Cómo elegir una contraseña segura

Seguramente esté cansado de escuchar que las contraseñas seguras deben tener más de ocho caracteres e incluir mayúsculas, minúsculas y símbolos (@, ¡!, ¿?, &…), así como no contener información personal (nombre, fecha de nacimiento...) o que sea única para cada servicio que utiliza. Sin embargo, no está de más recordarlo, dado que 23.200 millones de cuentas de víctimas que sufrieron delitos cibernéticos en 2019 en todo el mundo utilizaban '123456' como contraseña, según un informe del Centro de Ciberseguridad Nacional de Reino Unido (NCSC, por sus siglas en inglés).

«Las credenciales de acceso (usuario y contraseña) son uno de los tipos de datos, junto con las cuentas bancarias y tarjetas de crédito, más demandados en los mercados negros de compra-venta de información. Para los cibercriminales, adivinarlas o descifrarlas es un juego, cuanto más cortas y más sencillas mejor. Sin duda esto no es nuevo, pero aun así seguimos cayendo en los mismos errores», destacan desde el Instituto Nacional de Ciberseguridad de España (INCIBE). Para evitarlo se pueden utilizar distintas estrategias.

¿Recuerda el Messenger? Allá por el 2000 hubo una moda en esta plataforma de chateo que consistía en escribir frases cOn MaYúScUlAs Y mInÚsCuLaS. Este es uno de los recursos sugeridos por el INCIBE. Escoger una palabra (murciélago), añadirle mayúsculas (MuRcIéLaGo), incluir números y símbolos (MuRcI3LaGo!) y agregar el servicio en el que se utiliza para hacerla fácil de recordar (1MuRcIeLaGo!OfiCinA, 1MuRcIeLaGo!EmAil, 1MuRcIeLaGo!CaSa). Esto permite no reutilizar la misma contraseña para distintas cuentas, algo «especialmente grave cuando la usamos indistintamente en el ámbito privado y público. Por ejemplo, poner la clave de nuestro correo empresarial en nuestra cuenta de LinkedIn», expresa José Ángel Gómez, CISO de la empresa de ciberseguridad Semantic Systems.

Si aún no se ha convencido, le interesará saber que un ordenador común puede descifrar la contraseña 'murciélago' en cuatro minutos, pero que para adivinar '1MuRcIeLaGo!OfiCinA' tardaría 7.062 siglos. Es decir, usted podría ir y volver de la luna 28.877 veces y su contraseña aún no se habría descifrado, según apunta el portal 'Kaspersky'.

Aun así, incluso si nuestra contraseña es segurísima, habrá que cambiarla periódicamente. ¡Qué pereza! Lo es, pero siempre puede optar por la vía fácil, como aumentar secuencialmente la numeración, de «1MuRcIeLaGo!OfiCinA» a «2MuRcIeLaGo!OfiCinA», y así sucesivamente.

Otra recomendación algo más sencilla es utilizar contraseñas largas de palabras inconexas unidas con guiones, como explica Diego Miranda-Saavedra, profesor colaborador del máster universitario de Ciencia de Datos de los Estudios de Informática, Multimedia y Telecomunicación de la UOC en su artículo '10 reglas para ser invisible en internet'. Por ejemplo: Pizza-Casa-Viernes tardaría en ser hackeada más de 10.000 siglos, según 'Kaspersky'.

Ya tenemos una contraseña robusta, pero todavía podemos añadirle más seguridad a nuestras cuentas de usuario. «La tecnología nos ofrece la posibilidad de utilizar un segundo o múltiples factores de autenticación complementarios (2FA o MFA, por sus siglas en inglés) para validar nuestros accesos. De esta manera, los ciberdelincuentes no solo tendrán que adivinar nuestra contraseña, sino hacerse con el control de nuestro segundo factor, complicando su objetivo exponencialmente», destaca Gómez. Este factor de autenticación puede ser: algo que sabemos (otra contraseña, código pin…), algo que tenemos (tarjeta de coordenadas) o algo que somos (huella dactilar, reconocimiento facial…).

Ejemplos de esta tecnología los encontramos en aplicaciones de uso muy extendido como Google Authenticator, Microsoft Authenticator, Authy, Yubikey, Cisco Duo o Fortitoken, entre otras. «Muchas de ellas están soportadas en diversos servicios y redes sociales, solo hay que configurarlas en muy pocos pasos y nos avisarán cuando detecten accesos poco habituales desde equipos o desde ubicaciones no conocidas», agrega Gómez.

Es importante no confundir la autenticación de doble factor con la verificación en dos pasos. Esta última consiste en enviar un código de seguridad por SMS al usuario para que lo introduzca y así verificar su identidad. Actualmente es una práctica desaconsejada porque el mensaje puede ser interceptado por los ciberdelincuentes, que podrían suplantar fácilmente la identidad del remitente y engañar al usuario.