Cómo Elegir una Contraseña Segura y Difícil de Adivinar: Consejos de Expertos

Por comodidad, superficialidad o pereza, solemos usar contraseñas fáciles de recordar y las repetimos para acceder a diferentes servicios. ¡Un grave error! Es como dejar las llaves de casa puestas en la puerta. Aquí te explicamos cómo crear contraseñas seguras a prueba de “robo”.

Me gusta decir que “las contraseñas son las llaves de nuestra Casa Digital”, una “casa” (formada por computadoras, smartphones, tablets) donde guardamos cada vez más datos, y cada vez más importantes.

Pero como la tecnología avanza más rápido de lo que podemos asimilarla, aún hoy usamos contraseñas de forma totalmente insegura. Nadie dejaría la llave en la puerta al salir de casa, pero con las contraseñas hacemos precisamente eso…

Errores comunes que no debes cometer al crear una contraseña

En mi actividad de formación, veo muchos errores en el uso de contraseñas.

¡Increíble pero cierto! Estas fueron las contraseñas más utilizadas en el mundo (¡y las peores!) (fuente Splash Data):

1. 123456 (en primer lugar desde 2013)
2. password
3. 12345678
4. qwerty
5. 12345
6. 123456789
7. letmein
8. 1234567
9. football
10. iloveyou

No hace falta añadir nada más…

El error de usar la misma contraseña para sitios diferentes

Además de usar contraseñas demasiado débiles, cometemos el error de usar la misma contraseña para diferentes sitios. El llamado “reutilización de contraseñas” es probablemente el error más grave que podemos cometer. Un hacker podría violar los servidores de un sitio (sucedió con Yahoo, LinkedIn y muchos otros) y robar todas las contraseñas. Pero si hemos usado esa misma contraseña (que ha sido descubierta) en otros sitios, será pan comido para el hacker usarla.

Incluso es posible automatizar el proceso de verificación usando Shard, una herramienta de línea de comandos desarrollada para permitir a los usuarios comprobar si una contraseña que usan para un sitio se utiliza para acceder a algunos de los servicios más populares, incluyendo Facebook, LinkedIn, Reddit, Twitter o Instagram. El código de la herramienta Shard está disponible en el repositorio de GitHub.

Antes de examinar las reglas para una contraseña segura, veamos CÓMO se descubren las contraseñas.

¿Cómo nos roban las contraseñas?

Hay varias técnicas para descubrir nuestras contraseñas, a veces realmente sencillas:

• Ingeniería social: por ejemplo, phishing, Password Sniffing. Básicamente, nosotros mismos caemos en las técnicas de ingeniería social y les damos las contraseñas a quienes nos las piden a través de mensajes, correos electrónicos, sitios falsos que imitan un sitio conocido.
• Adivinando las contraseñas: usando información personal como nombre, fecha de nacimiento o nombres de mascotas. El que descubre la contraseña no será un hacker lejano, sino quizás un amigo o el vecino…
• Ataque “brute force”: prueba automática de una gran cantidad de contraseñas hasta que se encuentra la correcta. Existen programas específicos para esto, el más conocido es John the Ripper. Es una técnica costosa, que requiere tiempo y potencia de cálculo, pero que puede lograr el resultado.
• Interceptación de una contraseña mientras se transmite en una red. Es frecuente la mala costumbre de comunicar contraseñas por correo electrónico: hay incluso sitios que, tan pronto como nos registramos, nos envían un amable mensaje de bienvenida que contiene el nombre de usuario y la contraseña expuestos “en claro”. Lástima que el correo electrónico no sea un medio seguro…
• “Shoulder surfing”: observando a alguien por detrás (“shoulder”) mientras escribe la contraseña.
• Instalando un keylogger para interceptar las contraseñas cuando se escriben en un dispositivo. Recordemos que los keyloggers son programas (troyanos) que registran todo lo que se escribe en el teclado y luego transmiten esos datos al hacker que instaló el keylogger. También existen keyloggers basados en hardware que requieren acceso directo al ordenador de la víctima.
• Contraseñas almacenadas de forma insegura, como escritas a mano en un papel, o guardadas en un archivo de Word (¡obviamente llamado “Contraseñas”! ).
• Comprometiendo una base de datos que contiene una gran cantidad de contraseñas de usuario, y luego usando esa información para atacar otros sistemas donde los usuarios han reutilizado las mismas contraseñas (“credential stuffing“). Por ejemplo, esto es lo que sucedió con la violación de datos de LinkedIn (2012), a través de la cual se violaron las cuentas de LinkedIn, Twitter y Pinterest de Mark Zuckerberg (¡que usaba la misma contraseña en todas!).

