Cada 4 de mayo se celebra el Día de Star Wars, pero anualmente ese día también se celebra el Día Mundial de la Contraseña. Mucho más aburrido, sí, pero también mucho más importante.
Importante, claro, para la seguridad de cualquier cuenta online que tengas. Es bien sabido que hay demasiada gente que sigue utilizando la misma contraseña para distintas cuentas, incluso para todas.
No hace falta ser un experto en tecnología para darse cuenta de que esto es extremadamente arriesgado. Si un hacker consigue robar tus datos de acceso a una cuenta (quizás por culpa de una empresa que almacena tu contraseña), lo más probable es que pruebe esos mismos datos y vea si puede entrar en sitios web financieros, cuentas de redes sociales y sitios de compras para obtener más datos personales e incluso llevarse tu dinero.
Nord Security, que gestiona NordVPN y NordPass, ha elaborado una lista de las 200 contraseñas más utilizadas en 2022. Asombrosamente, el 83 % de ellas se pueden descifrar en cuestión de segundos, lo que significa que un hacker ni siquiera necesitaría toparse con una base de datos de contraseñas no cifradas: hay software (incluidas algunas de las últimas herramientas de IA) que puede hacer el trabajo por ellos.
Obviamente, hay varias cosas que puedes hacer para mantener tus cuentas seguras. La más obvia es utilizar la contraseña más fuerte posible que un ordenador tardaría millones de años en descifrar. Cuanto más larga sea una contraseña, más segura será: algo que demasiada poca gente conoce.
Hazte con un gestor de contraseñas
En un mundo ideal, no utilizarías la misma contraseña segura para todas las cuentas: tendrías una diferente para cada una de ellas.
Y la única forma de que eso sea factible es empezando a utilizar un gestor de contraseñas como Bitwarden o incluso el integrado en tu navegador web.
Los gestores de contraseñas no solo almacenan de forma segura las contraseñas, sino también la dirección de correo electrónico y los nombres de usuario necesarios para acceder a una cuenta. Y lo mejor de todo (y esto es sin duda la razón principal para utilizar un gestor de contraseñas), pueden rellenar automáticamente esos datos cada vez que aparezca una pantalla de inicio de sesión.
Lo único que tendrás que recordar es una “contraseña maestra” que mantiene seguros los inicios de sesión en el gestor de contraseñas. Pero si tu teléfono, portátil o tablet tiene algún tipo de autenticación biométrica, como un lector de huellas dactilares o reconocimiento facial, ni siquiera tendrás que escribir esa contraseña maestra.
Una vez instalado, el gestor de contraseñas te ofrecerá la posibilidad de recordar los datos cada vez que entres en un sitio web para el que no tenga guardado un nombre de usuario. Así que no te resultará ninguna molestia empezar a utilizar uno.
También pueden generar contraseñas seguras para ti, y algunos pueden incluso crear nombres de usuario únicos que no contengan tu nombre real. A menudo, también pueden resaltar las contraseñas duplicadas que hayas utilizado en diferentes cuentas, para que puedas cambiarlas por contraseñas únicas.
Es posible que ya utilices el gestor de contraseñas integrado en tu navegador o teléfono (como Google Chrome o Apple Keychain). Es un buen comienzo, pero es más cómodo utilizar un gestor de contraseñas que funcione en todos tus dispositivos. De este modo, tendrás tus inicios de sesión al alcance de la mano aunque no utilices Chrome o los productos de Apple exclusivamente.
Te explicamos cómo utilizar un gestor de contraseñas.
Activa la autenticación de dos factores
Otra cosa útil que puedes hacer, además de usar un gestor de contraseñas, es activar la verificación en dos pasos en todas las cuentas y servicios que la admitan.
Los bancos ya utilizan este sistema para mantener tu dinero a salvo, pero verás que también puedes usarlo con algunas cuentas de correo electrónico, sistemas de seguridad domésticos y otros servicios.
Sinceramente, utilizar 2FA no es demasiado cómodo, pero es mucho más seguro que utilizar solo una contraseña. Aunque alguien consiga tu contraseña, no podrá introducir el segundo dato de seguridad, a menos que también tenga acceso a tu teléfono o a tu cuenta de correo electrónico, lo cual es poco probable.
A menudo, ese segundo “factor” es un código numérico que te envían por correo electrónico o SMS y que tú tecleas después de haber introducido tu dirección de correo electrónico y tu contraseña.
Algunas de las empresas más conocidas que ofrecen autenticación de dos factores son Google, Apple, Nest, Facebook, Instagram, Twitter, Microsoft, Dropbox, LinkedIn, Snapchat y Yahoo, entre otras.
