Blog Blog

Seguridad en tus contraseñas

“¡Qué locura! Cada vez que accedo a algún servicio, tengo que entrar con contraseña, y como uso tantos (redes sociales, correo electrónico personal, correo electrónico corporativo, herramientas educativas, Raíces, etc.) no me veo capaz de recordar una contraseña diferente para cada sitio, así que termino poniendo la misma en todos…”. ¿Te suena?

Ya sabes que no es una buena práctica utilizar la misma contraseña para todo ya que, si en algún momento tu contraseña se ve comprometida, el riesgo para tu información aumenta exponencialmente. En esta entrada hemos querido hablar sobre la seguridad de nuestras contraseñas y hemos recopilado consejos de INCIBE (Instituto Nacional de Ciberseguridad) y OSI (Oficina de Seguridad del Internauta) acerca de cómo crear contraseñas seguras y qué medidas adicionales de seguridad podemos tomar para proteger nuestra seguridad.

Tablet con la palabra Password

​Las contraseñas: ¿cómo nos protegen?

Las contraseñas son las llaves que dan acceso a la mayoría de los servicios online que precisan registro previo. Se trata de un método de autenticación, aunque no es el único ya que existen otros, como los certificados digitales que usamos cada vez más.

Junto con nuestro usuario, la contraseña nos permite no solo acceder al servicio deseado, sino también representa el principal mecanismo de protección contra los ataques de suplantación de identidad y de todo tipo de estafas y fraudes que tienen que ver con la información que se almacena en nuestra cuenta de cualquier servicio.

Sin embargo, si no tenemos claro qué es una contraseña robusta o cómo podemos gestionarlas correctamente, las contraseñas pueden comprometer nuestra seguridad.

¿Es sinónimo de seguridad una contraseña segura?

¿Sabes cuánto tardaría un ciberdelincuente en adivinar una contraseña como 1234567890? Lo hemos consultado en un sitio especializado y la respuesta ha sido: “Instantáneamente”. Así que no todas las contraseñas son sinónimos de seguridad. Por este motivo, cada vez más servicios nos solicitan la creación de contraseñas con unas características especiales que las hagan más robustas y difíciles de adivinar.

​- Cómo crear contraseñas robustas

La creación de contraseñas robustas puede parecer un proceso complejo, pero vamos a darte algunas ideas para que no te resulte tan difícil.

En primer lugar, existen diferentes aplicaciones que nos ayudan a crear contraseñas seguras. Por ejemplo, PMG (Password Manager Generator) utiliza el nombre de tu cuenta, un código de seguridad y una contraseña maestra para generar un algoritmo que utilizarás como contraseña de dicha cuenta. PMG no guarda la contraseña encriptada en una base de datos como otros gestores de contraseñas, sino que la genera cada vez que el usuario se la pide: como la semilla (la información de partida) sigue siendo la misma, el hash generado en cada acceso termina siendo el mismo.

Si te parece complicado utilizar un asistente, puedes crear una contraseña bien segura siguiendo una serie de pasos que INCIBE facilita a los usuarios en su taller formativo “gestiona tus contraseñas de forma segura y protege tus cuentas de usuario” publicado en la página de OSI (Oficia de Seguridad del Internauta):

  1. Piensa en una frase de un libro que te gusta o en una réplica de algún personaje de tu película favorita. También puedes utilizar un refrán o algún dicho popular. Nosotros vamos a usar la frase “Protege tus datos”.
  2. Ahora, vamos a incluir algunas mayúsculas y minúsculas: ProtegeTusDatos.
  3. Vamos a incluir algunos números sustituyendo alguna letra por un número concreto: Prot3g3TusD4tos.
  4. En el siguiente paso, añadimos caracteres especiales que hagan que la contraseña sea un poco más compleja: Prot3g3TusD4tos@.
  5. Finalmente, personalizaremos esta contraseña para cada uno de nuestros servicios añadiendo al principio o al final algo que nos ayude a identificarlo. Por ejemplo, en el caso de la contraseña de EducaMadrid, podemos añadir “EdMad” al final (Prot3g3TusD4tos@EdMad) y si se trata de nuestro correo electrónico personal, “CeP” (Prot3g3TusD4tos@CeP).

