Cómo crear una contraseña segura

Las mejores contraseñas frustrarán los ataques de fuerza bruta y de diccionario, pero también deben ser fáciles de recordar. Pruebe estas ideas de contraseñas para que sus cuentas sean indescifrables.

Sus contraseñas otorgan acceso a su propio reino personal, por lo que probablemente esté pensando en «cuáles son las mejores prácticas para crear una contraseña segura» para proteger sus cuentas contra estos ciberdelincuentes. Si sus contraseñas fueron parte de una filtración, querrá cambiarlas de inmediato.

Entonces, ¿cuál es la solución? Contraseñas indescifrables. Pero antes de saltar a eso, primero echemos un vistazo a las diversas formas en que se pueden piratear las contraseñas, para que comprenda los métodos más comunes que se utilizan hoy en día.

¿Cómo se piratea una contraseña?

Los ciberdelincuentes tienen a su disposición varias tácticas para piratear contraseñas, pero la más fácil es simplemente comprar sus contraseñas en la dark web. Hay mucho dinero en la compra y venta de credenciales de inicio de sesión y contraseñas en el mercado negro, y si ha estado usando la misma contraseña durante muchos años, es probable que se haya visto comprometida.

Pero si ha sido lo suficientemente inteligente como para mantener sus contraseñas fuera de las listas del mercado negro, los ciberdelincuentes tienen que descifrarlas. Y si ese es el caso, están obligados a utilizar uno de los métodos a continuación. Estos ataques pueden estar dirigidos a sus cuentas reales o posiblemente a una base de datos filtrada de contraseñas cifradas.

Ataque de fuerza bruta

Este ataque intenta adivinar todas las combinaciones de caracteres posible hasta que da con la tuya. El atacante automatiza el software para probar tantas combinaciones como sea posible en el menor tiempo posible, y ha habido algunos avances desafortunados en la evolución de esa tecnología. En 2012, un pirata informático reveló un clúster de 25 GPU que había programado para descifrar cualquier contraseña de Windows de 8 caracteres que contuviera letras mayúsculas y minúsculas, números y símbolos en menos de seis horas. Tiene la capacidad de intentar 350 mil millones de conjeturas por segundo. En general, cualquier cosa de menos de 12 caracteres es vulnerable a ser descifrada. Por lo menos, aprendemos de los ataques de fuerza bruta que la longitud de la contraseña es muy importante. Cuanto más larga, más tiempo demora en ser descifrada, por lo tanto, mejor.

Ataque de diccionario

Este ataque es exactamente lo que parece: el hacker esencialmente lo está atacando con un diccionario. Mientras que un ataque de fuerza bruta prueba cada combinación de símbolos, números y letras, un ataque de diccionario prueba una lista preestablecida de palabras como las que encontraría en un diccionario.

Si su contraseña es una palabra normal, solo sobrevivirá a un ataque de diccionario si su palabra es muy poco común o si usa frases de varias palabras, como LavanderíaZebraToallaAzul. Estas contraseñas de frases de varias palabras son más astutas que un ataque de diccionario, lo que reduce la cantidad posible de variaciones en la cantidad de palabras que podríamos usar al poder exponencial de la cantidad de palabras que estamos usando.

Suplantación de identidad

La táctica más repugnante, el phishing, es cuando los ciberdelincuentes intentan engañarte, intimidarte o presionarte a través de la ingeniería social para que, sin saberlo, hagas lo que quieren. Un correo electrónico de phishing puede decirle (falsamente) que hay algún problema con su cuenta de tarjeta de crédito. Le indicará que haga clic en un enlace, que lo llevará a un sitio web falso creado para parecerse a su compañía de tarjeta de crédito. Los estafadores esperan con gran expectación, esperando que la artimaña funcione y que ahora ingreses tu contraseña.

Las estafas de phishing también pueden tratar de atraparlo a través de llamadas telefónicas. Desconfíe de cualquier llamada automática que reciba que afirme ser sobre su cuenta de tarjeta de crédito. Observe que el saludo grabado no especifica de qué tarjeta de crédito está llamando. Es una especie de prueba para ver si cuelgas enseguida o si te tienen “enganchado”. Si permanece en la línea, se conectará con una persona real que hará todo lo posible para sacarle la mayor cantidad posible de datos confidenciales, incluidas sus contraseñas.

Recientes hackeos de contraseñas

Si bien es posible que esté harto de tener que crear una contraseña única repleta de letras mayúsculas, caracteres especiales y más, la importancia de tener una contraseña segura no se puede exagerar. Solo este año, la unidad de TransUnion en Sudáfrica se preparó para un rescate de $ 15 millones al establecer su contraseña como «contraseña»; sí, lo crea o no, demasiadas personas y empresas todavía usan «contraseña». Además, en diciembre de 2021, la Agencia Nacional contra el Crimen del Reino Unido (NCA) y la Unidad Nacional contra el Crimen Cibernético (NCCU) descubrieron un caché de 225 millones de correos electrónicos y contraseñas robados que se almacenaban en un servidor en la nube pirateado. La información fue entregada a HaveIBeenPwned. (un servicio gratuito para aquellos interesados ​​en saber si sus cuentas podrían verse comprometidas).

