Skip to main content

¡Ay, las contraseñas..!

Después de tantos años ya de internet en nuestras casas, de tantas historias publicadas, leídas y comentadas, de todo lo que repiten los que saben del asunto y se dedican a esto. Tenemos que reconocer que la gran mayoría de nosotros no le dedicamos la atención que merecen esas ristras de caracteres que nos protegen, que son, en esencia, la primera línea de defensa de nuestra intimidad y nuestro entorno, en un mundo que muchas veces no es tan bonito como quisiéramos.

Seguimos sin ser conscientes de la importancia que tiene una buena contraseña. Aún son muchos los que siguen poniendo como clave ‘1234’, o ‘12345678’, o incluso la misma palabra ‘contraseña’, o ‘password’; o el nombre, o la fecha de nacimiento… Patrones tan fáciles de adivinar que incluso un amigo que nos conozca, y con apenas unos pocos conocimientos informáticos, la podría desentrañar. ¿O acaso tu hijo nunca te ha adivinado la contraseña?

Y es que seguimos viéndolas como un incordio. Un complejo e inútil esfuerzo para la memoria. Muchas veces, incluso, como una imposición del creador de un programa o sistema, ¡que además nos obliga a escribir no menos de tantos caracteres, a combinar letras y números, a diferenciar entre mayúsculas y minúsculas..!

Pero, realmente, las historias sobre su necesidad e importancia saltan cada día a nuestro alrededor. Hace unas semana, por ejemplo, se publicaba en El Confidencial la historia de millones de webs de todo el mundo afectadas por una filtración masiva provocada por un agujero de seguridad del mega-proveedor Cloudfare (ojo, si usas alguna de ellas, cambia ahora mismo tus contraseñas, corriendo).

Una ecuación: longitud es igual a tiempo

Para escribir sobre este tema, he recurrido a un buen amigo y colaborador, experto en seguridad informática y un verdadero ‘crack’ en estos temas: Jesús Marín (@_jesusmg). Le pedí algunos consejos de seguridad, cómo generar contraseñas seguras.

Lo primero que me explicó fue que, para aprender y comprender la forma de construir una buena contraseña, debemos previamente entender las formas que se utilizan para atacarlas. “Normalmente lo que se hace es ir probando combinaciones”, explica. “Empezar a probar combinaciones desde la a la z. Cosas como ‘AA’, ‘AB’, ‘AC’, ‘aa’, ‘ab’, ‘ac’… Y así hasta probar todas las combinaciones posibles”.

“Entonces, ¿por qué se dice que la contraseña debe ser larga?”, añade. “Pues porque cuanto más grande sea, se necesita más tiempo probando algunas cifras. Por ejemplo, en una contraseña de cinco caracteres hace falta probar ‘solamente’ unos seis millones de combinaciones. Y eso lo puede conseguir por un hacker con una máquina medio potente en un par de meses”.

Sin embargo, si ya nos vamos a una contraseña de seis caracteres (que es lo que se suele recomendar como mínimo), ¡estamos hablando de  aproximadamente de unos dos mil billones de combinaciones!

“Es decir, de una combinación a otra, y con un solo carácter de diferencia, aumenta muchísimo el tiempo necesario para romper la contraseña”, dice Jesús. “Y si ponemos una contraseña de diez caracteres, ya son 37.600 billones de combinaciones posibles, y el pirata debería tener una máquina probando durante mucho mas tiempo. En estos momentos, con una conexión de datos sin ningún retardo y sin ningún problema, tardaría 23 años en descifrar esta clave. Estamos hablando de mucho tiempo dedicado a una contraseña y eso sería, en una situación total y absolutamente perfecta”.

“No es que esa clave sea irrompible, sino de obligar al ‘malo’ a tardar demasiado tiempo en ella. ¡Y a lo mejor esa página ni existe dentro de 23 años! Los atacantes perderían interés en atacar a ese usuario”.

… Y tres reglas básicas

Jesús me explica que él siempre da tres consejos:

  1. Usar contraseñas con cierta longitud. Mínimo seis caracteres. Y que tenga mayúsculas, minúsculas, números y caracteres especiales.
  2. No usar la misma contraseña en diferentes sitios o cuentas.
  3. Utilizar un gestor de contraseñas para generar, organizar y proteger las claves.

Pero entonces, le digo, siempre nos surge el dilema: ¿Me tengo que acordar de un montón de contraseña, que además, claro, no debo apuntar en una libreta ni en ningún documento del ordenador? ¿Cómo lo hago?

“Existen herramientas”, sonríe. “Están los gestores de contraseñas que te permiten guardarlas de manera segura. Yo recomiendo Keepass, que además es de software libre”.

Una llave maestra

Keepass Password Safe es un gestor de contraseñas que permite proteger las distintas contraseñas de forma segura. Para ello, se introducen las distintas claves en una base de datos y quedan protegidas por una  única contraseña maestra, con la que es posible acceder al resto. La base de datos está cifrada con AES y Twofish, y está disponible para Windows, IOS y Linux.

Básicamente sirve para generar, organizar y proteger contraseñas”, explica Jesús. “Además de guardarnos las claves, también tiene la opción de generar contraseñas al azar y de forma segura. Tú le indicas que quieres una contraseña de tantos caracteres para una página nueva, y que tenga símbolos, números y letras…, y la aplicación te lo genera. Obviamente, te va a ser muy difícil de acordarse, pero no te va hacer falta porque la vas a guardar en tu llavero”.

“La ventaja de este sistema es que tengo mi aplicación instalada, a la que accedo con mi clave maestra, y ya no necesito saberme el resto de claves. Me olvido totalmente de ellas, o al menos no necesito memorizarlas”.

Y esto… ¿cómo de seguro es?, le pregunto. “El cifrado que utiliza hoy por hoy, es irrompible, excepto cuando alguien accede a esa contraseña maestra. Tal vez porque la hemos anotado en algún lado y no la hemos memorizado…”, se encoge de hombros. “Por eso NUNCA se debe guardar o anotar en ningún lado. Mucho menos en tu equipo. Esta aplicación incluso permite guardar una copia de seguridad en un dispositivo USB. «Crea un archivo que te permite acceder a la aplicación si, por ejemplo, se te olvida la contraseña y se rompe el pc, no tiene solución «. Es un USB de recuperación, no se utiliza para nada más, y lo guardas en un cajón donde mas nadie tenga acceso. Realmente, es una aplicación fiable y efectiva, sencilla de utilizar y se utiliza en entornos empresariales. El único inconveniente es que está en inglés”, sonríe. “Ya por sacarles algo”.

¿Y cada cuánto tiempo debemos cambiar las contraseñas?

Esta es la otra gran pregunta, claro. “Bueno, todo dependerá de cuánto nos fiemos del proveedor de la página web donde utilicemos esa contraseña”, responde. “Hay que saber cosas como si esa página web ha sufrido algún problema de seguridad, por ejemplo. Y también influye lo importante que sea para nosotros ese servicio. Por ejemplo, en un correo electrónico de trabajo, que es algo muy importante para nosotros, lo recomendable es cambiar la clave cada tres o seis meses. Así, si empiezan a hacer un ataque e intentan averiguar la contraseña, le rompemos el proceso y el atacante tiene que empezar de nuevo”.

Generalmente, las páginas con cierta responsabilidad anuncian cuando han sufrido un problema de seguridad. En ese caso hay que cambiar la contraseña sí o sí, aunque nos digan que nosotros no hemos sido afectados. Aquí siempre es mejor precaver. Por si acaso…

Siempre es importante saber la fiabilidad de la página”, recalca Jesús. “No es suficiente tener una contraseña robusta si el proveedor no es seguro. De nada vale una contraseña muy fuerte y muy bien protegida, si después la página no es fiable”.

¿Y cómo sabemos  si una página es fiable o no? “Lo primero de todo, por la cantidad de usuarios”, explica. “Viendo la popularidad puedes valorar si detrás hay una empresa seria, real, y que sea fiable. Si yo veo una página web para subir fotos de menores que existe hace un año, y solo tiene dos usuarios, y además no hay datos de la empresa, pues es raro. Si aplicamos el sentido común…”.

Según la  LOPD, además, las webs están obligadas a poner los datos de contacto de la empresa en el pie de la página web y en la Condiciones. Nadie la lee, a pesar de que es muy importante. “Especialmente hay una cláusula, muy típica, que dice: ‘Lo proveedores del servicio no se hacen responsable de la seguridad del contenido, la disponibilidad, la integridad ni la confidencialidad del servicio’. Cuando veas una de esas cláusulas, o alguna similar, lo que quieren decir es que en el caso de que ellos sufran un ataque, no tienen la obligación de  avisarnos, de proteger nuestros datos, ni siquiera de tomar medidas legales”. Por el contrario, si no se indica nada, están obligados a asumir la responsabilidad.

Para cosas sensibles, doble autenticación

Otro punto sensible de nuestra vida online son todas aquellas páginas que contienen información sensible. Por ejemplo, fotografías de menores, datos personales… “En estos casos, si tiene doble autenticación de contraseña mejor. Es más, deberíamos utilizarla obligatoriamente”, dice, rotundo.

La doble autenticación es un código que se manda por SMS, o a un email, y tienes que hay que escribir luego en la página para asegurar que quien está intentando acceder es realmente el dueño de esa clave. “Hombre, no es tan fácil ya que la misma persona me robe también el teléfono y averigüe la contraseña…”.

¡Muchas gracias, Jesús! por compartir tus consejos y esperamos pronto verte de nuevo hablándonos de más cuestiones de seguridad.

2 Comments

  • Inma dice:

    Muy buen post. De ahora en adelante ya no olvidaré mis contraseñas, me pondré en marcha en breve para generar contraseñas seguras. Gracias por los consejos tan expertos y a Jesús por compartirlos con todos nosotros.