Nuestra principal protección contra los ciberdelincuentes son nuestras contraseñas

¿Sabes cómo gestionar de forma segura todas nuestras claves?

La información personal, es un objetivo muy atractivo para los ciberdelincuentes. La principal protección contra ellos son las contraseñas. Es importante diferenciar una contraseña fácil de una robusta. Por eso te regalamos algunas recomendaciones para tener en cuenta:

Las contraseñas “nos protegen”

La mayoría de servicios donde nos registramos utilizan mecanismo para verificar la identidad como nombre de usuario y una contraseña de acceso, o métodos de autenticación adicionales, como la biometría, que permite utilizar el rostro o huella digital.

Amenazas para las contraseñas.

La contraseña es la primera defensa para proteger las cuentas y dispositivos. Los ciberdelincuentes hacen uso de un gran número de herramientas y estrategias con las que conseguirlas y secuestrarlas.

• Fuerza bruta: Los atacantes realizan pruebas de ensayo y error, realizando combinaciones al azar, conjugando nombres, letras y números hasta dar con el patrón correcto.

• Ataques de diccionario: utilizan un programa malicioso que trata de adivinar la contraseña de una cuenta de forma automática realizando combinaciones de letras cada vez más complejas hasta dar con la correcta.

• Ataques Keylogger: son ataques donde se utiliza un tipo de malware conocido como Keylogger. Los ciberdelincuentes consiguen instalar este malware en el dispositivo de sus víctimas por medio de diferentes técnicas, como el phishing.
  Una vez instalado, este programa malicioso recopilará todas las pulsaciones que el usuario haga sobre su teclado, incluidos usuarios y contraseñas, y luego las compartirá con el atacante. Algunas modalidades permiten realizar capturas de pantalla e incluso realizar grabaciones de vídeo y audio.

• Ataques ‘Spidering’ o de araña: estos ataques se basan en buscar toda la información posible sobre la víctima en Internet para luego realizar pruebas con combinaciones de palabras sobre su vida personal, como fechas de cumpleaños, nombre y apellidos o nombres de la mascota.

• Ataques de ingeniería social: estos ataques son los más comunes y existen una amplia variedad de ellos, como el phishing, smishing, vishing… En conjunto, se tratan de técnicas de engaño donde los ciberdelincuentes consiguen que sus víctimas les faciliten el usuario y la contraseña de sus cuentas, pensando que se trata de una persona o entidad de confianza, como nuestro banco o personal del servicio técnico de nuestro equipo.

Contraseña robusta

Un delincuente tarda segundos en descifrar la contraseña 1234567890. Los ciberdelincuentes cuentan con numerosas herramientas que permiten descifrar las contraseñas más sencillas en cuestión de segundos.

Para evitarlo, cada vez son más los servicios que solicitan la creación de contraseñas con características especiales para hacerlas más robustas y difíciles de adivinar. La creación de contraseñas robustas no es un proceso complejo como se indica acontinuación:

• Una frase o varias palabras.
• Incluir mayúsculas y minúsculas.
• Añadir números.
• Añadir caracteres especiales.
• Personalizar las contraseñas.

Asociar información que ya formen parte de nuestra permite recordar una contraseña larga asociando las partes con algún concepto o evento, por ejemplo:

• Patrones de teclado numérico. Sistema de letras asociado a números, para hacerla más compleja, se puede utilizar palabras más largas y alternar entre letras y números, como ‘Contraseña’ que sería ‘C0n7R4s3Ñ4*

• Elementos distintivos por cuenta. Otra alternativa es memorizar una contraseña robusta y variarla entre cuentas añadiendo alguna palabra o letras relacionadas con la cuenta. Ejemplo, Sistema Zeus: S1Z3uS! red social ‘RS01Z3uS*

• Frase como base de la contraseña. Podemos utilizar una frase larga que nos recuerde la contraseña que hemos utilizado, como ‘Esta es mi contraseña de correo electrónico en 2022’ para construir ‘EsMcDcEe22!’.

• Mezclar dos palabras. Si mezclamos ‘calor’ con ‘frio’ obtendremos ‘cfarlioor’ completar con alguna mayúscula, números y un carácter especial: ‘Cfarlio0r* 

Errores comunes que no deberías cometer

El riesgo debido al uso de malas prácticas es muy alto y puede poner en peligro toda nuestra seguridad y privacidad:

Algunas veces se suele utilizar la misma contraseña en diferentes cuentas, utilizando claves fáciles o dejarlas escritos en sitios accesibles por otras personas. El riesgo de este tipo de prácticas es muy alto y puede poner en peligro las seguridad de la información, como:

• Reciclar contraseñas: un error muy frecuente, es utilizar la misma clave para múltiples cuentas o aplicaciones.

• Memorizar contraseñas en función del teclado: muchos utilizan el teclado como guía para recordar contraseñas fácilmente (ej.: “123456” o ‘asdfgñlkjh’).

• Usar expresiones comunes: entre otro de los errores más comunes es el uso como contraseñas de frases como ‘teamo’, ‘iloveyou’.

• Utilizar información personal: algunas veces se suele emplear datos personales para crear sus claves, como fecha de cumpleaños, aniversario, nombre y apellidos, nombre de la mascota o equipo favorito.

• Apuntar en notas: aunque se haya creado una clave robusta, nunca se debe dejar por escrito y mucho menos a la vista.

• Hacer uso de patrones sencillos: como que la primera letra en mayúscula seguida de 4 o 5 en minúscula o usar uno o dos números y finalizar con un carácter especial como un punto o signo de exclamación Teamo12!

Medidas de protección adicionales

Una contraseña robusta asegurará que la mayoría de ciberdelincuentes no intenten atacar la seguridad. Sin embargo, los ataques basados en ingeniería social, técnicas de engaño para manipular y conseguir que facilitemos nuestra contraseña.

Un correo con un enlace malicioso o la descarga por error de un virus puede afectar a nuestra seguridad independientemente de lo robusta que sea nuestra contraseña.

Por ello, debemos tener en cuenta el uso de otras medidas de protección adicionales, especialmente en aquellas cuentas personales que contengan información sensible, como bancos o el correo electrónico.

La verificación en dos pasos es una medida de protección adicional a la contraseña con la que podemos dificultar que alguien sin autorización acceda a nuestra cuenta. Al activarla, además de un usuario y una contraseña, será necesario facilitar otro código para autenticarnos. Este código suele enviarse a otro dispositivo, como puede ser teléfono celular, y diversos métodos como:

• Verificación por SMS.
• Verificación por correo electrónico.
• Verificación con pregunta de seguridad: algunos servicios utilizan preguntas de seguridad como medida de seguridad extra.
• Verificación a través de una aplicación: aplicaciones que se vinculan a nuestras cuentas y que sirven de intermediario para verificar nuestra identidad al compartirnos el código de validación.
• Verificación por códigos temporales proporcionados por la propia app o servicio: algunos servicios expiden códigos temporales a modo de verificación.
• Verificación mediante llave de seguridad (USB, NFC, Bluetooth…): un dispositivo externo que al conectarlo o vincularlo verifica nuestra identidad.
• Verificación con biometría: nuestro rostro o huella dactilar puede servir para identificarnos y como medida de seguridad extra.
• Verificación con códigos de recuperación: se trata de códigos que debemos guardar o imprimir y que podemos utilizar en caso de emergencia a modo de llave maestra.

De este modo, para acceder a nuestra cuenta se necesita, además de nuestro usuario y contraseña, tener acceso a nuestro dispositivo personal, lo que minimiza las posibilidades de que un atacante nos robe la cuenta.

Comprobación de cuentas comprometidas

En ocasiones, los ciberdelincuentes realizan ataques a empresas de servicio, como plataformas de compras online, redes sociales u otro tipo de servicios online donde tenemos cuenta. Cuando esto ocurre, la seguridad de nuestras cuentas puede verse afectada y es recomendable realizar una comprobación para cambiar nuestras contraseñas en aquellas cuentas afectadas.

Para comprobarlo, podemos hacer uso de la web Have i Been Pwned.

Una vez dentro, nos pedirá que ingresemos nuestro email y la herramienta vinculará ese correo con los datos recogidos de las filtraciones de datos que se han publicado en Internet.

Luego, nos informará si existe una coincidencia y, además, sabremos si nuestro correo electrónico, afectado por una de estas filtraciones, se ha utilizado en algún servicio que no conocíamos o que habíamos olvidado debido al poco uso.