Contenido actualizado 02/05/2024, publicación original 07/05/2020
Escribir una contraseña para acceder a una de las decenas de servicios que utilizamos se ha convertido en una parte tan cotidiana de nuestras vidas que rara vez pensamos en ello.
Procuramos que nuestras contraseñas sean simples y fáciles de recordar para poder pasar rápidamente por el proceso de iniciar sesión y seguir con lo que estamos haciendo.
Este es uno de los muchos errores que cometemos cuando se trata de algo en lo que confiamos para asegurar una parte de nuestra identidad digital. Por esto y aprovechando que hoy es el Día Mundial de la Contraseña, te proponemos pensar en los 5 errores más comunes en los que puedes caer cuando creas tus contraseñas.
1. Reutilizar las contraseñas
Uno de los errores más frecuentes es, sin lugar a duda, la reutilización de contraseñas. La mayoría de las veces las personas se preocupan por crear contraseñas que sean fáciles de recordar, que suelen ser son cortas y simples, aunque la mayoría de los servicios tienen requisitos para ingresar una contraseña y exigen una longitud mínima y la inclusión de algunos caracteres que le aportan un poco más de complejidad.
Una vez que hayamos memorizado la contraseña y nos registremos en un nuevo servicio, y luego en otro, y otro, no queremos tener que recordar una contraseña para cada uno de estos servicios.
Aquí es donde muchos usuarios deciden reutilizar la contraseña que han logrado guardar en su memoria. Según una encuesta realizada en 2019 por Google, el 52% reutiliza la misma contraseña en varias de sus cuentas, mientras que un sorprendente 13% usa la misma contraseña para todas sus cuentas.
Sustituir letras por números o minúsculas por mayúsculas y viceversa también se considera una reutilización de la contraseña, aunque algunos podrían opinar que es una ligera mejora.
El problema más grave con la reutilización de contraseñas es que los usuarios quedan expuestos a lo que se conoce como credential stuffing. ¿Qué es esto? Una forma de robo de credenciales, a través de la que se busca tomar el control de las cuentas de los usuarios y utiliza bots que intentan iniciar sesión utilizando credenciales de acceso que fueron filtradas en brechas de datos antiguas que sufrieron otros sitios; hasta que logran dar con la combinación correcta de un nuevo sitio en el cual se utilizaron las mismas credenciales de acceso que se filtraron. Por lo tanto, diversificar las contraseñas es lo mejor.
2. Crear contraseñas simples
Las contraseñas simples suelen ser las más utilizadas. Todos los años se publica una lista de las contraseñas más utilizadas que demuestra que cuando se trata de contraseñas, las personas toman decisiones altamente cuestionables, con “12345” y “password” entre las primeras del ranking.
Además de patrones simples y palabras obvias, un error frecuente que puede estar cometiendo al crear contraseñas es utilizar datos personales como parte de las estas, lo que las convierte en fáciles de adivinar o de encontrar.
De acuerdo a la encuesta de Google, que citamos antes, seis de cada diez adultos en los Estados Unidos han incorporado un nombre (el de ellos, el de su cónyuge, el de sus hijos o su mascota) o una fecha de cumpleaños a sus contraseñas. Lo ideal es utilizar como contraseña una frase.
El doble factor de autenticación (2FA, por sus siglas en inglés) también debe activarse cuando sea posible, ya que agrega una capa de seguridad adicional contra varios tipos de ataques que intentan revelar credenciales de inicio de sesión.
3. Almacenar las contraseñas en texto plano
Otro error frecuente es escribir nuestras contraseñas. Esto se presenta de dos formas: contraseñas anotadas en papel o notas adhesivas, o guardadas en hojas de cálculo o documentos de texto en nuestra computadora o teléfono.
En el primero de los casos: a menos que el actor malicioso desee sumar a sus antecedentes el ingreso por la fuerza a un domicilio, no hay forma de que acceda a las mismas. En todo caso, si se optara por esta forma, las anotaciones deberían ser más bien pistas que ayuden a recordarlas, y deberían almacenarse en un lugar protegido de los ojos curiosos.
