Contraseñas

¿Cómo debe ser una buena contraseña?

Cuanto más larga mejor, pero nunca debe tener menos de 8 caracteres, porque se podría descifrar en cuestión de minutos en un ataque de fuerza bruta. Por lo general, 10 caracteres se puede considerar suficientemente segura. Es necesario que combine mayúsculas, minúsculas, números y símbolos. También es necesario actualizarla periódicamente, porque nunca tendremos la certeza de que no se haya filtrado. Puedes comprobar el tiempo necesario para tener éxito en un ataque de estas características a esta tabla. También puedes comprobar aquí el tiempo que se tardaría en romper tu contraseña.

Prácticas de riesgo

• Contraseñas cortas o, incluso, palabras del diccionario. 
• Contraseñas con datos personales o profesionales. 
• Contraseñas con patrones de teclado u otros tipos de secuencias. 
• Reutilización de contraseñas. Incrementa el riesgo porque estamos dando a un actor la contraseña que utilizamos en otro sitio. También incrementa el impacto si la contraseña queda comprometida. 
• También hay que evitar las prácticas que ponen en riesgo el secreto de las contraseñas, como escribirlas en post-it en la pantalla del ordenador, compartirlas o introducirlas a la vista de otras personas. 

Consulta la lista de contraseñas más comunes.

¿Cómo se roban las contraseñas?

Hay prácticas que pueden hacer perder el control de la contraseña:

• Shoulder surfing (mirar por encima del hombro), cuando se introduce la contraseña en un sitio público. 
• Software malicioso (tipo keylogger) instalado en el dispositivo donde se introducen las credenciales (tanto si el dispositivo es propio como ajeno). 
• Phishing o fraude digital mediante un correo electrónico, llamada, SMS... 

Es habitual que las credenciales robadas se vendan en la web oscura, o incluso que se publiquen en internet. Por ejemplo, RockYou2021 es un archivo publicado que recoge 8.400 millones de contraseñas filtradas.

¿Cómo se puede comprobar si la contraseña se ha filtrado?

Existen herramientas que permiten comprobar si las credenciales se han filtrado. Algunos ejemplos son las webs siguientes:

• Cibernews
• Have I been Pwneed, para comprobar si se ha filtrado la contraseña asociada a una dirección de correo electrónico.

Sin embargo, estos servicios no son infalibles y es necesario cambiar las contraseñas periódicamente.

¿Qué hacer en caso de filtración?

Debes cambiar inmediatamente las contraseñas para volver a tener el control total de la cuenta y de la información asociada.

Consejos para mantener la seguridad

• No compartir o revelar las contraseñas. 
• Tener precaución con las preguntas de seguridad. Si las hubiera, asegurarse de que sólo la persona conoce la respuesta. 
• Si se guarda un recordatorio de la contraseña, se debe hacer de forma segura. Idealmente, se debe utilizar un gestor de contraseñas, pero, al menos, deben evitarse recordatorios que sean fácilmente accesibles por otros. 
• Siempre que sea posible, se debe habilitar un doble factor de autenticación, para validar la contraseña por otra vía antes de acceder al servicio.