¿Sabes cuánto tardaría un ciberdelincuente en descifrar nuestra contraseña? 3x1021 años...

​Medidas de protección adicionales

Desde luego, una contraseña robusta ya es un seguro contra los ciberdelincuentes. Sin embargo, tenemos que contar con que nuestras cuentas no son totalmente impenetrables: existen numerosas técnicas de engaño para manipularnos y conseguir que, consciente o inconscientemente, facilitemos nuestras contraseñas. Así que, como ya os lo hemos dicho en muchas ocasiones: ¡no piquéis con el phishing!

Bajo la apariencia de una entidad o institución conocida, los ciberdelincuentes te pueden convencer para que abras un enlace malicioso o descargar un adjunto que contiene un virus que afectará a tu seguridad independientemente de lo robusta que sea tu contraseña. Por ello, debemos contar con otras medidas de protección adicionales como, por ejemplo, un buen gestor de contraseñas.

Un gestor de contraseñas es una herramienta que nos permite guardar nuestras contraseñas cifradas y no delegarlas en nuestro navegador, de modo que cualquier otra persona no puede tener acceso a ellas a menos que conozca una contraseña maestra. Suelen incluir otras funciones, como creación automática de contraseñas fuertes o alertas para actualizarlas cada cierto tiempo.

Nuestro sistema operativo MAX incluye en el “Gestor de paquetes Synaptic” el programa KeePassXC que permite configurar diferentes bases de datos para la gestión de contraseñas de varios usuarios. Pero cuidado con el uso de este tipo de programas en los equipos compartidos de uso público, querido docente: recuerda que compartes dispositivos y que tienes extremar la precaución cuando trabajas en el centro. Hemos creado este videotutorial donde te explicamos cómo configurar KeePassXC y qué medidas extraordinarias de seguridad has de tener en cuenta si trabajas con MAX 11.5 (capítulo “Bloqueo del portapapeles como medida de seguridad extra”).

​Nuestros errores más típicos

Además de la típica mala práctica de configurar la misma contraseña en diferentes cuentas, somos muy creativos a la hora de poner en peligro nuestra seguridad y privacidad. Para que puedas evitar cometer los errores más típicos, te los vamos a resumir:

  • Reciclar contraseñas: usar la misma clave para múltiples cuentas.
  • Memorizar contraseñas en función de la disposición del teclado como guía para recordar (por ejemplo, “qwerty”).
  • Usar expresiones muy comunes como contraseñas: “lamasguapa”.
  • Utilizar la información personal: fechas de cumpleaños, nombre y apellidos, nombre del equipo favorito, etc.
  • Apuntarlas en notas o en la agenda. Aunque la nota esté protegida con clave, nunca se debe dejar por escrito y, mucho menos, a la vista de todos.
  • Usar patrones excesivamente sencillos.

Para finalizar, permítenos unos consejos

  1. Custodia tus contraseñas. No las reveles ni compartas.
  2. No guardes tus contraseñas en los navegadores.
  3. Utiliza contraseñas robustas.
  4. Cambia las contraseñas periódicamente. Mínimo cada 6 meses y siempre inmediatamente si te lo solicita tu responsable, EducaMadrid o Madrid Digital.
  5. Separa tu ámbito personal del profesional.
  • En tu vida privada no utilices las credenciales corporativas (usuario y contraseña).
  • En el ámbito personal no utilices la cuenta de correo corporativa.
  • En el ámbito profesional utiliza siempre cuentas de correo corporativas (@madrid.org o @educa.madrid.org)
  • En eventos o servicios profesionales regístrate con tu cuenta corporativa pero siempre con una contraseña diferente.

RECUERDA: el sentido común es la mejor herramienta que tienes para proteger tu ciberseguridad. Sin embargo, también es importante no descuidar los principios básicos para protegerte de amenazas externas: configura correctamente la privacidad de tus dispositivos, establece conexiones seguras, gestiona tus contraseñas y sé precavido con tu actividad online.

Bibliografía: