Una muy gran parte de la seguridad en internet está dada por las contraseñas. Los usuarios somos perezosos en configurar claves «difíciles», quienes caen en esa mala práctica dejan servidos sus accesos cayendo en filtraciones de sus datos puntualmente o por acciones masivas prevenibles.
Pequeños cambios en esos malos hábitos y costumbres, y un poco de conocimiento sobre los riesgos, pueden mejorar con resultado muy positivo la seguridad individual de usuarios en sus cuenta personales, en cuenta de empresas y cualquier tipo de acceso.
Aquí una pequeña guía de seguridad informática básica, basada en contraseñas, para todo público.
Tabla de contenidos
- ¿Estás a salvo o deberías mejorar tus contraseñas?
- ¿Cómo empezar a usar una aplicación para gestionar claves y contraseñas?
¿Estás a salvo o deberías mejorar tus contraseñas?
Claramente si tus claves son del tipo 123456 o incluso cuando se cree segura la combinación a1b2c3, donde hay letras y números, son de las más usadas según muchas investigaciones de seguridad informática. Año a año se elabora un índice de las más usadas y las más vulneradas, y el sesgo de uno podría quitarse al ver ese listado y salir corriendo a cambiar claves.
También es útil el averiguar si tu e-mail está dentro de alguna filtración o brecha de seguridad
Hay plataformas como ‘;–have i been pwned? (https://haveibeenpwned.com/) que rastrean la web, la deepweb y se nutren de especialistas en seguridad y compañías del rubro, para generar un listado donde puedes buscar si su e-mail está comprometido y en qué sitio web sucedió.
Si se vulneraron datos, y compartimos la clave en otros sitios más, debiéramos de modificar la contraseña en todos ellos. Claramente es la primer razón de por qué no poner misma clave en diferentes sistemas o sitios web…
Contraseñas «de diccionario» y descifrables por «ingeniería social»
Hay muchas claves que son fáciles de identificar por lo obvio. Puede hacerse con listados que ya se ha probado son las más recurrentes, por bots que hacen intentos de ingreso hasta que lo logran, robots que ejercen fuerza bruta, y otras estrategias que son más pacíficas e inteligentes: ingeniería social.
Como decía arriba, quizás a1b2c3 «parece» segura por combinar letras y números, pero está en el top10 de cualquier diccionario de ataque, listado de las más usadas, etc. Ahora, supongamos que usemos de clave «Balcarce50», que parece segura al usar una mayúscula, letras y números. Hay un par de opciones:
- En una brecha de seguridad o mediante scrapping (rastreo automatizado) o stalking (inteligencia o chusmeo virtual) averiguan nuestro usuario, domicilio, nombre de nuestra mascota, de la primera novia y empiezan a probar combinaciones.
- A través de algún meme de tipo averigua tu nombre «porno» o «si fueras extraterrestre», se hacen algunas preguntas que podrían dar indicios (de inmediato o recopilando estos datos a lo largo del tiempo).
- Es fácil de presumir si por alguna razón se saca un indicio y se combinan datos para averiguar un patrón de comportamiento y/o conducta y, por intentos y presunción, se logra ingresar a una cuenta.
También hay muchos usuarios que usan su DNI como contraseña, un dato fácil de averiguar.
Por definición básica, entonces, una contraseña no debería tener conexión ni lógica de presumirse relación con otros datos usados en un perfil o cuenta. Veremos más adelante.
¿Cómo elegir una contraseña segura?
Primero que nada, algunas recomendaciones:
- Que sea única.
- No debemos repetirla nosotros en otra cuenta e imaginar que nadie más en el mundo lo hará.
- Que sea difícil (más abajo hablaré de esto), ni literal, ni encontrable en un diccionario.
- Si queremos usar de contraseña «MiMamaMeMima», una práctica curiosa podría ser ponerla textual (con comillas) en google y ver cuantos resultados hay.
Combine letras, números, símbolos, y no sea tan corta (mínimo 8 caracteres).
Pésima contraseña
Podríamos decir que esto no es una buena contraseña
- P0dr14m0sd3c1rqu3est4EsUnaExc3Lente!!
(hasta seguro puedes leerla).
Esta frase aparece caso 50mil veces, y podría parecer una «buena» contraseña, pero no lo es.
Entonces, ¿cómo elegir una buena contraseña, difícil, pero a la ver simple de recordar, que no la anotemos ni en un word ni en un papel?
Aquí vengo a romper la ilusión de lo que seguramente esperabas. Si bien podés armar reglas propias y nemotécnicas, tales como P0n3r todos las letras O reemplazadas con 0 y las A con 4, esas mañas ya las contempla un buen cracker o atacante humano y los buenos bots.
