En la era digital actual, las contraseñas son la primera línea de defensa para proteger nuestra información personal y profesional. Una contraseña segura es crucial para la seguridad de cualquier empresa o individuo.
Proteger nuestros datos (o los de nuestra empresa) es vital. Pero, ¿cómo crear una contraseña segura? ¿Qué requisitos hay que tener en cuenta para garantizar la seguridad de las contraseñas?
¿Qué es una Contraseña Segura?
Una contraseña segura es una sucesión de caracteres alfanuméricos que debe seguir una serie de reglas para considerarla segura y, así, proteger la información de la cuenta.
Para generar una contraseña segura, debemos seguir una serie de pautas:
- Debe contener una mezcla de letras, números y símbolos para aumentar la dificultad de descifrado.
- Debe tener una longitud mínima de 8 caracteres y, si es posible, 12 caracteres o más.
- Nunca deben contener información personal, como el nombre de la persona, la fecha de nacimiento o la dirección.
- No debe utilizarse contraseñas empleadas en el pasado.
- No deben exponerse contraseñas en papeles o medios no protegidos.
Cuantos más elementos se utilicen mayor es la cantidad de combinaciones que se pueden generar y más son las combinaciones que el intruso debe probar, provocando que el tiempo necesario aumente considerablemente y no le merezca la pena.
Consejos para Crear Contraseñas Seguras
Crear una contraseña segura no es fácil. Y menos aún cuando necesitamos crear una contraseña segura por cada cuenta de correo, cuenta bancaria, cuenta en tiendas online… Lo que nos lleva a tener que crear, en el mejor de los casos, decenas de contraseñas seguras.
A continuación te damos algunos consejos útiles para crear contraseñas seguras:
1. Longitud y Complejidad
Hoy en día, todas las plataformas nos piden (o deberían) un mínimo de carácteres y una combinación de letras, números y símbolos para aceptar una contraseña. La mayoría solicitan un mínimo de 8-10 carácteres con combinación de mayúsculas, minúsculas y símbolos especiales. Esto ya nos obliga a cumplir la primera de las características para crear una contraseña segura.
2. Evitar Información Personal
Recuerda que las contraseñas simples pueden obtenerse mediante ingeniería social, por lo que no utilices nombres de mascota, ni de tus hijos, ni la fecha de tu aniversario, entre otras cosas que sean importantes para tí o para tu entorno más cercano. En el ámbito laboral, es muy común utilizar el mes o el año.
3. Métodos para Recordar Contraseñas Complejas
Es importante que intentes crear una contraseña segura fácil de recordar, pero difícil de adivinar. Si vas perdido, intenta realizar combinaciones de varias palabras que, aunque no tengan una relación lógica, tu puedas relacionar.
- Opción 1: Crea un acrónico a partir de una frase. Por ejemplo: mi bebida favorita es la cerveza, de 10.
- Opción 2: Une 3 palabras cortas que para tí sean fáciles de recordar, sustituyendo algunas letras por números e introduciendo algún carácter especial. Por ejemplo: viernes, pizza y fiesta.
4. Contraseñas Únicas
Por mucho que te funcione, tener la misma clave en diferentes sitios es peligroso. Una vez crees tu contraseña segura con todas las características mencionadas anteriormente, debes gestionarla correctamente. En caso de que tengas dudas sobre un posible hackeo, cambia de contraseña inmediatamente.
Además, considera estos consejos adicionales:
- Utiliza una frase de contraseña: Una frase de contraseña es una frase larga que contiene una mezcla de letras, números y símbolos.
- Utiliza una frase de contraseña aleatoria: Los usuarios también pueden utilizar una frase de contraseña aleatoria para aumentar la seguridad de sus cuentas. Estas frases se generan automáticamente usando un generador de contraseñas seguras.
- Utiliza una aplicación de gestión de contraseñas: Una aplicación de gestión de contraseñas puede ayudar a los usuarios a mantener un registro de todas sus contraseñas. Estas aplicaciones también suelen tener funciones de generación de contraseñas seguras para que los usuarios no tengan que recordar todas sus contraseñas.
- Cambia tus contraseñas con regularidad: Aunque pueda parecer una molestia, los usuarios deben cambiar sus contraseñas con regularidad para aumentar la seguridad de sus cuentas. Esto es especialmente importante si sospecha que alguien puede haber adivinado su contraseña.