Las contraseñas fuertes y complejas están muy bien, pero solo lo son si el servicio con el que las utilizas es seguro y almacena tus datos (incluida la contraseña) en un formato cifrado. Por eso, la autenticación de doble factor es la mejor forma, actualmente, de mantener tus cuentas realmente seguras.
Consejos de expertos para mantener seguras las contraseñas
A continuación, recopilamos lo que dicen los expertos sobre cómo proteger las contraseñas y asegurarse de que no caigan en manos equivocadas.
Raj Samani, científico jefe y miembro de McAfee, afirma: “Las contraseñas que incluyen información personal, como tu nombre o el de tu mascota, son más fáciles de adivinar. Esto es especialmente cierto cuando compartimos mucha información personal en Internet, lo que facilita a los delincuentes adivinar nuestra contraseña”.
“Tampoco debes compartir nunca una contraseña, ni siquiera con un familiar cercano. Aunque pueda parecer inofensivo, compartir estos datos puede hacer que información personal crítica caiga en manos equivocadas. De hecho, McAfee recomienda cambiar las contraseñas cada tres meses como mínimo. De este modo, si una contraseña se ha compartido o se ha visto comprometida, la seguridad de su información en línea tiene más posibilidades de mantenerse a salvo al realizar este cambio”.
El proveedor de alojamiento británico Fasthosts recomienda utilizar frases de contraseña en lugar de contraseñas. Mientras que una contraseña (password) puede ser una palabra o una secuencia de caracteres, una frase de contraseña (passphrase) combina varias palabras para crear una forma compleja de autenticación. Esto hace que sean mucho más fáciles de recordar, pero también mucho más difíciles de descifrar por personas o robots.
Una frase de contraseña segura debe contener al menos 15 caracteres: una mezcla de letras, números y caracteres especiales. También puedes utilizar palabras crípticas o una palabra en otro idioma. En cualquier caso, las palabras deben ser fáciles de recordar, pero difíciles de adivinar. Las frases de contraseña son una gran defensa contra las herramientas de descifrado de contraseñas y los ataques de fuerza bruta.
Fredrik Bernsel, de Hidden24, recomienda guardar las contraseñas localmente y no en la nube: “Yo guardo mis contraseñas en un gestor de contraseñas en el disco duro de mi ordenador, que está encriptado. No uso ninguna función de sincronización para evitar que todas mis contraseñas se almacenen en la nube, lo que añade un riesgo innecesario”.
“Está bien permitir que tu navegador almacene esos inicios de sesión para los sitios web, pero, de nuevo, solo si se almacenan en tu disco duro y no en la nube. También te recomiendo que uses las contraseñas más largas que puedas: 32 caracteres es lo mejor, ya que cuanto más largas, más difíciles de descifrar“.
La seguridad y la comodidad no siempre van de la mano, pero merece la pena cambiar algo de comodidad por un extra de seguridad. Incluso si solo utiliza algunos de estos consejos para tus cuentas de mayor riesgo, como tu banco, merece la pena.
Bitwarden es uno de los pocos gestores de contraseñas que ofrece una opción de autoalojamiento para aquellos que, como Fredrik, no quieren que sus contraseñas se almacenen en la nube. La empresa también ofrece otros consejos:
- No todos los datos de acceso deben ir en el gestor de contraseñas.
- La información de autenticación de dos factores podría mantenerse fuera del gestor de contraseñas.
- Considera la posibilidad de modificar una contraseña guardada en el gestor de contraseñas con caracteres adicionales que solo el usuario conoce. Después de rellenar la contraseña con el gestor de contraseñas, haz los cambios pertinentes.
Por ejemplo, podrías hacer que todas tus contraseñas terminen en “!Pwd”, pero no incluir esa parte en el gestor de contraseñas. Así, incluso en el improbable caso de que alguien consiguiera piratear tus contraseñas cifradas, ninguna de ellas le permitiría acceder a ningún sitio web o aplicación.
Por último, puedes recurrir a la vieja escuela y utilizar papel y bolígrafo. McAfee no lo recomienda, ni tampoco Uswitch, pero otros sí lo hacen. Aunque escribir las contraseñas a mano significa que cualquiera puede leer y utilizar la información, el simple hecho de que no estén almacenadas digitalmente las hace imposibles de piratear.
Si, además, utilizas el consejo de Bitwarden de quitar o poner caracteres, puede ser una forma sorprendentemente segura (y gratuita) de mantener a salvo tus contraseñas más importantes. Eso sí, no pierdas el papel en el que están escritas y guárdalo en un recipiente a prueba de agua y fuego, como una caja fuerte.