Conecta con nosotros

A Fondo

Mejora tu seguridad en el Día Mundial de la Contraseña 2024

Publicado

el

Día Mundial de la Contraseña 2024

El Día Mundial de la Contraseña 2024 llega fiel a su cita anual el primer jueves de mayo. Un día propuesto hace una década por los profesionales de la ciberseguridad con el objetivo de fomentar los mejores hábitos en la creación y mantenimiento de las contraseñas.

Dicen los analistas que el 95% de los problemas de seguridad informática se producen por errores humano y las contraseñas son una parte fundamental en esa parte humana ya que todavía son el método preferente para autenticarse ante la multitud de servicios a Internet a los que accedemos a diario, loguearse ante sistemas operativos, aplicaciones, juegos, redes y todo tipo de máquinas.

Lamentablemente, no le dedicamos el tiempo que su importancia merecen y análisis de los millones de contraseñas que quedan expuestas tras las múltiples violaciones de datos en compañías grandes y pequeñas, confirma una escena desastrosa en cuanto a la gestión de las contraseñas. De ahí que un día especial como el que se celebra hoy sea bienvenido si ayuda a concienciar.

Día Mundial de la Contraseña 2024

Las contraseñas se utilizaron por primera vez para proteger cuentas digitales contra accesos no autorizados en entornos informáticos en la década de 1960. En 1961, investigadores del Instituto Tecnológico de Massachusetts (MIT) comenzaron a utilizar el Sistema de tiempo compartido compatible (CTSS). El sistema se ejecutaba en un IBM 709 y los usuarios podían acceder al sistema a través de una terminal tonta, con contraseñas utilizadas para evitar el acceso no autorizado a los archivos personales de los usuarios. Se cree que este sistema fue el primero en utilizar contraseñas y también fue el primero en experimentar una violación de contraseñas.

Han pasado varias décadas desde aquellos sucesos y las contraseñas siguen teniendo la misma importancia y los mismos riesgos. El listado de contraseñas más usadas de 2023 confirmaron que eran perfectas para los ciberdelincuentes, con dominio de viejas conocidas como «123456», «111111» o «password», que son precisamente las que hay que evitar a toda costa ya que un pirata informático las puede obtener en menos de un segundo simplemente con un comando que pruebe las más utilizadas. O usando ataques de fuerza bruta, palabras, combinaciones numéricas y otras que permiten obtener las credenciales. No extrañan las cifras que hablan de más de 50 millones de ataques con contraseñas diarios con un alto grado de éxito.

Aún reconociendo que las contraseñas son penosas en usabilidad, hasta que la industria tecnológica despliegue masivamente otros sistemas más amigables y seguros como todo lo que está llegando de la autenticación biométrica o las interesantes passkey, debemos concienciarnos de que de la fortaleza de las contraseñas que usemos depende en buena medida la seguridad de nuestra vida digital, las cuentas personales, profesionales o las financieras, las más buscadas por motivos obvios.

También debemos activar características adicionales como las del 2FA que son capaces de reforzar enormemente la seguridad de las contraseñas obligando a usar verificaciones en dos pasos. Y por supuesto usar las mejores prácticas a la hora de administrarlas.

Día Mundial de la Contraseña 2024

Cómo crear contraseñas fuertes

Las recomendaciones forman parte de cualquier manual de seguridad informática y son bien conocidas por todos. Pero no las practicamos en el mismo grado y se lo ponemos muy fácil a los ciberdelincuentes. Debemos hacer un esfuerzo en su creación y mantenimiento siguiendo unas normas básicas que dicen lo que hay que hacer y los fallos a evitar a la hora de crear las contraseñas:

  • No usar palabras típicas o números comunes.
  • No usar nombres personales, de mascotas o fechas de nacimiento.
  • Combinar mayúsculas y minúsculas.
  • Combinar números con letras.
  • Añadir caracteres especiales.
  • Alargar el término con el mayor número de dígitos.
  • No utilizar la misma contraseña en todos los sitios.
  • Especialmente, usar contraseñas específicas y lo más fuertes posibles para banca y sitios de compra on-line donde exponemos nuestra información financiera.
  • Mantener la contraseña a salvo de cualquier tercero.
  • No revelar nunca la contraseña a nadie. Tampoco en supuestas peticiones oficiales desde correos electrónicos o mensajes de servicios de mensajería ya que suelen ser ataques de phishing que suplantan su identidad.
  • Variar el nombre de usuario y el correo electrónico.
  • Reforzar el uso de las contraseñas siempre que estén disponibles funciones como la doble autenticación (2FA) o sistemas biométricos, sensores de huellas o reconocimiento facial.