Cómo escribir una contraseña segura

Una contraseña se caracteriza por:

• Longitud: se recomienda usar al menos 12 caracteres.
• Tipos de caracteres usados:
  • Números (0-9) = 10 tipos
  • Letras = 52 tipos (26 minúsculas + 26 mayúsculas)
  • Caracteres especiales del teclado (es decir, los que están directamente presentes en los teclados, p. ej.: # &%?^ etc. = 33 tipos

En total, tenemos a nuestra disposición 95 tipos de caracteres: se recomienda usarlos todos, porque al aumentar los tipos de caracteres, el número de combinaciones crece exponencialmente, como vemos también en esta tabla (donde en la columna “Tiempo” hemos calculado cuánto tardaría un ataque “brute force” realizado con una computadora capaz de probar mil millones de claves por segundo):

Contraseña de 8 caracteres	Combinaciones	Tiempo
Solo Números ($10^8$)	1,0E+08	< 1 seg.
Letras + Números ($62^8$)	2,2E+14	2,5 días
Letras + Números + Caracteres especiales ($95^8$)	6,6E+15	1.576 días

Contraseña de 12 caracteres	Combinaciones	Tiempo
Solo Números ($10^{12}$)	1E+12	16 minutos
Letras + Números ($62^{12}$)	3,2E+21	1.023 siglos
Letras + Números + Caracteres especiales ($95^{12}$)	5,4E+23	17 millones de años

Por lo tanto: usa todos los caracteres disponibles (95) y usa una contraseña de (al menos) 12 caracteres para aumentar el número de combinaciones y, por lo tanto, la seguridad de la cuenta.

El decálogo para una contraseña segura

Resumamos las buenas reglas para una contraseña digna de ese nombre:

1. Siempre diferente: No uses la misma contraseña en cuentas diferentes (“no puedes evitar que tu proveedor sea violado, pero puedes evitar que todas tus cuentas sean hackeadas de golpe por usar una sola contraseña”).
2. Larga: al menos doce caracteres (¡o incluso más!).
3. Mixta: usa todos los tipos disponibles: letras mayúsculas y minúsculas, números y caracteres especiales.
4. Sin sentido: evita nombres, palabras o partes de palabras que se puedan encontrar automáticamente en un diccionario en cualquier idioma.

Errores que debes evitar al crear una contraseña

• Secuencias o caracteres repetidos. Ejemplos: 12345678, 222222, abcdefg, o letras adyacentes en el teclado (qwerty).
• Palabras escritas al revés, errores comunes de ortografía y abreviaturas.
• Modificaciones obvias a la contraseña: sustituir “a” por “@”, “e” por “&” o “3”, “s” por “$”. Son trucos triviales, bien conocidos por los hackers.
• Información personal o de familiares: nombre, cumpleaños, número de carnet de conducir y de pasaporte o información similar.

La única contraseña segura es la que no se puede recordar

Veamos algunos ejemplos de contraseñas y expliquemos por qué no son tan seguras (¡excepto una!):

Contraseña	Segura?	Razón
987654321	NO	Secuencia numérica
precipitadamente	NO	Palabra de diccionario
01101952	NO	Fecha de nacimiento
password	NO	Palabra de diccionario
1q2 w3e4r	NO	Secuencia en el teclado (en zigzag en dos filas)
T3L3VI510N3	NO	Modificación (¡obvia!) de la palabra TELEVISIÓN
rtuoiry55TyUo77#	SÍ	Combinación aleatoria

Por lo tanto, la única contraseña segura es la que no se puede recordar, citando el famoso artículo del experto australiano Troy Hunt: “The only secure password is the one you can’t remember“.

La solución para la mejor contraseña: Generador gratuito

Como hemos dicho, para estar seguros debemos usar contraseñas siempre diferentes y muy complejas.

Está claro, pero ¿cómo recordarlas? Hoy en día, las contraseñas que cada uno de nosotros debe gestionar suelen ser varias decenas, algunas de las cuales son absolutamente delicadas (Internet Banking, cuentas de empresa, correo electrónico, ID de Apple o Google, conectados a smartphones, servicios en la nube).

La solución que recomiendo (y que también recomienda Troy Hunt, en el artículo citado anteriormente) es sencilla y muy práctica: usar un administrador de contraseñas.

Se trata de un software que permite gestionar todas las contraseñas de los distintos sitios y aplicaciones a través de una única contraseña central, la del administrador de contraseñas, que una vez introducida permite acceder a todas las demás sin tener que recordarlas siempre. Herramienta muy útil y recomendada.

Otra solución para crear contraseñas eficaces es utilizar un generador de contraseñas, es decir, un software que permite generar contraseñas aleatorias de forma sencilla y rápida, creando contraseñas seguras de 8 o más caracteres.

Cómo saber si tus credenciales han sido violadas

Por último, veamos también cómo descubrir si tu contraseña ha sido violada. El experto australiano en ciberseguridad Troy Hunt (del que también he hablado anteriormente), ha creado un útil servicio para saber si tus credenciales han terminado en alguna “violación de datos”.

En el sitio haveibeenpwned.com (que podría traducirse como “¿He sido víctima de una violación de datos?”) ha clasificado todas las violaciones de datos más importantes de los últimos años, creando un archivo con más de 5 mil millones de cuentas violadas.

Basta con introducir tu nombre de usuario y hacer clic en el botón “¿pwned?” para saber si tu cuenta ha estado involucrada en algún incidente informático. Si es así, la pantalla se vuelve roja y aparece el texto “¡Oh, no, pwned!”. Y se enumeran las “Violaciones en las que estuviste”, los incidentes en los que terminó tu cuenta. Con el consejo, obviamente, de cambiar inmediatamente la contraseña de la cuenta violada.

El sitio es seguro y ya muy conocido, tanto es así que lo utiliza también el navegador Chrome, a través de una extensión específica (llamada “PassProtect”) que, cada vez que introducimos una contraseña en el navegador, comprueba en la base de datos de Haveibeenpwned si la contraseña ha sido hackeada.

Y si lo es, nos da la información “la contraseña no es segura”.

¡Útil y seguro! Lo recomiendo sin duda.

¡Buenas contraseñas a todos!