El usuario de la Red utiliza muchos servicios que requieren una contraseña o ‘password’: desde correo ‘webmail’ y clientes de mensajería instantánea hasta videojuegos online y sistemas de banca en Internet. En una red a la que acceden cada día millones de personas, esa contraseña es el equivalente a una puerta blindada. Usar una contraseña sencilla, como la fecha de nacimiento del primer hijo, supone lo mismo que dejar la llave de casa debajo del felpudo: el primer sitio donde miraría alguien que quiere romper la barrera de seguridad del usuario.
El ‘cracker’ sabe que los internautas utilizan contraseñas que puedan recordar, como el nombre del servicio al que quieren acceder
Los trucos del ‘cracker’ para entrar en ‘la casa ajena’ se basan en su conocimiento de las costumbres del usuario. El ‘cracker’ sabe que los internautas utilizan contraseñas que puedan recordar, como el nombre del servicio al que quieren acceder o la misma contraseña en todos. Primero probará con el nombre del servicio (Hotmail, Yahoo!, Gmail…), después lo intentará con una combinación del mismo con el nombre de usuario (‘margayahoo’, por ejemplo); las contraseñas habituales (como ‘admin1234’ o ‘accesslogin’); todos los nombres comunes de personas y mascotas, todas las posibles combinaciones de fechas y así sucesivamente.
Funciona el 70% de las veces. Sus propias herramientas consisten en un ordenador, o varios, una lista de nombres de personas y mascotas en varios idiomas, contraseñas habituales, diccionarios, imaginación y sentido común. El modo de mantenerle alejado de los datos privados es evitar a toda costa cualquier proceso automatizado para crear contraseñas.
Trucos para mejorar la seguridad en la Red
No usar nunca información personal. Especialmente si está incluida en el nombre de usuario o consiste en un grupo de caracteres en minúscula que tienen sentido. Hay un número limitado de nombres (tanto de personas como de mascotas) y ya hay bases de datos que incluyen todos los nombres comunes que se le puedan ocurrir a cualquier persona. Una fecha es una combinación de números limitada y, por lo tanto, una barrera fácil de romper.
No usar palabras conocidas. Un diccionario digital es una base de datos online, y un ‘cracker’ sólo necesita un ordenador y un poco de tiempo para probar todas las palabras de uso común y dar con la correcta. Incluso palabras como ‘rinoplastia’ y nombres como ‘Nabucodonosor’ son contraseñas fáciles de romper.
Usar palabras largas y combinaciones de letras y números. Una palabra de cuatro caracteres es una combinación de cuatro elevado a cuatro. Una palabra de ocho, una combinación de cuatro elevado a la potencia de ocho. Es mucho más trabajo. En caso de que el sistema sea ‘case sensitive’, una D mayúscula es diferente de una d minúscula, lo que aumenta el número de combinaciones aún más. La contraseña perfecta es una palabra larga que no existe en el diccionario y que incluye letras en minúscula y mayúscula, números y caracteres extraños como ‘&’ o ‘#’. Estos últimos se admiten raramente en los sistemas online, pero siempre es bueno probar.
No usar ‘trucos’ conocidos. La sustitución numérica más popular de la Red es la jerga ‘l33t’, donde se sustituyen la letra ‘e’ por el número 3, la ‘a’ por el número 4, la ‘l’ por el número uno y así sucesivamente. El ‘l33t’ es un derivado de la palabra ‘elite’ y se puso de moda en los 80 entre los primeros usuarios de la Red y los canales más técnicos del IRC. Cualquier ‘cracker’ con dos dedos de frente lo ha incluido en sus cálculos. El usuario que quiera utilizar la sustitución como truco de seguridad hará bien en crear sus propias analogías. Eso incluye todos aquellos lenguajes alternativos que tengan un diccionario oficial, desde el Esperanto y el Volapuk hasta el élfico del Señor de los Anillos.
Usar una herramienta de codificación. Algunos navegadores como Opera o Firefox incluyen una herramienta muy útil que crea contraseñas cada vez que las necesitamos y las guarda bajo una contraseña maestra que decide el usuario. Este tipo de herramienta se llama ‘Password manager’ y también se puede descargar de la Red, en versiones comerciales como Keywallety Whisper 32, o libres como Password Safe. Con un ‘manager’ no hay que romperse la cabeza pensando en la contraseña perfecta y, mucho peor, recordarla.
Tiene, sin embargo, dos desventajas fundamentales: si el usuario pierde la contraseña maestra, perderá todas las contraseñas de acceso a sus servicios. Y si alguien encuentra la contraseña maestra del usuario y tiene acceso al ordenador, todos los secretos de éste serán revelados. Sobra decir que lo primero es más probable que lo segundo.
Cambiar de contraseña. Tan malo como usar la misma contraseña en todos los servicios (rota una, rotas todas) es usar la misma contraseña siempre. Cambiar de contraseña es fundamental, sobre todo en los servcios más delicados como banca online. Todas las noticias relacionadas con estafas de dinero por parte de ex compañeros de trabajo, acceso indebido a correo ajeno o pérdida de dinero en uno de los muchos videojuegos masivos online tienen que ver con una contraseña caducada. Si la pareja del internauta conoce sus contraseñas y la relación se rompe, hará bien en cambiarlas antes de que el caso acabe en los tribunales. No sería la primera vez.
Apuntar las contraseñas en un papel. O en el teléfono móvil o en la parte de atrás de la agenda. En cualquier lugar que no se vaya a perder y que no sea parte del ordenador. Y, a ser posible, no esté conectado a la Red. Es mil veces más probable que alguien acceda al ordenador propio que a la libreta de notas.