¿Para qué sufrir si podemos generar y guardar todas nuestras contraseñas en una billetera de claves encriptada? Sí, así como navegadores como Chrome, Firefox, Brave permiten guardas las contraseñas sincronizadas con una cuenta que las centraliza, también es posible confiarlas a un servicio 100% especializado y dedicado a eso.
Una «vault» o billetera/bóveda de claves, es una cuenta donde se encriptan y aseguran las mismas. La filosofía de todas ellas es que solamente se debería de recordar una contraseña suficientemente fuerte para acceder a esa cuenta y luego la aplicación y su almacenamiento se encarga del resto (guardar y encriptar/desencriptar las restantes).
Las aplicaciones de LastPass o Bitwarden detectan los formulario de login y permiten acceder con las claves almacenadas.
Hay servicios como Bitwarden, 1Password, LastPass y otros, que justamente funcionan así de sencillo. Le pones una clave bien fuerte y difícil, y luego ellos te facilitan el resto.
De todas ellas para mí la mejorcita era LastPass, pero hace un año limitó las cuentas gratis y se volvió más tentadora y mejoró muchísimo Bitwareden aprovechando esta situación. Lo bueno es que puedes bajar la app en tu celular, usar la extensión de navegador y también instalar en tu propio servidor el repositorio de claves, para más control y seguridad (ya extremo, quizás).
¿Muchas cuentas y claves difíciles? Ningún problema, inicias sesión con tu clave difícil y accedes a cualquiera de ellas.
También tienes generadores de contraseñas. Cuando detectan que estás dando de alta una cuenta en algún servicio, ofrecen generar una bien difícil, si aceptas de inmediato la almacenan para su próximo uso. Puedes elegir tu política de passwords, en extensión, si es letras y números, si incluye también mayúsculas y símbolos, lo largo de la misma, si busca en un diccionario para confirmar sea realmente aleatoria, etc.
¿Qué otra utilidad puedes darle, además de guardar contraseñas?
Algunas ideas:
- Tapar o borrar de forma permanente el número CCV, la clave de seguridad al dorso de tarjetas de crédito, y almacenarla como una nota encriptada en tu billetera de claves.
- Guardar todas tus tarjetas de crédito y débito, de forma segura y encriptada, sobre todo si viajas y puedes extraviarlas, no llevas a todas y guardas alguna de estas para compras virtuales de backup, etc.
- Gestionar las contraseñas «no virtuales», como la del candado de combinación que de un viaje a otro seguramente olvidas. La contraseña de la caja de seguridad, de la cadena de la bicicleta, etc.
¿Cómo empezar a usar una aplicación para gestionar claves y contraseñas?
Lo mejor siempre es ir con calma. Crear una cuenta en cualquiera de ellas (acá un artículo de un especialista de seguridad informática que te cuenta su opinión y el detalle de cada plataforma). Si ya usás Chome y celular Android, seguro tendrás algo almacenado en el Gestor de Contraseñas de Google, bastante bueno pero limitado. Te servirá para ir nutriendo tu nuevo gestor de contraseñas dedicado 100% a eso.
Al crear una cuenta en alguna de estas plataformas (insisto, a mí me gusta mucho Bitwarden y Lastpass), lo dejas allí «observando» tu uso habitual y empieza a nutrirse de tus claves. Si das de alta una cuenta nueva que se vayan creando con patrones de dificultad mejores, y vas comenzando con ese primer paso importantísimo.
Luego que te acostumbras al uso y pasas la curva de aprendizaje, bastante rápida porciento, podrás empezar a modificar las contraseñas viejas y repetidas. De hecho, te lo irá sugiriendo con sus «escaneos» de mejora y recomendación. Te dirá de forma automática «hey, usas esta clave en este y 5 sitios más, mejor cambiarlas» y puedes hacerlo u omitirlo.
Además, estas plataformas regularmente ahorran la tarea que comentaba al inicio. Cuando hay una brecha de seguridad denunciada, te avisan de inmediato y modificas la clave. Si la usas como sugiero, sólo en una web, y de por sí era ya difícil, puedes estar tranquilo de sólo reemplazar esa y ya. El resto de servicios seguirán seguros.
Por último, como ya dije, estas plataformas tienen aplicación para todo tipo de dispositivos, sistema operativo y acceso a la misma por web. Es decir, puedes tenerla en el bolsillo, a través de tu celular, sea Android o iPhone, en la computadora del trabajo y la de tu casa, y si vas a visitar un pariente y necesitas una clave o te olvidaste el celular, accedes al navegador miras lo que necesitas y sigues.