Importancia de la Doble Autenticación
Es importante destacar el factor de doble autenticación. Esto es básico para protegernos, ya que si no lo activamos estamos dejando toda la responsabilidad en manos de un solo paso. Existen muchos errores que pueden hacer que puedan obtener nuestra contraseña, como dejarla en un pos-it o caer en un ataque de phishing de correo.
De esta manera, si recibes un mensaje con un código de acceso y no has intentado conectarte a tu cuenta de correo electrónico (por ejemplo), estás a salvo.
Tutorial: ¿cómo hacer una contraseña fuerte en tan solo un minuto?
Herramientas para Verificar la Seguridad de tus Contraseñas
Revisar la seguridad de tus contraseñas es un paso crucial para proteger tus cuentas digitales frente a accesos no autorizados o tras una filtración de datos.
- Have I Been Pwned (HIBP): Una de las plataformas más conocidas y de confianza es Have I Been Pwned. Aquí puedes comprobar si tu dirección de correo electrónico o contraseña ha sido comprometida en una filtración conocida. Al introducir tu correo electrónico, recibirás una lista de sitios afectados donde tus datos podrían haber sido expuestos.
- Comprobador de seguridad de Google: Google ofrece una función integrada en el navegador Chrome para verificar contraseñas. Este sistema te alerta si alguna de tus contraseñas guardadas forma parte de una filtración de datos.
- Funciones de seguridad en gestores de contraseñas: Muchos gestores de contraseñas modernos incluyen herramientas para analizar la seguridad de tus contraseñas guardadas.
Además de comprobar si tus contraseñas han sido comprometidas en alguna filtración, es esencial evaluar su fortaleza. Existen numerosas herramientas que analizan la longitud, la complejidad y la entropía (aleatoriedad) de una contraseña. También simulan cuánto tiempo llevaría descifrarla mediante un ataque de fuerza bruta.
Si sabes que una plataforma específica ha sufrido una filtración de datos, verifica si tienes una cuenta en ella. Si es así, cambia tus contraseñas de inmediato, especialmente si las has reutilizado en otros servicios.
Software malicioso
Para sus ataques, los ciberdelincuentes no suelen utilizar sus propios ordenadores, sino los dispositivos de usuarios desprevenidos. Estos dispositivos han sido previamente infectados con un software malicioso que permite a los atacantes controlar el sistema de forma remota. A los ordenadores infectados, que se agrupan en grandes redes para llevar a cabo posibles ataques, se les conoce comúnmente como bots o zombis.
Gestores de Contraseñas: KeePass
Un gestor de contraseñas es un programa que genera un archivo cifrado mediante una contraseña maestra. En este fichero cifrado es donde almacenaremos toda la información. Dicho fichero lo podemos guardar en nuestro equipo o incluso en la nube (Dropbox, Google Drive, OneDrive) para poder abrirlo después desde distintos dispositivos. El único requisito para poder abrir el archivo es tener el gestor de contraseñas instalado en el dispositivo desde el que queremos acceder al archivo.
Actualmente en ESI Soluciones estamos recomendando y utilizando el programa gratuito Keepass , disponible para Windows, Android, IOS, también hay versión para MacOS.
Una vez descargado e instalado el programa, lo abriremos por primera vez, nos pedirá crear una base de datos nueva. Aquí es donde el programa crea el archivo cifrado mencionado anteriormente, presta atención a la ruta donde lo crea para encontrarlo más tarde. Pondremos una contraseña que cumpla con los requisitos de complejidad mencionados anteriormente. Una vez hayamos acabado la instalación, ya podremos empezar a crear entradas pulsando botón derecho “Add entry”.
Aparece en KeePass la siguiente ventana, donde rellenaremos los datos.
Como hemos comentado antes, crear una contraseña aleatoria en KeePass puede ser una buena idea. Para ello, haremos clic en la llave que podéis ver en la siguiente imagen.
Veremos en KeePass los perfiles de creación de contraseña. Podemos crear los nuestros pulsando sobre “open password generator”, donde veremos las diferentes opciones que podemos asignar al perfil.
Le damos a guardar y ponemos un nombre.
Política de Contraseñas Corporativa
La política de contraseñas corporativa es un conjunto de reglas que ayudan a los empleados de la empresa a crear contraseñas seguras y a usarlas correctamente para mejorar la seguridad de la información. Define los requisitos para las contraseñas y las acciones que se deben evitar al trabajar con ellas.
Para que la política de protección de contraseñas sea confiable, es necesario:
- Formular requisitos claros para la creación de contraseñas.
