A pesar de que la autenticación biométrica es una realidad en muchos aspectos de nuestra vida digital actual, aún existen miles de situaciones donde todavía debemos usar la clásica contraseña para ingresar a servicios y aplicaciones online.
El problema es que por años hemos sido entrenados para pensar que una contraseña compleja es la mejor solución al problema. Mientras más caracteres extraños y combinaciones de letras en mayúscula y minúsculas con números hagamos mejor, no obstante, esta solución está lejos de ser eficaz en nuestro panorama actual donde los ciber atacantes rara vez se fijan en las contraseñas, entonces ¿Qué hace una contraseña segura? Veamos a continuación.
Los ataques por fuerza bruta son prácticamente cosa del pasado
La fortaleza o complejidad de una contraseña segura, es lo que nos han entrenado a pensar que es lo mas importante por años. La complejidad de una contraseña es una forma de medir lo difícil que resultaría para un atacante adivinarla mediante mecanismos de fuerza bruta. Usualmente vemos que, al ingresar nuestra contraseña en un formulario de inscripción, este se pinta de verde si cumple con un mínimo de requisitos, como usar números, caracteres extraños y letras en mayúscula, etc. Sin embargo, los ataques por fuerza bruta son muy poco comunes en este 2019.
Por el contrario, lo que vemos hoy día con mayor frecuencia, son filtraciones masivas de sitios completos, donde miles de usuarios y contraseñas son obtenidas de forma ilegal y luego filtradas. En este tipo de escenarios, tu contraseña, por fuerte que sea, no te va a proteger si los atacantes la tienen en sus manos, ¿entonces que podemos hacer?
NO uses una sola contraseña
La mayoría de las personas en realidad ya usan contraseñas complejas, debido a que muchos servicios online actualmente nos obligan a crearlas desde que nos registramos, el problema se encuentra, en que muchos tienden a crear una muy buena contraseña segura, memorizarla, y luego usarla en la mayor cantidad de sitios que puedan para no tener que memorizar más contraseñas.
Para los ciber atacantes, el reúso de una contraseña en realidad es el punto mas importante, y es lo que nos hace más débiles a un ataque, que tener incluso una contraseña débil. Esto es así, porque luego de una filtración una contraseña por fuerte que sea, no nos va a proteger de ser probada en otros servicios, si nuestro atacante dispone de ella.
En nuestro panorama actual, usar una contraseña fuerte es solo es la parte de un todo, donde ahora el siguiente paso mas importante, es usar una contraseña fuerte y única por cada servicio en el que nos autentiquemos. Debido a que esto resultaría prácticamente imposible de memorizar, es aquí donde entran en juego los administradores de contraseñas, los cuales te ayudan a gestionarlas de forma segura. Si no usas un servicio de este estilo, quizás sea hora de considerarlo.
Longitud vs complejidad
Si alguna vez has utilizado un administrador de contraseñas o un generador de contraseñas aleatorias, habrás notado que un factor común a todo ellos es la gran longitud de esta. Es decir, que la longitud de la cadena en realidad es mas importante que su complejidad.
Esto se debe a que un hipotético ataque de fuerza bruta tomaría mucho mas tiempo en llevarse a cabo, a mayor cantidad de caracteres en nuestra contraseña. Supongamos por ejemplo que su actual contraseña tiene 11 caracteres, con una palabra y una mezcla de números letras y caracteres extraños, lo cual la hace muy “compleja” de adivinar. Un ataque de fuerza bruta sobre esta contraseña, asumiendo que fuera capaza de hacer 1.000 adivinaciones por segundo, tomaría aproximadamente 3 días en llegar a la solución.
Ahora, una contraseña segura de 25 caracteres, suponiendo por ejemplo que la armamos con 4 simples palabras aleatorias, sin usar números o caracteres extraños. Resultaría mucho más difícil de adivinar con un mecanismo de fuerza bruta de 1.000 intentos por segundo, pues le tomaría aproximadamente 550 años en dar con la respuesta.
Entonces, si combinamos la longitud con la complejidad, creando contraseñas totalmente aleatorias con el mayor número de caracteres posibles, entonces un ataque por fuerza bruta prácticamente se hace imposible. Arriba algunos ejemplos sobre como una contraseña compleja se hace cada vez más difícil de adivinar conforme le agregas caracteres.
En lo posible, utiliza autenticación a dos pasos
Paulatinamente la autenticación a dos pasos se ha ido convirtiendo en la media de la industria, y aunque no está tan implementada como nos gustaría, siempre que sea posible, utiliza la autenticación a dos pasos, pues lleva casi a cero la posibilidad de que un atacante pueda hacer algo con tu contraseña si la roba.
La autenticación a dos añade una capa extra de seguridad, al preguntar por dos tipos de credenciales: una que solo tú sabes (por ejemplo, tu contraseña) y algo que solo tú tienes (por ejemplo, tu teléfono). Típicamente el segundo factor de autenticación es enviado a tu teléfono en forma de un código que te llega como un mensaje de texto o como una notificación, que debes ingresar dentro de un periodo de tiempo corto antes de que expire, por lo cual, un atacante sin acceso a tu teléfono no podrá adivinar.
Con todo y ello, los atacantes aun pueden interceptar los mensajes de texto en algunos teléfonos, o usar técnicas de inteligencia social, para llamarte y hacerse pasar por funcionarios oficiales del banco o instituciones similares, para hacerte entregar involuntariamente el segundo factor de autenticación cuando lo recibas mediante engaños elaborados que hacen caer a las personas que no están atentas a este tipo de tretas telefónicas.
Conclusiones para tener una contraseña segura
Hemos aprendido que una contraseña por buena que sea, no nos va a proteger en caso de una filtración masiva. Entonces debemos usar las herramientas que tenemos a nuestra mano para protegernos lo mejor posible usando las siguientes técnicas:
- No usar una misma contraseña en todos nuestros servicios
- Usar contraseñas lo mas largas posibles, pues la longitud pesa mas que la complejidad en un ataque de fuerza bruta.
- Siempre que se pueda, usar sistemas de autenticación a dos pasos.
- Si no puedes recordar tantas contraseñas, considera utilizar un servicio de administración de contraseñas.
Lee también:
Hola.
Me ha gustado mucho tu artículo.
Gracias.
Gracias, espero puedas encontrar más contenidos de tu interés en el blog, un saludo