No es nada nuevo que las personas hacemos cosas a sabiendas de que nos perjudican. Aunque sepamos que los ultraprocesados y la carne roja puede dañar nuestra salud, los comemos igualmente, y lo mismo nos pasa con nuestras contraseñas digitales. A pesar de que cada vez hay más conciencia sobre los riesgos de las malas prácticas en torno a nuestras credenciales online, la falta de tiempo, ganas o conocimiento técnico nos convierte en los principales aliados de los ciberdelincuentes. Así lo demuestra el hecho de que el factor humano esté involucrado en el 74% de las brechas de ciberseguridad, según el Informe de Investigación de Brechas de Datos 2023 de Verizon.
De entre todas las cosas que hacemos mal, “las contraseñas mal elegidas y protegidas siguen siendo una de las principales fuentes de origen de las brechas”, advierte el informe. Da igual que llevemos años oyendo hablar de las bondades de que sean largas, complejas y difíciles de adivinar, en 2019, una investigación del Centro Nacional de Seguridad de Reino Unido descubrió que la contraseña involucrada en la gran mayoría de las brechas de datos que analizó era “123456”. En concreto, 23 millones de todas las cuentas hackeadas identificadas por el organismo compartían esa misma clave de acceso.
Cuesta créelo si tenemos en cuenta que ya deberíamos ser más que conscientes de que el mal acecha en cada rincón de Internet y de que los ciberdelincuentes idean una nueva estrategia para saltarse cada nueva medida de ciberseguridad que inventan los expertos. En el caso de las contraseñas, Microsoft calcula que cada segundo se producen 579 ataques a nivel mundial, es decir, más de 18.000 millones cada año. Ante este enorme volumen de amenazas no es de extrañar su éxito cuando las contraseñas son tan fáciles de adivinar como “123456” o “contraseña”, que lamentablemente también figura entre las más comunes.
Esta es la razón por la que la tecnológica es una de las varias grandes compañías del sector que están inmersas en la construcción de un futuro digital sin contraseñas. Conocida como Alianza FIDO, la iniciativa está explorando alternativas que combinen distintos tipos de tecnologías para reforzar la seguridad de las credenciales sin complicar el día a día de los usuarios. Pero, mientras esperamos a que este futuro se haga realidad, la responsabilidad de mantener unas contraseñas robustas y de no caer en las trampas que nos tienden los hackers para hacerse con ellas recae principalmente sobre nosotros, los usuarios.
Llegados a este punto, conviene recordar los aspectos básicos para diseñar contraseñas resistentes. Como no podría ser de otra forma, los tres primeros son la longitud, la complejidad y su naturaleza única. Es decir, cuanto más larga, complicada y exclusiva sea una contraseña, más difícil será de hackear a base de fuerza bruta y de reutilizar para acceder a otras cuentas en caso de que llegue a filtrarse.
1. LONGITUD
El número de caracteres de una contraseña se alza como el factor que probablemente más contribuye a mantener protegidas las contraseñas. Esto se debe a que, como pasa con los cúbits en la computación cuántica, cada carácter extra puede aumentar exponencialmente el tiempo que los hackers tardarán en descifrarla a base de fuerza bruta.
“Una contraseña de cuatro caracteres puede ser descubierta por ciberdelincuentes en apenas segundos, independientemente de si está compuesta solo por números o letras […]. Por el contrario, una contraseña compuesta de 18 caracteres entre los cuales se combinen números, minúsculas, mayúsculas y símbolos no podría ser descifrada por ciberdelincuentes en menos de 438 trillones de años”, explican desde el Banco Santander.
Eso cierto que la extensión mínima recomendada para una contraseña robusta varía en función de a quién se pregunte, y que cada servicio digital puede imponer un máximo y un mínimo distintos a su antojo. Pero, en general, la mayor parte de los accesos requieren contraseñas con un mínimo de ocho caracteres, “lo suficientemente larga como para proporcionar una seguridad adecuada y lo suficientemente corta como para que los usuarios la recuerden fácilmente”, explican desde Microsoft.
2. COMPLEJIDAD
Aunque a mayor longitud de una contraseña más difícil será de descifrar, la extensión no es el único elemento que aporta robustez. La otra gran característica es la complejidad, es decir, se buscan contraseñas que combinen distintos tipos de caracteres: letras, números, mayúsculas, minúsculas, símbolos y caracteres especiales. Mientras que una contraseña de 13 caracteres alfanuméricos requeriría 906.123 años en ser descifrada, otra de 12, pero con más tipos de símbolos que solo cifras y letras, podría resistir hasta 1.896.229 años, según descubrió la famosa investigación ‘Rethinking Passwords’ del experto en seguridad informática William Cheswick, publicada en 2013.
Para que las claves con estos símbolos resulten más fáciles de memorizar, se aconseja, por ejemplo, sustituir las vocales por cifras o caracteres especiales que se les parezcan. Por ejemplo, una I podría sustituirse por un 1, mientras que una A podría ser un 4 o una @, y una S podría escribirse como $. Cualquier cosa para evitar una contraseña que pueda aparecer en un diccionario o en un listado numérico.
Eso sí, ante la cada vez mayor complejidad que requieren, ha surgido un nuevo enfoque que consiste en utilizar frases completas o combinaciones de palabras, un enfoque conocido como passphrases. “Son contraseñas de tres o más palabras. Por ejemplo, descifrar ‘gallinaperrogatoconejo’ llevaría varios siglos, el doble que ‘#sK8/aD+:’, y además es más fácil de recordar”, dicen desde Banco Santander. Y añaden: “Recuerda que lo que hace fuerte una contraseña es la longitud, no su complejidad”.
3. EXCLUSIVIDAD
Independientemente de las contraseñas que finalmente elija para cada servicio concreto, ya sea su servidor de correo electrónico o su cuenta en una red social, la tercera gran recomendación es que no las reutilice. Es decir, su clave para Gmail nunca debería ser la misma que la de Facebook, sino que cada una debe tener una naturaleza única.
De nuevo, la cosa se complica. Si es de esos que, como la mayoría, tiende a usar la misma contraseña en todos los servicios, probablemente se sentirá incapaz de recordar una distinta para cada acceso digital. El fenómeno es tan real que está descrito y tiene nombre propio: fatiga de contraseña, que se define como “el sentimiento experimentado por muchas personas que requieren recordar un excesivo número de contraseñas como parte de su rutina diaria”.
Si todavía no lo ha sufrido, puede que no le quede mucho, ya que, cuanto más nos digitalizamos, más claves debemos recordar. Mientras que en 2011 se estimaba que un usuario medio debía recordar 10 contraseñas distintas cada día, un estudio publicado este mismo año afirma que cada persona debe recordar unas 100 claves diferentes y que la cifra aumentó un 25% solo entre 2019 y 2020.
De este modo, a medida que nos volvamos más y más digitales, el número de claves a memorizar seguirá creciendo. Y, por si fuera poco, otra de las recomendaciones más comunes en ciberseguridad consiste en cambiarlas todas cada cierto tiempo. Así que, si ya le cuesta recordar las que mantiene actualmente, imagínese tener que actualizarlas una vez al año o con cada cambio de estación, como suele aconsejarse.
¡AYUDA!
Por supuesto, la industria tecnológica ha salido al rescate de los usuarios para ofrecerles soluciones que les ayuden a mantener unas contraseñas seguras y robustas sin que les estalle la cabeza. La primera y más sencilla consiste en aplicar reglas mnemotécnicas o patrones para diseñar una clave para cada servicio.
En un artículo de Xataka, el experto en computación y seguridad informática Yago Jesus, explica: “La mejor forma de crear una contraseña segura es emplear un sistema que te permita, por un lado, crear una contraseña robusta y, por otro, que tenga algún tipo de mecánica que te pueda ayudar a recordarla. Un sistema perfectamente válido es asociar año + evento importante. Por ejemplo, 2010GolDeIniesta o 2020TodosConfinadosPorElVirus. Y puedes crearte una nota como apoyo vinculando el sitio con su año, por ejemplo, Apple –> 2010 / Gmail –> 2020 para que sirva de índice”.
Y esta no es su única estrategia. El experto continúa: “Otro sistema puede ser coger un libro, que puede ser la Biblia, y relacionar capítulos con sites, siendo la contraseña la primera frase del capítulo. Por ejemplo: primer libro de la Biblia, el Génesis, su primera frase ‘En el principio creó Dios los cielos y la Tierra’. Si yo luego relaciono Gmail –> 1 ya sé que la contraseña de mi Gmail es la primera frase del primer libro de la Biblia”.
Pero si tampoco tiene ganas de ponerse a crear este tipo de mecánicas o no confía en su capacidad de recordarlas, el mundo tecnológico ha dado con otra solución mucho más sencilla para el usuario: los gestores de contraseñas. Se trata de programas que almacenan todas las contraseñas de un usuario en un mismo sitio, lo que permite que la única que tenga que recordar sea la de acceso al propio gestor. Existen dos tipos de gestores de contraseñas:
- Gestores online, accesibles a través de cualquier dispositivo con conexión a Internet. Su principal desventaja es que son un blanco potencial para los ciberdelincuentes y que la seguridad general dependerá del servidor.
- Programas instalados en el equipo, a los que solo se puede acceder de forma local, por ejemplo, desde el ordenador de casa o incluso en el móvil. Toda la seguridad reside en la instalación.
Aunque existen muchísimos ejemplos de gestores de contraseñas de todas las formas y colores, y cada uno con sus ventajas y sus desventajas, en la web Alternativas Europeas podrá encontrar cinco opciones made in Europe.
A futuro, el problema de las contraseñas también podría resolverse de un plumazo si algún día llega a cumplirse la promesa de la Web3, en la que la identidad de cada usuario estaría controlada por él mismo. Bajo este soñado nuevo paradigma, cada persona dispondría de una billetera virtual con su identidad, la cual se conectaría de forma encriptada y anonimizada a cada servicio web. Pero, como casi todo lo relacionado con el mundo cripto, todavía falta para eso, si es que algún día llega.
Así que, mientras tanto, lo mejor que puede hacer es armarse de paciencia, seguir todas las recomendaciones de los expertos y hacer uso de alguna tecnología o regla mnemotécnica que pueda facilitarle la tarea. De momento, no hay más opciones. Lo que sí que hay es un ejército de ciberdelincuentes deseosos de hacerse con la mayor cantidad posible de sus datos, protegerse de ellos depende de usted.
Sobre la firma
Periodista tecnológica con base en ciencias. Coordinadora editorial de 'Retina'. Más de 12 años de experiencia en medios nacionales e internacionales como la edición en español de 'MIT Technology Review', 'Público', 'Muy Interesante' y 'El Español'.
