Feliz día Mundial de las Contraseñas

Lo hemos visto muchas veces. Ya sea por pereza o por “despiste” usuarios establecen contraseñas débiles tipo “123abc”, “qwerty”, “fecha_nacimiento”, “admin”, etc que no son más que una tarjeta de invitación a que alguien pase a ver qué encuentra al otro lado. Por ejemplo, muchos routers cuentan como contraseña de fabrica por defecto “1234” o “0000”. Sí, en 2018 y pocos usuarios se molestan en cambiar esta contraseña.

También puede pasar que tendemos a la reutilización de contraseñas, lo que implica que si un ciberdelincuente se hace con la de un determinado servicio por ser débil, por estar escrita en algún post-it, porque el servicio ha sufrido alguna intrusión en sus sistemas y han conseguido robar los datos de acceso de los usuarios, o por cualquier otro motivo, conseguirá acceder a servicios privados de usuarios: redes sociales, correo electrónico, servicios en la nube, etc.

Cómo protegernos de intrusos

¿Qué podemos hacer para evitarlo? La primera consideración es siempre utilizar contraseñas robustas. Para ello deberían estar formadas por al menos 8 caracteres: mayúsculas, minúsculas, números, caracteres especiales.

Como la pereza me puede suelo usar pwgen, un sencillo programa que genera claves aleatoriamente y está presente en la mayoría de distribuciones, pero no es la única. Existen otras opciones como Apg (Automated Password Generator), por citar algún otro ejemplo.

Seguro que te estás preguntando cómo recordar estas contraseñas sin anotarlas en un Post-It. En mi caso para recordarlas con mayor facilidad, suelo elegir aquellas que puedo recordar mediante reglas mnemotécnicas. Pero reconozco que siempre puede ocurrir que nos olvidemos y luego no podamos entrar en nuestra sesión de usuario.

Cada usuario tiene su librillo y encontrar la forma más cómoda para administrar y memorizar nuestras contraseñas es clave.

Esto me lleva a la gran pregunta. ¿Qué no hacer? En la mayoría de artículos que he consultado apenas se habla de los errores que debemos evitar y creo que conviene comentarlos:

1. Utilizar las mismas contraseñas para acceder a varios dispositivos o servicios. Si la de uno se ve comprometida, lo estarán el resto.
2. Relacionar el nombre de usuario con la contraseña o usar el nuestro propio o el de un familiar. 
3. Utilizar fechas de nacimiento o importantes.
4. Compartir tu contraseña.
5. Dejar la contraseña anotada en un Post-It a la vista de cualquiera.
6. No ser precavido con las preguntas de seguridad. Si utilizas este mecanismo para la recuperación de contraseñas, asegúrate que solo tú conoces las respuestas.
7. No modificar tus contraseñas periódicamente.
8. No utilizar gestores de contraseñas. Si te cuesta memorizar las contraseñas o utilizas muchos servicios, apóyate en este tipo de programas. Son muy útiles y sencillos de manejar.
9. Abusar de contraseñas almacenadas en el navegador. Si compartes el dispositivo con otras personas, no es una práctica segura.

Resueltos estos errores pero si aún tuviéramos dudas sobre nuestra contraseña y su robustez, existen mecanismos que añaden más niveles de seguridad que podemos usar como  son los siguientes:

1. Verificación en dos pasos. Cuando utilizamos este tipo de verificación, además de nuestra contraseña de toda la vida necesitaremos un código único para poder acceder. Este código suele enviarse al nuestro teléfono móvil mediante un SMS.
2. Utilización de llaves de seguridad. Este mecanismo es bastante usado en empresas y administraciones publicas. Cuando intentas acceder a tu cuenta el sistema pide que introduzcas una llave USB o tarjeta con un certificado que te autentifica.

Ambos métodos son muy interesantes pues dificultan y mucho que otros usuarios puedan acceder a nuestros datos privados.

Qué hacer si te roban la contraseña

Llegados a este punto la primera premisa es siempre que no cunda el pánico. Algunos piratas informáticos aprovechan nuestro nerviosismo para simular un error al acceder a nuestro, por ejemplo, correo electrónico para robar nuestra información.

Lo primero es siempre verificar que estamos en el lugar correcto y si hemos usado nuestro usuario y contraseña correctos. En caso de sospecha o si no hemos sido precavidos debemos hacer lo siguiente:

1. Cambiar inmediatamente nuestra contraseña o contactar con los administradores del servicio para que nos ayuden.
2. En caso de banca electrónica. Avisar al banco inmediatamente si hemos sido víctimas de algún fraude de tipo phishing que afecte a nuestras credenciales de acceso al servicio de banca online.
3. Si el problema no se resuelve o si confirmamos que se trata de una intrusión y no nuestro error, denunciar el hecho ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).

Conclusión

No está de más recordarlo. En el mundo digital nuestras contraseñas son la primera línea de defensa ante los “amigos de lo ajeno” o miradas indiscretas. Las contraseñas dan acceso a nuestros servicios e información personal y una vez comprometidas es muy difícil valorar los daños que pueden suceder. Es nuestra responsabilidad y por ello, en el Día Mundial de las Contraseñas, la razón de este articulo. Mucha suerte ahí fuera y feliz día.