Día Mundial de la Contraseña: ¿cómo tener una clave segura?

¿Es para tanto? Microsoft comunicó que más de diez millones de cuentas son atacadas diariamente, por lo que es altamente probable que la tuya lo haya sido o lo sea a futuro. Para saberlo, existe un sitio web que recopila todas las cuentas y contraseñas vulneradas.

Para que tus cuentas estén lo más protegidas posible, Cromo recopiló una serie de recomendaciones provistas por Microsoft, el Centro Nacional de Seguridad Cibernética del Reino Unido, ESET Uruguay y la firma uruguaya de ciberseguridad, Datasec, para crear una clave casi indescifrable. 

1) Que sea secreta. "No sirve para nada la mejor contraseña del mundo si la tengo anotada en un papel o pegada en el monitor", explica Reynaldo De la Fuente, socio de Datasec.

2) Que contenga al menos 12 caracteres. Microsoft sostiene que "las contraseñas más largas sí aumentan el tiempo que requiere un delincuente cibernético en descubrirlas, pero que forzar a los usuarios a escribir una verdaderamente resistente (entre 18 y 20 caracteres) a los ataques de fuerza bruta, ocasiona que generen claves triviales y difíciles de recordar".

3) Que sea difícil de adivinar. Es recomendable no escribir el nombre de mascotas, familiares, empresas y fechas de cumpleaños, como tampoco repetir patrones y poner algo muy característico de uno mismo.

4) Que contenga números y símbolos especiales. José Luis López, director ejecutivo de ESET Uruguay, recomienda "combinar una frase con números y caracteres especiales como la coma (',') y el espacio ('   ')". De acuerdo con el experto, el uso de estos caracteres aumenta el tiempo que requiere un programa de fuerza bruta para descifrar una clave incluso en siglos.

5) Que sea una por cuenta. Puede ser complicado recordar más de dos o tres contraseñas, pero hoy en día bastantes páginas permiten escribir una pregunta para recordar la clave. Si no se puede, De la Fuente aconseja "al menos separar las de las cuentas del banco, trabajo y correo electrónico de las de otras de sitios más triviales".

6) Almacenarlas en un lugar seguro. Por ejemplo, en aplicaciones confiables que requieran una clave de acceso. Si bien los navegadores web ofrecen guardar las contraseñas, es inseguro ya que cualquiera desde el equipo puede acceder e, incluso, copiar la clave y guardarla. Es el caso de Gmail, por ejemplo.

Previamente las empresas les pedían a sus usuarios cambiar la clave cada 90 días y que incluyeran mayúsculas, minúsculas y símbolos especiales, pero eso ya dejó de pedirse porque la "gente explota y termina generando contraseñas triviales, que cumplen con lo requerido pero que son simples y fáciles de descubrir", cuenta De la Fuente. Microsoft agrega que, en realidad, los usuarios en general no la cambian por completo, sino que la actualizan para peor.

¿Por qué hay tanto "hackeo"?

López cuenta que la mayoría de los ataques ocurren por un descuido del usuario. Por ejemplo, cuando deja el correo electrónico y la cuenta de Facebook u otra red social abierta. El especialista agrega que el eslabón más débil de la seguridad informática es el usuario final por estos descuidos. "Es muy poco probable que alguien quiera robarte información. Por lo general las filtraciones se dan porque alguien robó y compartió información que estaba ahí al descubierto".

El considerable aumento del teletrabajo y de las clases virtuales reveló la poca seguridad que los usuarios tienen de sus claves. Según contó el director de ESET, muchas claves estaban a la vista en un pizarrón de la casa de los docentes que impartían las clases virtuales. 

¿Contraseña, reconocimiento facial o escáner de huella dactilar?

Según explican desde Datasec sobre las autenticaciones, hoy en día hay tres formas fundamentales de hacerlo. "Algo que sé (una contraseña o un pin), algo que soy (la huella dactilar, el reconocimiento de cara, iris y voz), y algo que tengo (código aleatorio que me genera el celular u otro dispositivo que me dio el banco). Naturalmente, lo ideal es una combinación de las tres formas, pero por cuestiones técnicas y de tiempo, a veces se opta por una o dos.

Tanto De la Fuente como López coinciden en que son medidas de seguridad que se complementan y que, por el momento, no se están sustituyendo. Los expertos señalan que las maneras de autenticar tienen que ser fáciles para los usuarios y, además, estar disponibles para ellos. De nada sirve incorporar escáner de iris si los smartphones aún no cuentan con la capacidad para identificar con suma precisión el de cada usuario.