Utilizar solo contraseñas, es obsoleto como método de protección

Publicado por

A raíz de la importancia que reviste tu seguridad en en la «era digital», como consumidor de disímiles servicios en Internet, he decidido escribir el presente artículo que, constituye una recopilación y aportes propios del autor.

Conocemos a las contraseña como el método de autenticación más utilizado; sin embargo, igualmente antiguos son los procedimientos para romper este método.

Una contraseña segura debería cumplir ciertos estándares (Fig. 01), tales como:

  1. Estar compuesta por 8 o más caracteres.
  2. Combinaciones de mayúsculas y minúsculas.
  3. Contener números y caracteres especiales, tales como: arroba, asterisco, slash, signos de puntuación, etc.
  4. No estar compuesta por una palabra conocida de algún idioma.
  5. No contener nombres o apellidos, números de identificación personales o fechas especiales (nacimiento, aniversario, etc.
Fig. 01

Durante varios años, contraseñas como “123456”, “password” y “qwerty” han encabezado la lista de las más utilizadas. Si bien es probable que esta tendencia se mantenga, también comienzan a aparecer combinaciones como “pasword01” o “Qwerty01!”; es decir, las mismas palabras predecibles de siempre, pero con algunos cambios para que sea válida y pase las auditorías básicas de seguridad. (Fig. 02)

Fig. 02

Un método interesante para crear una contraseña segura, es el siguiente:

  1. Pensar en una frase; por ejemplo: «A la cima del éxito, solo se llega por la vía del sacrificio»
  2. Tomar las iniciales de cada palabra: Alcdesslplvds
  3. Cambiar algunas letras por números (A mayúscula por un 4 y minúscula por @, e por un 3, l por un 1, o por un 0): 41cd3ss1p1vds
  4. Colocar algunas letras en mayúsculas: 4lcd3SS1p1vdS
  5. Añadir caracteres especiales y signos de puntuación: 4lcd3,SS1p1vdS*

El resultado ha sido ¡fenomenal!: una contraseña relativamente fácil de recordar por el usuario y difícil de averiguar por el atacante.

Sin embargo, aunque el usuario decida utilizar una clave como la anteriormente formada, esto no asegura 100% que todos sus datos están seguros. El cibercrimen está a la orden del día, y hay miles de hackers en el mundo que se dedican exclusivamente a robar cuentas, contraseñas de bancos, tarjetas de crédito, etc. Además, los métodos para conseguir esta información son muy variados:

  • Keyloggers: programas que registran cada tecla que se pulsa en un dispositivo, incluso, sin el permiso ni el conocimiento del usuario.
  • Phishing: engañar al usuario para que proporcione su información a través de un sitio engañoso.
  • Fuerza bruta: utilizar un programa para que intente todas las combinaciones de caracteres posibles.
  • Llamar a servicio a clientes de cierto sitio o servicio pretendiendo ser el usuario.

La seguridad es como una cebolla: entre más capas hay, más difícil es de romper. Tomará aún muchos años eliminar las contraseñas como método de autenticación, pero al menos podemos mejorarlas. El primer paso ya se dio con la verificación en dos pasos. Este nuevo método de seguridad obliga a que el usuario ingrese 2 contraseñas: la «normal» y una temporal que el servidor del sitio le envía a un medio que solo él tenga (como un email, un SMS o un código autogenerado cada ciertos segundos).

La identificación de patrones biométricos como: huella dactilar, rostro, iris, etc., es una tendencia que ha tomado una fuerza impresionante desde hace algunos años. Hoy día, es muy difícil encontrar un smartphone de gama alta que no tenga un sensor de este tipo; además, esta tecnología sigue evolucionando.

Si aún decide utilizar contraseñas para proteger su acceso a servicios, por favor:

1. Nunca permita que su navegador web las recuerde.

2. No las comparta con nadie más.

3. No las anote en el dispositivo ni en ningún otro sitio.

La conclusión es que las contraseñas son obsoletas. En este mundo, la información guardada en diferentes servidores, en computadoras o en la nube es demasiado delicada para protegerla por una simple palabra de 8 o más caracteres. Por tal motivo, te propongo un método que últimamente está siendo implementado por muchos servicios en Internet: el «doble factor de autenticación» o 2FA a través del Autenticador de Google.

Trust Investing, ha decidido ya hace algún tiempo contribuir a la seguridad del usuario a través de este método. Aprende a utilizarlo utilizando el siguiente tutorial.

Fuentes consultadas:

  1. Las contraseñas son obsoletas y deberíamos dejar de usarlas. URL: https://www.qore.com/noticias/49785/Las-contrasenas-son-obsoletas-y-deberiamos-dejar-de-usarlas
  2. Estadísticas y reglas para predecir contraseñas: ¿es obsoleta la fuerza bruta?. URL: https://www.welivesecurity.com/la-es/2017/05/24/obsoleta-fuerza-bruta-predecir-contrasenas/
  3. ¿Tiene sentido que las contraseñas expiren? Microsoft dice que no: “es una práctica obsoleta y de muy poco valor en seguridad». URL: https://www.genbeta.com/seguridad/tiene-sentido-que-contrasenas-expiren-microsoft-dice-que-no-practica-obsoleta-muy-poco-valor-seguridad
  4. La contraseña «multicaracter» ya es obsoleta y no protege realmente. URL: https://gerardoverduzco.com/2018/04/la-contrasena-multicaracter-ya-es-obsoleta-y-no-protege-realmente/
  5. Por qué las contraseñas van a desaparecer (y qué sistemas las sustituirán). URL: https://www.bbc.com/mundo/noticias-50263367

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *