Santander

Contraseñas seguras para evitar dolores de cabeza

Contraseñas seguras para evitar dolores de cabeza. Seguridad ON. Incibe_OSI

Las contraseñas, passwords o claves son un mecanismo de seguridad que se remonta a la antigüedad y siguen siendo hoy en día uno de los elementos de seguridad más usados en Internet. Una contraseña está compuesta por una cantidad variable de caracteres. La calidad o robustez de una contraseña depende del número de caracteres que tenga (a más número más robusta) y de qué tipo de caracteres sean: números, letras, caracteres especiales, caracteres extendidos… Cuantas más combinaciones de tipos, más robusta será.

La contraseña es la llave de acceso a muchos servicios en Internet, así que el primer aprendizaje es que debe ser suficientemente robusta para evitar problemas de seguridad.

Además, por concepto, una contraseña siempre tiene que mantenerse en secreto o no tendría sentido. De poco sirve tener contraseñas de catorce caracteres alfanuméricos, mayúsculas, minúsculas y símbolos, si está pegada en un Post-it en la pantalla de tu ordenador a la vista de todo el mundo.

Características de una buena contraseña

Para ser considerada segura, una contraseña debe tener las siguientes características:

  • Secreta. La contraseña debe mantenerse en secreto, una clave compartida no es segura.
  • Robusta. Una contraseña se considera robusta cuando la probabilidad de descubrirla es mínima y el tiempo y recursos necesarios para obtenerla no es rentable o viable. Las características necesarias para considerar una contraseña robusta son:
    • Longitud mínima de diez caracteres.
    • Debe contener caracteres en minúsculas, mayúsculas, números y símbolos.
  • Debe ser distinta a la que tiene por defecto el servicio o producto y no debe compartirse la misma contraseña entre servicios distintos (la contraseña del correo electrónico debería ser distinta a la del banco, etc.).

Kaspersky dispone de una herramienta fácil de usar llamada Secure Password Check donde puedes comprobar la robustez de una contraseña y el tiempo que tardarían en descubrirla.

Qué es una contraseña insegura

Las contraseñas poco robustas son un riesgo para tu seguridad. Si un ciberdelincuente accede a una red social utilizando tus credenciales, todo lo que haga será como si lo hicieras tú, lo que puede suponer un perjuicio importante. Por ejemplo, imagina que tienes una contraseña insegura para acceder a un servicio de intercambio de archivos donde guardas información importante. Un ciberdelincuente podría averiguar la contraseña y acceder al servicio para robarte toda la documentación. La repercusión personal o profesional tendría un impacto muy negativo.

Esto es lo que no debes hacer nunca con tus contraseñas:

  • No tener, es decir, usar servicios sin contraseña.
  • Usar la contraseña por defecto del servicio.
  • Simplificar tu contraseña y usar, por ejemplo, 1234, 123qwe, asdf, etc.
  • Elegir palabras sencillas en cualquier idioma, como por ejemplo hola, hello, love o coche.
  • Usar nombres propios, sobre todo si es el tuyo o de personas cercanas a tu entorno. Tampoco es recomendable utilizar lugares o fechas de nacimiento con los que se te pueda relacionar.
  • Que su longitud sea inferior a diez caracteres.
  • Usar claves formadas a partir de la concatenación de varios elementos, por ejemplo, apellido más año de nacimiento: Garcia1984.
  • Utilizar como contraseña tu nombre de usuario.

Cada servicio con su contraseña: ventajas de usar un patrón de contraseñas

Una mala práctica demasiado habitual es usar la misma contraseña para todos los servicios que utilizamos en Internet. Esta práctica es peligrosa, ya que si un ciberdelincuente consigue las credenciales de acceso a un servicio tendrá la llave para entrar al resto.

Puesto que recordar múltiples contraseñas puede ser engorroso y complejo, existen unas reglas sencillas que puedes utilizar:

  • Usar claves basadas en un mismo patrón pero introduciendo ligeras variaciones con las que identificar el servicio donde te quieres registrar. Por ejemplo:
    Facebook -> K8542sd$F
    Google+ -> K8542sd$G
    Twitter -> K8542sd$T
  • Utilizar reglas nemotécnicas cogiendo, por ejemplo, el primer carácter de una frase larga y terminarla con algún carácter especial:
    Más vale pájaro en mano que 100 volando… -> Mvpemq100v$
  • Cambiar las vocales por números o caracteres especiales. Por ejemplo:
    Mi carro me lo robaron -> m1c4rr0m3l0r0b4r0n()

Hay que tener en cuenta que algunos servicios en Internet solicitan cada cierto tiempo el cambio de clave para hacer que las cuentas de sus usuarios sean más seguras. Cambiar varias contraseñas cada cierto tiempo puede llegar a ser molesto, pero nunca debería repercutir en la seguridad de tu contraseña, por hacer de este proceso algo rutinario.

Gestor de contraseñas

Otra opción interesante es utilizar un gestor de contraseñas. Este tipo de programas permite almacenar todas las contraseñas en un mismo sitio, teniendo que recordar únicamente la clave de acceso al gestor de contraseñas. Esto resulta muy cómodo ya que recordando una única contraseña tienes acceso a todas las credenciales “usuario y contraseña” de los servicios que utilizas.

Hay dos tipos de gestores de contraseñas:

  1. Gestores online, a los que accedes a través de Internet . Tienen la ventaja de que puedes acceder a tus credenciales desde cualquier dispositivo con acceso a la Red. Además, si se te olvida la contraseña maestra puedes generar una nueva. Su inconveniente es que la seguridad de las contraseñas dependerá de la seguridad del servidor, y aunque sea mucho más seguro que tu propio ordenador, es un blanco potencial para los ciberdelincuentes.
  2. Los programas instalados en nuestro equipo, cuyo acceso es únicamente de forma local, como por ejemplo el ordenador de casa. Únicamente serán accesibles desde tu equipo y si se te olvida la contraseña maestra en muchos casos será imposible acceder. Al contrario que los gestores web, la seguridad de tus contraseñas únicamente depende de la seguridad del equipo donde tengas instalado el software.

En cualquier caso, ten en cuenta estas consideraciones cuando utilices un gestor de contraseñas:

  • La contraseña de acceso al gestor debe ser lo más robusta posible. Te recomendamos seguir las características de una buena contraseña descritas anteriormente.
  • Es importante recordar la contraseña maestra de acceso al servicio, ya que en algunos casos es imposible recuperarla o generar una nueva.
  • Es recomendable realizar copias de seguridad del archivo de claves, para evitar perderlas. El soporte donde se almacenarán las copias puede ser cualquier soporte como un disco duro externo, en la nube o en un CD, recordar siempre desvincular el soporte donde se realizarán las copias ya que en caso de ser víctima de un ransomware las copias también serán secuestradas.

Verificación en dos pasos

La verificación en dos pasos es una funcionalidad disponible en algunos servicios como Google, Facebook, Twitter o las entidades bancarias, que añade una capa extra de seguridad a la cuenta. Este sistema se basa en que además de tener que conocer la contraseña de acceso es necesario estar en posesión otro tipo de identificación, como por ejemplo un código enviado a tu teléfono móvil, un valor de una tarjeta de coordenadas...

La verificación en dos pasos se usa también en los procesos de compra online. Cuando vas a realizar una compra en Internet e introduces los datos de la tarjeta de crédito en la pasarela de pago, este sería el primer paso en el proceso de verificación. La pasarela de pago verifica los datos bancarios y te envía un mensaje al móvil con una clave de un solo uso (OTP) para completar el proceso de compra: este sería el segundo paso en la verificación.

Cuidado con las preguntas de seguridad

Algunos servicios de Internet, como el correo electrónico, incluyen una función para recuperar contraseñas llamada “pregunta de seguridad”. Esta función se utiliza para acceder, recuperar o reestablecer la contraseña de acceso al servicio. Como medida de seguridad tienes que responder a una pregunta cuya respuesta se supone que solo conoces tú.

Pero las preguntas de seguridad suelen ser bastante simples como por ejemplo ¿Cómo se llamaba tu primera mascota? O ¿Cuál fue tu primer coche? Es importante utilizar una pregunta de seguridad sobre la que nadie conozca la respuesta o que directamente sea mentira. Así, aunque accedan a tu perfil en cualquier red social, no podrán encontrar la respuesta. Configurar correctamente la pregunta de seguridad puede evitar accesos fraudulentos a tu cuenta por lo que conviene que prestes mucha atención a esta característica.

Si tienes cualquier duda en relación a las contraseñas, puedes contactar con la OSI (www.osi.es/es/contacto), un equipo de profesionales te ayudará con tu consulta.

Si quieres saber más acerca de las copias de seguridad y el cifrado da la información y cómo proteger tu red wifi puedes hacerlo en la web de la OSI.

Más consejos de Seguridad Online

Sello de Excelencia Europea EFQM 500
Página oficial de Santander Advance en Linkedin
Canal oficial de Santander Advance en Twitter
Cuenta oficial de Banco Santander España en Google+
Página oficial de Banco Santander España en Facebook
Canal oficial de Banco Santander en Youtube