- Asegurarse de que todo el equipo las cumpla, incluyendo a los gerentes.
- Realizar capacitaciones regulares al personal sobre las normas de seguridad de la información y explicar la importancia de las contraseñas.
- Actualizar oportunamente las políticas teniendo en cuenta los cambios en la empresa y las nuevas amenazas a la seguridad.
Una buena política de contraseñas es aquella que los empleados pueden comprender y aplicar diariamente. Dependiendo de las necesidades de la organización, puede ser recomendable u obligatoria.
Qué evitar en las contraseñas
Además de lo que los usuarios deben hacer, la política de contraseñas también debe indicar qué no se debe hacer. La lista puede incluir lo siguiente:
- No usar palabras de diccionario.
- Información personal (nombre, fecha de nacimiento, lugar de nacimiento, cargo, números de teléfono, números de casa o calle, nombre del cónyuge o de los hijos).
- Patrones simples, como QWERTY, asdfgh o 123456.
- No se deben usar cambios simples (agregar un número o símbolo) en las contraseñas antiguas. Por ejemplo, en lugar de Password123, hacer Password123!. Las nuevas contraseñas deben cumplir con los requisitos de complejidad.
- También se debe prohibir el uso de la misma contraseña en varias cuentas.
Caducidad de contraseñas
Para mejorar la seguridad, es necesario cambiar la contraseña después de un cierto tiempo. Así es como suele ocurrir:
- En la configuración de seguridad, los administradores establecen un período de validez para las contraseñas, por ejemplo, 90 días.
- El sistema rastrea automáticamente este período para cada contraseña y almacena la información sobre la fecha del último cambio.
- Algún tiempo antes de la caducidad (por ejemplo, 7 días antes), los usuarios comienzan a recibir notificaciones sobre la necesidad de cambiar la contraseña. Pueden ser mensajes en el mensajero corporativo, correos electrónicos o ventanas emergentes al iniciar sesión en el sistema.
Métodos de gestión de la política de contraseñas
La gestión de las contraseñas y su protección durante el almacenamiento y la transmisión son una parte crítica de la seguridad corporativa. Estos son los puntos principales que se deben incluir en la política:
- Establecer el cambio de contraseña al primer inicio de sesión
- Aplicar la autenticación multifactorial (MFA)
- Indicar el umbral de bloqueo de la cuenta
- Agregar recomendaciones para el almacenamiento de contraseñas
- Establecer las consecuencias para los infractores de la política
El Día Mundial de la Contraseña
El 6 de mayo se celebra el Día Mundial de la Contraseña, una cita que pretende concienciar sobre la importancia de tener claves seguras que protejan nuestra información personal. Pero, ¿realmente las usamos? ¿Sabemos crearlas adecuadamente?
Así y a pesar de que son la principal barrera de seguridad de nuestras cuentas, hasta el 89% de los encuestados por la plataforma ignora cómo crear password segura. Entre los errores más comunes encontramos el uso de datos personales o palabras obvias, la sencillez, no combinar letras y números, etcétera.
Otro fallo frecuente es utilizar la misma clave para distintos servicios, algo que hacen más de la mitad de los encuestados. Incluso encontramos que el 13% emplea una sola para todos los servicios. También es frecuente no cambiarlas jamás. En concreto, 4 de cada 5 no la cambian casi nunca y solo el 20% lo hace al menos cada seis meses.
Otros Descuidos Comunes
Más allá de la contraseña, los usuarios también llevan a cabo otros comportamientos de riesgo que ponen en juego su seguridad. Entre los más comunes encontramos el no actualizar regularmente los equipos (dos de cada cinco internautas hacen caso omiso de las notificaciones de actualización de sus equipos), no conectarse a través de una red segura, no actualizar el antivirus, no activar la autenticación en dos pasos de los servicios que usan, no cambiar la contraseña de su wifi, etcétera.
Al no tener contraseñas seguras, estamos poniendo mucho más fácil a los hackers el acceso a la empresa y a sus datos.
Conclusión
Las contraseñas son las herramientas que necesitamos para proteger nuestra información personal y profesional y así evitar que otra persona acceda a nuestras cuentas. No caigas en el error de crear una clave fácil y predecible.
En resumen, la creación de contraseñas seguras es esencial para proteger nuestra información y la de nuestra empresa. Siguiendo estos consejos y utilizando las herramientas adecuadas, podemos mejorar significativamente nuestra ciberseguridad.