Como acciones adicionales de refuerzo podemos limpiar cuentas en línea que no usemos como tarea regular de mantenimiento que reducirá los riesgos. También podemos acceder a páginas web como Have I Been Pwned para comprobar si las contraseñas que estamos usando han sido hackeadas.

Gestores de contraseñas

Es casi imposible para un humano internauta manejar con seguridad las credenciales para acceder a las centenares de cuentas que seguramente estemos suscritos. Hay un grupo de aplicaciones que son de gran ayuda. Básicamente, este tipo de software reduce los errores humanos en el manejo de las contraseñas, ya que automatiza el proceso de generación y de acceso a los sitios web y servicios.

Por supuesto, las contraseñas creadas por estos gestores son altamente seguras cumpliendo las normas estándar en tamaño y complejidad. También ayudan contra los ataques de phishing al identificar de forma inmediata los caracteres procedentes de otros alfabetos y añaden una enorme ventaja: solo necesitamos recordar una contraseña maestra y el gestor hará el resto.

Seguro que te suenan aplicaciones como la renombrada LastPass y otras comerciales  y/o de pago, pero desde nuestra sección de prácticos te propusimos en su día estas cinco soluciones de código abierto y totalmente gratuitas que gustó mucho a nuestros usuarios. La gran ventaja de los administradores de código abierto es la posibilidad de auditar el software y mantener las credenciales bajo tu control, instalando y auto hospedándolas en nuestra propia máquina. Te recordamos los más interesantes:

KeePass. Es el ‘abuelo’ entre los gestores de contraseñas de código abierto y existe desde los días de Windows XP. KeePass almacena las contraseñas en una base de datos cifrada a la que puedes acceder mediante una contraseña o clave digital. Puede importar y exportar contraseñas en una amplia variedad de formatos.

Bitwarden. Especialmente destinada a usuarios de LastPass que buscan una alternativa más transparente, funciona como un servicio web al que puedes acceder desde cualquier navegador de escritorio, mientras que para Android e iOS cuenta con sus respectivas apps móviles. Bitwarden puede compartir contraseñas y tiene acceso seguro con autenticación multifactor y registros de auditoría.

Passbolt. Un administrador de contraseñas autohospedado diseñado específicamente para equipos de trabajo. Se integra con herramientas de colaboración en línea como navegadores, correo electrónico o clientes de chat. Puedes autohospedar el programa en tus propios servidores para mantener un control completo de los datos, aunque equipos sin experiencia o infraestructura pueden usar una versión en nube que los aloja en los servidores de la compañía.

Psono. Psono es otra opción para los equipos que buscan software de gestión de contraseñas empresariales de código abierto. Esta es una solución autohospedada que ofrece un atractivo cliente basado en web escrito en Python, con código fuente disponible bajo la licencia Apache 2.0.

Teampass. Un administrador orientado a equipos con un modo base fuera de línea que nos gusta, donde exporta sus elementos a un archivo cifrado que puede usarse en ubicaciones sin conexión a Internet. Teampass no es la aplicación más bonita del mundo, pero el diseño es tremendamente y se puede definir rápidamente roles, privilegios de usuario y acceso a carpetas.

Y si quieres usar este tipo de software para móviles debes saber que también existen desarrollos especializados como estos 6 gestores de contraseñas para Android que te ofrecimos recientemente.

Gestores en los navegadores

Si no quieres usar gestores de terceros, otra opción es usar los administradores de contraseñas de los propios navegadores. Chrome, el líder del segmento, ha mejorado su funcionamiento y capacidad considerablemente en las últimas versiones incluyendo funciones que ofrecen los especializados de arriba, como la detección de contraseñas vulneradas, el aviso cuando crees alguna débil o una edición de la misma muy sencilla en el propio gestor. El gestor de Google las almacena de manera segura, permite su gestión en chrome://settings/passwords y las usa para completar los campos de usuario y contraseña la próxima vez que visites un sitio web.

Muy similar a lo que ha ido haciendo Mozilla para Firefox con su ‘Password Manager’ que es uno de las mejores en navegadores web. El Edge de Microsoft basado en Chromium también cuenta con su propio gestor, que ofrece lo más básico de un gestor dedicado.

Un nuevo recordatorio este Día Mundial de la Contraseña 2024 para concienciar de la necesidad de invertir unos minutos de nuestro tiempo en atender un elemento crucial para la seguridad en Internet y la del hogar digital. Y no hay excusas. Tenemos la información y los medios. No se lo pongamos tan fácil a los enemigos de lo ajeno.

Lo más leído