La seguridad de las contraseñas es algo que debería preocuparnos especialmente, ya que si alguien es capaz de llegar a conocer el password de acceso a una cuenta puede tener prácticamente el control total sobre ella. Es decir, que podría entrar y operar en nuestro nombre e incluso cambiar la contraseña impidiéndonos la entrada a nuestra propia cuenta. Las consecuencias pueden ir desde el envío de spam a nuestros contactos hasta que nos vacíen la cuenta corriente.
Los procedimientos que utilizan los ciberdelincuentes para intentar conocer las contraseñas de los usuarios son los siguientes:
- Phishing: una manera de conseguir los datos de acceso a una cuenta es engañar al usuario para que él mismo los revele. Valga como ejemplo el caso que comenté en la entrada anterior de phisihg en Twitter.
- Ataques de diccionario: se llevan a cabo mediante herramientas que de forma automatizada van probando una a una palabras comunes del diccionario hasta dar con la acertada. Hay que evitar este tipo de palabras en nuestras contraseñas.
- Contraseñas sencillas: combinaciones simples de letras o números como 123456, qwerty,999999, etc, son las primeras que prueban quienes quieren reventar una contraseña. Lo ideal es utilizar combinaciones largas y lo más complejas posible que incluyan letras, números, mayúsculas, minúsculas y signos de puntuación.
- Preguntas de seguridad con respuestas fáciles: cuando alguien olvida una contraseña la manera de recuperarla suele ser contestar a una pregunta convenida previamente. Las respuestas a preguntas del tipo "cómo se llama mi mascota" se pueden conocer fácilmente, sobre todo si compartimos ese tipo de datos por ejemplo en redes sociales. Mejor elegir otras preguntas y respuestas más difíciles de averiguar.
- Reutilización de contraseñas: si se usa la misma contraseña para diferentes cuentas y alguien consigue averiguarla tendrá acceso a todas ellas. Nunca se deben repetir, y menos en servicios delicados como por ejemplo nuestro banco online.
- Keyloggers: son un tipo de malware que se instala en el ordenador para captar las pulsaciones del teclado con el objetivo de robar contraseñas, y que posteriormente se conectan a equipos remotos para enviar los datos a los ciberdelincuentes. Para evitarlo es importante tener un antivirus actualizado que los detecte y un cortafuegos que bloquee las conexiones de salida de datos no autorizadas.
- Redes WI-FI inseguras: las conexiones realizadas a través de WI-FI abiertas pueden ser interceptadas por terceras personas, que tendrían así acceso a la información transferida incluyendo las contraseñas. Es preferible evitar entrar en nuestras cuentas mediante este tipo de redes, y si lo hacemos conviene asegurarnos de que el servicio al que accedemos utiliza una conexión segura https.
- Ordenadores públicos: por ejemplo en cibercafés, etc, los ordenadores pueden tener instalado algún tipo de software que capte las contraseñas. Mejor si es posible no acceder a nuestras cuentas desde estos equipos.