Dada la enorme cantidad de datos a disposición de los ciberdelincuentes, en los últimos años se ha producido el surgimiento de una nueva técnica conocida como «relleno de credenciales». Para aclarar, esta técnica implica que los ciberdelincuentes prueben compilaciones de combinaciones de nombre de usuario y contraseña filtradas, robadas y de uso frecuente contra las cuentas en línea de un individuo. Según un comunicado de prensa del FBI de 2020, «Desde 2017, el FBI ha recibido numerosos informes sobre ataques de relleno de credenciales contra instituciones financieras de EE. empresas de inversión». En esencia, debe verificar regularmente si sus cuentas se han visto comprometidas y dejar de usar contraseñas comunes o filtradas.

La anatomía de una contraseña segura

Ahora que sabemos cómo se piratean las contraseñas, podemos crear contraseñas seguras que superen cada ataque (aunque la forma de burlar una estafa de phishing es simplemente no caer en ella). Su contraseña está en camino de ser indescifrable si sigue estas tres reglas básicas.

Haz que cada contraseña sea única

Manténgase alejado de lo obvio. Nunca use números o letras secuenciales, y no use «contraseña» como su contraseña. Cree contraseñas únicas que no incluyan ninguna información personal, como su nombre o fecha de nacimiento. Si está siendo atacado específicamente para un pirateo de contraseña, el pirata informático pondrá todo lo que sabe sobre usted en sus intentos de adivinar.

¿Se puede atacar con fuerza bruta?

Teniendo en cuenta la naturaleza de un ataque de fuerza bruta, puede tomar medidas específicas para mantenerlos a raya:

• Hazlo largo. Este es el factor más crítico. Elija nada menos que 15 caracteres, más si es posible.
• Usa una mezcla de caracteres. Cuanto más mezcle letras (mayúsculas y minúsculas), números y símbolos, más potente será su contraseña y más difícil será para un ataque de fuerza bruta descifrarla.
• Evite las sustituciones comunes. Los crackers de contraseñas están a la altura de las sustituciones habituales. Ya sea que use DOORBELL o D00R8377, el atacante de fuerza bruta lo descifrará con la misma facilidad. En estos días, la colocación aleatoria de caracteres es mucho más efectiva que las sustituciones comunes de leetspeak. (definición de leetspeak: un lenguaje o código informal utilizado en Internet, en el que las letras estándar a menudo se reemplazan por números o caracteres especiales).
• No utilice rutas de teclado memorables. Al igual que el consejo anterior de no usar letras y números secuenciales, tampoco use rutas de teclado secuenciales (como qwerty). Estos están entre los primeros en ser adivinados.

¿Puede ser atacado por diccionario?

La clave para evitar este tipo de ataque es asegurarse de que la contraseña no sea una sola palabra. Múltiples palabras confundirán esta táctica; recuerde, estos ataques reducen la cantidad posible de conjeturas a la cantidad de palabras que podríamos usar al poder exponencial de la cantidad de palabras que estamos usando.

Los mejores métodos de contraseña (y excelentes ejemplos de contraseña)

Los métodos a continuación le brindan algunas buenas ideas de contraseñas para crear sus propias contraseñas seguras y fáciles de recordar. Siga uno de estos prácticos consejos y estará duplicando la protección de su mundo digital.

El método de frase de contraseña revisado

Este es el método de frase de palabras múltiples con un giro: elija palabras extrañas y poco comunes. Usa nombres propios, los nombres de negocios locales, figuras históricas, cualquier palabra que conozcas en otro idioma, etc.

Si bien las palabras deben ser poco comunes, intente componer una frase que le dé una imagen mental. Esto te ayudará a recordar.

Para subir otro nivel de complejidad, puede agregar caracteres aleatorios en medio de sus palabras o entre las palabras. Simplemente evite los guiones bajos entre las palabras y cualquier sustitución común de leetspeak.

El método de la oración

Este método también se describe como el «Método Bruce Schneier». La idea es pensar en una oración al azar y transformarla en una contraseña usando una regla.

Formas recomendadas para mejorar su cartera de contraseñas

Todos los métodos anteriores ayudan a fortalecer sus contraseñas, pero no son muy viables, dado que la persona promedio usa docenas de ellos. Revisemos algunas formas que recomendamos: use nuevas contraseñas complejas y un administrador de contraseñas, instale una aplicación de autenticación en su teléfono inteligente y compre nuevo hardware. Cada uno de estos puede ayudar con autenticaciones mejores y más seguras.

Use un administrador de contraseñas y un generador de contraseñas aleatorias

Un administrador de contraseñas realiza un seguimiento de todas sus contraseñas y las recuerda por usted, excepto por una cosa: la contraseña maestra que le otorga acceso a su administrador de contraseñas. Para esa contraseña, lo alentamos a que use todos los consejos y trucos enumerados anteriormente. Los programas también vienen con generadores, como Random Password Generator, por lo que puede crear contraseñas extra largas y súper complicadas que son infinitamente más difíciles de descifrar que cualquier contraseña que se le ocurra a un humano.

