¿Cuántas veces ha cambiado sus contraseñas en el último año? ¿Cuántos de sus dispositivos, sitios web, redes sociales y cuentas del banco comparten la misma clave? Los expertos en ciberseguridad no se cansan de advertirlo: los hábitos de protección digital de la mayoría de los usuarios no son motivo de celebración. De hecho, «123456» y «abcdef» son aún las contraseñas más populares, y de ello se aprovechan los hackers. Pero, ¿cómo saber si alguien le ha robado la clave de su ordenador? En este artículo se explica en qué hay que fijarse y de qué manera se pueden usar las matemáticas para crear la contraseña perfecta.
La función de las claves es proteger las cuentas online e identidad digital de los usuarios. Pero tener una muy sencilla o predecible como «abcdef» o compuesta por una palabra común como «contraseña» o «gato» apenas protege: es como escoger una cerradura para la puerta que pudiera abrirse con un cepillo de dientes cualquiera. Y los hackers aprovechan esa falta de creatividad.
«La detección de código dañino en el ordenador o en la red de conexión debe hacer sospechar de que la contraseña está comprometida», asegura Javier Candau, jefe de Ciberseguridad del Centro Criptológico Nacional
Pero, ¿cómo crear una clave más segura? Las matemáticas pueden ayudar a configurar una contraseña. «Cuanto más larga es una clave, menos evidente y más difícil de adivinar resulta para las herramientas de hackeo», afirma el experto en ciberseguridad Peter Hesse.
Un ejemplo. Una contraseña de seis caracteres que mezcle números letras y símbolos contenidos en su teclado (unos 95), tiene unas 735.000 millones de combinaciones posibles. Parecen muchas, pero, si en lugar de usar una clave de seis caracteres, escoge una de diez caracteres, con los mismos criterios, las combinaciones posibles se acercan a los 141 billones, lo que es notablemente más segura.
Este es el motivo por el que algunos sitios web exigen crear contraseñas de un número mínimo de caracteres e incluir símbolos o caracteres especiales. Pero, con tiempo suficiente y las potentes herramientas de hackeo existentes, hasta estas claves pueden ser robadas.
¿Me han robado la contraseña?
«No es fácil saber si nuestra contraseña ha sido comprometida. Pero la detección de algún tipo de código dañino en nuestro equipo o en la red a la que nos encontremos conectados debe hacernos sospechar de que tanto credenciales como otro tipo de información sensible se ha podido ver comprometida», advierte Javier Candau, jefe de Ciberseguridad del Centro Criptológico Nacional.
De igual modo, sigue Candau, una mala praxis, como acceder a ciertos servicios (correo electrónico, banca online, etc.) a través de equipos de terceros (cibercafés, hoteles, etc.) o conectarse a Internet mediante redes wifi públicas susceptibles de ser explotadas, debe mantener en alerta al usuario. «En otras ocasiones es posible detectar pequeños comportamientos anómalos en nuestro equipo, como lentitud, apertura de ventanas, etc. que nos hagan sospecharde que algo anómalo está sucediendo», dice el experto en ciberseguridad.
¿Y cómo confirmar que le han robado la contraseña? El sitio web Have I been pwned, creado por el experto en seguridad online australiano Troy Hunt, permite comprobar si direcciones de correo electrónico y nombres de usuario han sido robados y están dentro de alguna lista de robos de datos masiva, algo que, por desgracia, ocurre con frecuencia.
Otra herramienta útil es Pwned Passwords. Basta con introducir la clave para que el sitio web informe de si esta es segura o si ha sido expuesta a algún peligro o robo masivo. Y hay más: Hacked-emails (para direcciones de correo electrónico), We Leak Info (para nombres de usuario) e IsLeaked, que deja introducir la contraseña y comprobar si todavía es segura.
Imagen: bloomua
Y si le han robado la contraseña…
«Si advertimos un problema de seguridad, hay que cambiar la contraseña de inmediato de todos los servicios que la compartan», recomienda Javier Rodríguez, de la Oficina de Seguridad del Internauta
Si al introducir la clave en la herramienta para saber si es segura, todo se vuelve de color rojo, quiere decir que su seguridad digital está en peligro. ¿Qué hacer entonces? Es el momento de modificar la contraseña y crear una más segura. «Si advertimos un problema de seguridad, hay que cambiar la clave del servicio hackeado de inmediato. Y si la contraseña es la misma que utilizamos en otros servicios digitales (correo electrónico, apps y sesiones en plataformas de vídeo o banca online, lo que sucede en más del 80% de los casos), hay que variarla en todos ellos», advierte Javier Rodríguez, de la Oficina de Seguridad del Internauta del Instituto Nacional de Ciberseguridad de España.
Pero, hay que aceptarlo: la mayoría de las personas somos nefastos para memorizar claves largas e impredecibles -que son precisamente las combinaciones seguras-; una situación que empeora si hay que aprender cinco o seis distintas para cada dispositivo o sitios sociales.
Las reglas nemotécnicas o trucos como romper la contraseña en tres fragmentos ayudan a memorizar claves más complejas. Así, recordar secuencias como «casQ», «9tEs» y «abRC» es más sencillo que memorizar la combinación completa de golpe: «casQ9tEsabRC».·
Pero suponga que crea una contraseña de 15 caracteres segura y logra memorizarla. Y ahora comienza a emplearla en todos sus dispositivos, cuentas de correo y sitios de compras online. Usted estará de nuevo en peligro, pues los hackers saben que suele usarse la misma contraseña en distintos sitios, por lo que si una de sus cuentas cae en una lista robada de datos, el resto de sus dispositivos estará también en peligro.
¿Entonces? Intente crear contraseñas seguras y distintas para cada aplicación. No tiene por qué echar mano de una libreta. Existen administradores de contraseñas, como KeePass o 1Password, que hacen esta labor. El trabajo parece titánico, pero su protección online lo agradecerá.
- Puede seguir a Eva San Martín en Twitter