_ Carlos Javier García García
Desde hace unos años, el primer jueves del mes de mayo se celebra el día mundial o día internacional de las contraseñas con el objetivo de recordar la importancia que estas tienen en nuestra vida diaria, tanto en el aspecto personal como en el profesional. La evolución que ha experimentado Internet y la conocida transformación digital en la última década ha desencadenado un proceso en el que los servicios, tales como el entretenimiento, la comunicación e incluso el desarrollo profesional se alojen en la red. Este hecho requiere la implantación de distintas medidas de seguridad desde su diseño, pero también otorgan un cierto grado de responsabilidad a los usuarios que disfrutan y utilizan dichos servicios, y entre dichas responsabilidades se encuentra la utilización de contraseñas seguras. Una de las mejores prácticas es la concienciación y la capacitación, y es que hay que considerar que las contraseñas son una medida de seguridad igual de importantes y cumplen la misma función que la cerradura de la puerta del hogar o de aquello que queremos proteger, en este caso nuestra propia información o los activos de la organización. Otro de los aspectos de la evolución de Internet es la proliferación de nuevos actores o agentes que buscan sacar beneficio de forma poco ética de este desarrollo, conocidos como ciberdelincuentes, y que tratarán de acceder a estos nuevos servicios, con diferentes objetivos, bien mediante la seguridad propia del diseño o a través de los propios usuarios.
¿Cómo consiguen sustraer las contraseñas?
Los cibercriminales o ciberdelincuentes utilizan varios métodos de sustracción de contraseñas para alcanzar su objetivo, ya sea este el definitivo o tan solo un medio para lograr un éxito mayor. Para entender y concienciar de la importancia del uso robusto de contraseñas y evitar que alguien ajeno tenga acceso a nuestras credenciales es importante conocer los métodos de ataque y el proceso por el cual se llevan a cabo. Uno de los más conocidos y utilizados es el Phishing, el cual consiste en engañar al usuario para que cumplimente un formulario de acceso a un determinado servicio, aparentemente legítimo, pero diseñado específicamente para el robo de credenciales. Los ataques de Fuerza Bruta consisten en un método de prueba y error, ya que se basa en probar distintas combinaciones posibles hasta lograr la correcta. El uso de Keylogger se centra en un malware instalado, sin conocimiento, en el dispositivo del usuario, y el cual registra cualquier interacción del usuario y el teclado, recopilando toda la información que este escriba, incluyendo las credenciales de acceso a todos los servicios del usuario. La sustracción de contraseñas a través de Diccionarios se basa en el uso de un software mediante métodos de prueba y error con las distintas combinaciones de contraseñas más utilizadas, recogidas en dichos diccionarios, en función de determinados factores como el idioma. Otro de los métodos basados en el engaño es la Ingeniería Social, la cual posee distintas técnicas para lograr su objetivo, ya sea una falsa llamada de un aparentemente compañero solicitando la contraseña o incluso la suplantación de identidad de un trabajador para acceder a oficinas y ver las contraseñas apuntadas en post-it en los monitores de los equipos, hecho frecuente y erróneo en las organizaciones. Otra forma de sustraer las credenciales es a través de Brechas de Seguridad, que, a pesar de no ser un ataque como tal, es una de las técnicas utilizadas con frecuencia, ya que existen grandes repositorios o bases de datos que almacenan información extraída en dichas brechas de seguridad, incluyendo cuentas de correo, nombres de usuario y contraseñas. La repetición de contraseñas en diferentes servicios facilita el trabajo a los ciberdelincuentes a la hora de conseguir accesos ilegítimos a servicios.
Como se puede apreciar, los ciberdelincuentes poseen un gran abanico de recursos para obtener los nombres de usuario y sustraer las contraseñas asociadas a estos, por ello, la importancia y necesidad de proteger adecuadamente los servicios e información que utilizamos a diario.
Consejos y prácticas recomendables
- Utilizar contraseñas robustas con más de 8 caracteres combinando mayúsculas, minúsculas, números y caracteres especiales como signos de interrogación o exclamación.
- Realizar cambios periódicos de contraseñas: Es importante integrar los cambios de contraseña tras un periodo establecido tanto en la política de seguridad de la organización como en nuestra vida personal.
- No reutilizar la misma contraseña para distintos servicios, han de ser únicas.
- No utilizar contraseñas que incluyan información personal como fechas de nacimiento, nombres o datos identificativos.
- No compartir contraseñas con nadie ni dejarlas anotadas en sitios accesibles o a la vista.
- En caso de utilizar preguntas para la recuperación de contraseñas, estas han de ser únicamente conocidas por el usuario, puesto que con métodos como la ingeniería social podrían averiguar dichas cuestiones de forma sencilla.
- Utilizar la verificación en dos pasos en caso de ser posible, y si es necesario por motivos de confidencialidad emplear la regla de triple verificación:
- Algo que sé: Contraseña
- Algo que tengo: Llave digital
- Algo que soy: Autenticación biométrica
- Gestionar las contraseñas mediante herramientas que permitan almacenarlas todas de forma segura y que cumplan los anteriores consejos. De esta forma no tendrás que recordar todas las contraseñas, tan solo la utilizada en el gestor de contraseñas.
Para obtener consejos más detallados y ejemplos de los mismos, la Oficina de Seguridad del Internauta (OSI) tiene habilitado un espacio donde aprender más acerca de la temática: Aprende a gestionar tus contraseñas.
El día mundial de la contraseña busca resaltar la importancia de utilizar de forma correcta y segura las contraseñas, y una vez observado los distintos métodos de ataque que pueden utilizar los ciberdelincuentes tan solo queda capacitarnos y concienciarnos de la importancia que tienen estas en nuestra vida profesional y personal, ya que, citando al filósofo escoces Thomas Reid, “Una cadena es tan fuerte como su eslabón más débil”.