Pruebe también su dirección de correo electrónico

Consulte el sitio Hack Check para ver si su contraseña se ha filtrado en filtraciones de datos anteriores. Si es así, cambie su contraseña en su cuenta de correo electrónico inmediatamente.

Se cuidadoso en quien confías

Los sitios web conscientes de la seguridad codificarán las contraseñas de sus usuarios para que, incluso si los datos se divulgan, las contraseñas reales estén encriptadas. Pero otros sitios web no se molestan con ese paso. Antes de iniciar cuentas, crear contraseñas y confiar información confidencial a un sitio web, tómese un momento para evaluar el sitio. ¿Tiene https en la barra de direcciones, lo que garantiza una conexión segura? ¿Tiene la sensación de que está al día con los estándares de seguridad más nuevos del día? Si no, piénselo dos veces antes de compartir cualquier dato personal con él.

Usar autenticación de dos factores

La autenticación de dos factores (2FA) agrega una capa adicional de protección (que se convierte en su primera capa de protección en caso de que se filtren los detalles de su cuenta). Estos se han convertido en el nuevo estándar de la industria para una seguridad efectiva. En nuestra publicación de blog aquí, explicamos cómo se usan y cómo puede agregar 2FA a cuentas sociales comunes como Twitter y Facebook. Requieren algo además de una contraseña, como datos biométricos (huella digital, escaneo ocular, etc.) o un token físico. De esta manera, por simple o compleja que sea su contraseña, es solo la mitad del rompecabezas.

Nota: dado el hackeo de Reddit de 2018 causado por intercepciones de SMS, no recomendamos usar SMS como su segundo factor de autenticación. Este es un camino muy transitado por muchos piratas informáticos en los últimos años.

Use una aplicación de teléfono inteligente de autenticación

El mejor método de MFA es usar una aplicación especializada para su teléfono inteligente. Google’s Authenticator y Authy son dos ejemplos y ambos son gratuitos. La aplicación genera un PIN único que ingresa como factor adicional durante su proceso de inicio de sesión. Los PIN cambian automáticamente cada 30 segundos. Deberá seguir las instrucciones para configurar MFA para su aplicación en particular.

Llaves de seguridad y la alianza FIDO

Las llaves de seguridad llevan la seguridad al siguiente nivel. Una clave de seguridad como YubiKey le brinda la protección más avanzada disponible en la actualidad. Sirve como su MFA, otorgándole acceso a archivos solo si tiene físicamente la clave. Las llaves de seguridad están disponibles en versiones USB, NFC o Bluetooth y, por lo general, tienen el tamaño de una memoria USB. En 2017, Google ordenó a todos sus empleados que comenzaran a usar llaves de seguridad, y la compañía afirma que desde entonces no ha experimentado una sola violación de datos entre sus 85,000 trabajadores. Tienen su propio producto llamado Titan Security Key, diseñado específicamente para proteger a las personas contra los ataques de phishing.

Para MFA y claves de seguridad: consulte la alianza FIDO, que está trabajando para crear estándares de autenticación sólidos para aplicaciones móviles y de escritorio. Si le preocupa tanto la seguridad en línea como a nosotros, solo desea utilizar los servicios compatibles con FIDO, como Microsoft, Google, PayPal, Bank of America, NTTDocomo y DropBox, por nombrar algunos. Cuando una determinada clave de seguridad, sitio web, aplicación móvil, etc. tiene la «certificación FIDO®», cumple con el alto estándar de autenticación y protección de la alianza.

En los primeros días del pensamiento práctico, Sócrates repartió el sofisticado consejo: Conócete a ti mismo. Vamos a tomar prestado de su libro, actualizar el consejo por un par de miles de años y alentarlos a todos a hacer lo que es absolutamente esencial hoy: Protéjase a sí mismo.

Consejos de seguridad adicionales relacionados con las contraseñas

Proteja aún más su información de inicio de sesión con estos consejos de sentido común y alta seguridad:

• Use una VPN cuando esté en Wi-Fi público. De esa manera, cuando inicie sesión en las cuentas, nadie interceptará su nombre de usuario y contraseña.
• Nunca envíe un mensaje de texto o correo electrónico a nadie con su contraseña.
• Al seleccionar preguntas de seguridad al crear una cuenta, elija opciones difíciles de adivinar para las que solo usted sabe la respuesta. Muchas preguntas tienen respuestas fáciles de encontrar en los canales sociales con una simple búsqueda, así que ten cuidado y elige con cuidado.
• Cuando haya terminado, tómese el tiempo para decirle a su familia y amigos que también se protejan. Las infracciones continúan ocurriendo, por lo que con solo compartir esta publicación de blog con amigos y familiares, estará ayudando a su círculo íntimo a protegerse.
• Asegúrese de que su antivirus esté actualizado. Si una amenaza de alguna manera supera sus sólidas defensas e ingresa a su sistema, un buen antivirus la detectará y la neutralizará.