8 de octubre de 2024

El uso de contraseñas forma parte del día a día de muchas personas. Por ejemplo, al desbloquear su propia computadora, iniciar sesión con su empleador o realizar pedidos en una tienda en línea.

Los escenarios de uso de contraseñas son diversos, ya que las contraseñas se pueden utilizar para proporcionar una protección fácil de implementar para las cuentas de usuario. Al elegir una nueva contraseña, a menudo se señala que es necesaria una combinación de ciertos caracteres para una contraseña segura. Sin embargo, estas solicitudes muy a menudo no mencionan requisitos importantes para una contraseña verdaderamente segura. Este artículo presenta varios escenarios de ataque de los que se pueden derivar las propiedades necesarias de las contraseñas seguras.

¿Cuáles son los peligros de las contraseñas inseguras?

Los atacantes tienen una variedad de métodos para eludir la protección con contraseña de las cuentas de usuario. Un método para ello es descubrir la contraseña que busca probándola. Para ello se pueden probar, por ejemplo, todas las combinaciones posibles de caracteres una tras otra. Sin embargo, esta prueba no se lleva a cabo manualmente, sino que suele estar completamente automatizada.

Un ataque de este tipo puede resultar más difícil por dos cosas:

  • Longitud de la contraseña : Si sólo se utiliza una contraseña corta, por ejemplo de cuatro caracteres, será necesario probar muchas menos combinaciones que con una contraseña de 14 caracteres.
  • Complejidad de la contraseña : si una contraseña consta únicamente de números, hay menos contraseñas posibles que si una contraseña también contiene letras y caracteres especiales.
  • Hora : Dependiendo del sistema, sólo se puede realizar un número determinado de intentos de inicio de sesión en un tiempo determinado. Muchos servicios en línea sólo permiten 100 intentos fallidos de inicio de sesión por hora antes de que la dirección IP del actor se bloquee temporalmente. Existen cerraduras similares en muchos otros sistemas. Probar todas las combinaciones posibles de caracteres normalmente no será matemáticamente posible en las próximas décadas.

Como usuario, no puedes influir en el aspecto del tiempo. Por lo tanto, debe asegurarse de que sus contraseñas tengan la longitud suficiente. Dado que a menudo solo hay un número determinado de intentos de inicio de sesión disponibles, los atacantes optimizan sus intentos seleccionando posibles combinaciones de caracteres de forma más específica y probándolas únicamente. Aquí se suelen utilizar, por ejemplo, listas de palabras y años, ya que muchas contraseñas constan de los componentes de dichas listas. Los atacantes ya no probarán todas las combinaciones posibles de personajes, sino sólo aquellas que constan de componentes de dichas listas.

Consejo : Para protegerse de esto, una contraseña, si es posible, no debe constar de cadenas de caracteres comunes:

  • Individualidad de la contraseña : puedes hacer que este tipo de ataque sea más difícil si no utilizas cadenas de caracteres comunes y eliges contraseñas que sean lo más únicas posible y que no tengan significado alguno.

vite el uso múltiple de contraseñas

Un problema completamente diferente es el del uso múltiple de contraseñas. Muchos usuarios tienden a reutilizar sus contraseñas varias veces. Sin embargo, esto implica un riesgo no despreciable que surge del procesamiento técnico de las contraseñas.

Si se registra o inicia sesión en un servicio en línea, la contraseña que ingrese se transmitirá al servicio en línea. Cuando inicia sesión, el servicio en línea puede comparar la contraseña que recibe con su propia base de datos de usuarios y verificar si la contraseña es correcta. Es importante saber que la contraseña introducida está definitivamente disponible en el servicio en línea respectivo en texto plano en este momento. Por supuesto, el servicio en línea debería proteger esta contraseña de texto plano con funciones criptográficas y almacenarla en la base de datos sólo de forma ofuscada. Sin embargo, usted, como usuario, no puede comprender si un servicio en línea ha implementado dicha protección con contraseña y en qué medida. En el pasado, después de incidentes de protección de datos, se hizo público con mayor frecuencia que incluso los grandes servicios en línea todavía utilizan procedimientos criptográficos completamente obsoletos para proteger las contraseñas.

El problema de que los servicios en línea conozcan sus contraseñas en texto plano es algo que debe tener en cuenta al elegir sus contraseñas. Si utiliza los mismos datos de acceso para varios servicios en línea, debe tener en cuenta que, en teoría, cada servicio en línea puede iniciar sesión en los demás servicios utilizando sus datos de acceso. Sin embargo, si confía en los operadores de dichos servicios en línea, aún puede suceder que le roben su contraseña de un servicio en línea debido a un incidente de protección de datos y que luego todas las demás cuentas de usuario en otros servicios en línea también se vean afectadas.

Consejo : Para evitar este problema, cada cuenta de usuario debe estar protegida con una contraseña individual:

  • Contraseña individual: una contraseña separada para cada cuenta de usuario; nunca use contraseñas más de una vez.

¿Qué hace que una contraseña sea segura?

La sección anterior explicó que existen más requisitos para una contraseña segura que solo el «uso de letras mayúsculas y minúsculas, números y caracteres especiales». Aunque este requisito se mencione una y otra vez, también se deben observar los requisitos mencionados aquí.

Para resumir de nuevo:

  • Nunca reutilices contraseñas.
  • Elija contraseñas que sean lo más largas posible. Ocho caracteres a menudo no son suficientes hoy en día. Son mejores las contraseñas de al menos 12 dígitos.
  • Utilice todo tipo de caracteres en sus contraseñas si es posible.
  • Evite cadenas de caracteres comunes como nombres, palabras o fechas.

¿Cómo puedo comprobar si ya me robaron la contraseña?

Para comprobar si tu contraseña ha sido robada, puedes seguir estos pasos:

  1. Utiliza servicios de verificación de contraseñas:
    • Have I Been Pwned: Visita haveibeenpwned.com y escribe tu dirección de correo electrónico. Este sitio te mostrará si tu correo ha sido involucrado en una filtración de datos.
    • Firefox Monitor: Ofrecido por Mozilla, permite comprobar si tu correo electrónico ha sido expuesto en una brecha de seguridad.
  2. Revisa tus cuentas:
    • Accede a tus cuentas importantes y verifica si hay actividad sospechosa, como inicios de sesión desde dispositivos o ubicaciones desconocidas.
    • Cambia tu contraseña de inmediato si encuentras alguna actividad sospechosa.
  3. Activa la autenticación en dos pasos (2FA):
    • Siempre que sea posible, habilita la autenticación de dos factores en tus cuentas. Esto añade una capa extra de seguridad, incluso si alguien tiene tu contraseña.
  4. Consulta con tu proveedor de servicios:
    • Algunos servicios ofrecen herramientas para monitorear la seguridad de tus cuentas y te alertarán si hay intentos de acceso no autorizados.
  5. Usa un gestor de contraseñas:
    • Considera utilizar un gestor de contraseñas que pueda generar y almacenar contraseñas fuertes. Muchos de estos servicios también incluyen funciones de monitoreo de seguridad.
  6. Mantén tus dispositivos actualizados:
    • Asegúrate de que tu sistema operativo, aplicaciones y software de seguridad estén actualizados para protegerte de vulnerabilidades.

Recuerda cambiar tus contraseñas regularmente y utilizar contraseñas únicas para cada cuenta. Si has sospechado que tu contraseña ha sido robada, cámbiala inmediatamente.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *