastante deseables son su compatibilidad con varios navegadores y sistemas operativos móviles; que permita que los usuarios puedan consultar las contraseñas de forma segura sobre varias pantallas; compatibilidad con herramientas de autenticación en dos pasos; y una herramienta de diagnóstico que permita saber si las contraseñas actuales del usuario son fuertes o están repetidas.

Hay varias herramientas de este tipo, pero las más recomendadas son LastPass y Dashlane. Ambas se pueden instalar en computadores, navegadores y dispositivos móviles y tienen una versión gratuita que hace la mayoría de las tareas muy bien. Las opciones pagas permiten hacer cosas como sincronizar la base de datos entre todos los dispositivos del usuario o activar la autenticación en dos pasos. Lastpass vale 12 dólares al año, y Dashlane, 39 dólares al año.

Cómo crear buenas contraseñas

Normalmente se cree que usar mayúsculas, minúsculas, números y símbolos equivale a crear una buena contraseña: que ‘c0n7rA$€ñ@’ es mejor que ‘contraseña’. Pero los procesos y algoritmos que usan los criminales para descifrar las claves pueden predecir con facilidad esos cambios.

“La fuerza de un sistema de creación de contraseñas no está en cuántas letras, dígitos y símbolos se creen, sino en cuántas maneras podrías obtener un resultado diferente usando el mismo sistema“. Esa premisa, escrita por Jeff Shiner en el blog de Agile Bits –la firma desarrollado de 1Password, otro programa de estos–, significa que es posible crear una contraseña fuerte siguiendo algunas reglas sencillas:

1) Evitar los lugares comunes y las frases predecibles: ‘perros y pacos’ es mejor que ‘perros y gatos’.
2) No decir la verdad: ‘las peras son rojas’ es mejor que ‘las rosas son rojas’.
3) No escribir cosas que tengan sentido: ‘Mis siete unicornios son Paco y Pepe’ es mejor que decir ‘Mis dos perros son Paco y Pepe’.

Con un administrador de contraseñas, basta una sola clave fuerte para que la seguridad de todos nuestros accesos digitales mejore bastante. Estos consejos te pueden ayudar a crearla, y después de crearla, ¡memorízala! Si la apuntas en alguna parte, alguien más la puede encontrar y eso es como dejar las llaves de la casa pegadas a la puerta.

Imagen: pkproject (vía Shutterstock).