En el segundo caso, si almacenas las claves en alguno de sus dispositivos, quedarás expuesto si un atacante obtiene acceso a su dispositivo y hurga en él. Con poco esfuerzo tendrá acceso a una gran cantidad de credenciales.
Además, si el dispositivo se ve comprometido por un malware que copia sus datos y los envía a un servidor remoto, un actor malicioso podrá acceder a todas sus cuentas antes de que puedas darte cuenta.
Queda claro que almacenar contraseñas en texto plano en cualquier dispositivo conectado es una mala idea.
4. Compartir contraseñas
Si bien compartir es un acto de generosidad, no se recomienda hacerlo con las contraseñas. Aunque algunos no opinan lo mismo, como el 43% de los participantes de una encuesta en Estados Unidos que admitió haber compartido sus contraseñas con otra persona. Más de la mitad de los encuestados dijo haber compartido su contraseña con sus seres queridos, entre ellas contraseñas para servicios de streaming, cuentas de correo electrónico, cuentas de redes sociales e incluso para acceder a cuentas para realizar compras en línea.
Si bien compartir la contraseña para acceder a una cuenta de un servicio de streaming es un fenómeno generalizado, es menos peligroso que el resto de las opciones mencionadas.
Una vez que compartes la contraseña, no puedes estar seguro de cómo la otra persona manipulará la clave y si la compartirá con otra persona. Mucho depende de cómo compartió la contraseña: ¿la escribió en su cuenta y la guardó? ¿O tal vez la envió por correo electrónico o mediante una aplicación de mensajería instantánea en forma de texto sin formato?
Por ejemplo, si compartes tus credenciales de acceso a una plataforma de compras, la persona a la que le confió podría iniciar sesión con su identidad, los métodos de pago están guardados, podría usar información para realizar una transacción, sin su autorización.
5. Cambiar las contraseñas periódicamente (sin pensarlo demasiado)
Algunas organizaciones obligan a los usuarios a cambiar sus contraseñas cada dos o tres meses “por razones de seguridad”. Pero, contrariamente a la creencia popular, cambiar su contraseña regularmente, sin evidencia de que su contraseña haya sido filtrada en una brecha, no hace que su cuenta sea más segura.
Existen estudios que demuestran que cuando las personas se ven obligadas a cambiar sus contraseñas con frecuencia, no piensan demasiado en ello.
Investigadores de la Universidad de Carolina del Norte (UNC), de los Estados Unidos, descubrieron que los usuarios se inclinarían hacia la creación de contraseñas que siguieran patrones predecibles a los que denominaron transformaciones y consisten en cambiar muy poco la contraseña: sustituir una letra por un símbolo similar, agregar o eliminar un carácter especial, o cambiarles el orden a uno o dos caracteres.
Esto hace que sea bastante fácil para los atacantes hacer su trabajo, ya que, los cibercriminales si conocen una contraseña pueden adivinar estas transformaciones con poco esfuerzo.
Hay que agregar también que una vez que los ciberdelincuentes obtienen acceso a su dispositivo, pueden instalar un keylogger para realizar un seguimiento de las contraseñas cada vez que las cambies.
Contar con una solución de seguridad instalada en tu dispositivo aumentará las posibilidades de que el keylogger sea detectado y desactivado.
Conclusión
Una contraseña que cumpla con todas las condiciones puede parecer una tarea desalentadora, pero hay varias formas de crearlas sin que se convierta en una tarea tan compleja.
Utilizar una frase, por ejemplo, es preferible a una contraseña simple, y agregar una capa adicional de seguridad activando el doble factor de autenticación en cada servicio que esté disponible debería ser la norma.
Si te resulta tedioso recordar todas las contraseñas únicas que ha creado, entonces un administrador de contraseñas podría ser la respuesta ya que tendrás que recordar solo una contraseña que, por supuesto, deberá seguir las pautas te hemos mencionado en esta publicación.