Consejos para generar una contraseña segura

1st agosto 2018

He de confesar que yo usaba la misma contraseña para casi todas mis cuentas online antes de empezar a documentarme para este artículo. Esa única contraseña era «segura» y la creé usando las sugerencias que detallo más abajo, pero esa no es la cuestión: hubiera bastado con que un solo hacker la descifrara para acceder a una cantidad alarmante de datos personales.

Usar la misma contraseña para todas tus cuentas es como tener la misma llave física para todo: la puerta de casa, la puerta trasera, tu buzón, tu coche, tu bici, tu diario, tu despacho, tu escritorio, tu joyero, tu habitación. Puede que sea tremendamente cómodo y que evite que tus bolsillos o tu bolso se den de sí con el peso, pero imagínate que te roban esa llave y que en el llavero van escritas la dirección de tu casa y la de tu trabajo.

Varias cuentas pero una única contraseña
En la actualidad tendemos a acumular cuentas online (cuentas que requieren una contraseña) sin pensar y con la misma frecuencia con la que Donald Trump escupe tuits caóticos y vulgares. Nuestras cuentas de correo electrónico, nuestra cuenta de Amazon, puede que Netflix o Spotify, la compañía de alquileres vacacionales con la que nos registramos una vez, nuestra cuenta del súper, PayPal, servicios de venta de entradas, cuentas en redes sociales (LinkedIn o Facebook, por ejemplo), el portal de cliente de bigblu, esa aplicación de un periódico para estar al día de lo que pasa en el mundo, ese portal de citas en el que te registraste hace tiempo (¿a alguien le suena Ashley Madison?). Y eso es solo lo primero que me ha venido a la cabeza (pero intentaré guardarte el secreto sobre el portal de citas).

Una de las razones por las que nuestras contraseñas son fáciles de averiguar es que nuestras contraseñas son fáciles de averiguar

Ya sé que tener una contraseña segura y única para cada una de tus cuentas online resulta abrumador, engorroso y puede que incluso innecesario, pero como dice Tony Neate (CEO de la organización Get Safe Online, que cuenta con el apoyo del Gobierno del Reino Unido): «las contraseñas son nuestra primera línea de defensa frente a los ciberdelincuentes».

En noviembre de 2015, moneysavingexpert.com llevó a cabo una encuesta que determinó que solo el 12 % de las personas usa contraseñas distintas para cada cuenta. Así pues, no somos los únicos en optar por la vía más fácil, pero en este caso eso hace que nuestros datos sean vulnerables y que estén desprotegidos.

Filtraciones de datos
Más recientemente, el Verizon Data Breach Investigations Report reveló que el 81% de las filtraciones de datos durante 2017 estuvieron relacionadas con contraseñas poco seguras. Esta cifra era del 66 % en 2016 y del 50 % en 2017. Niall King, director en la compañía de servicios de identidad Centrify, afirma: «Los ciberdelincuentes encuentran la vía de menos resistencia hasta su objetivo, y hoy en día esa vía lleva directamente a usuarios con contraseñas autogestionadas de un único factor».

Dicho de otra forma, nuestras contraseñas son cada vez más fáciles de adivinar y la inacción está haciendo que resulte muy fácil hackear nuestros datos. Las filtraciones de datos han acaparado titulares en todo el mundo con una frecuencia cada vez mayor, empezando por el escándalo de Facebook y Cambridge Analytica que extrajo los datos de 87 millones de usuarios para fines políticos. Solo en los dos últimos años, empresas como Uber, Ticketmaster, Dixons Carphone, MyFitnessPal, MyHeritage o Typeform (con clientes como adidas o Fortnum and Mason’s) han sufrido importantes filtraciones de datos.

Descifrar el código
Una de las razones por las que nuestras contraseñas son fáciles de averiguar es que nuestras contraseñas son fáciles de averiguar. SplashData, un proveedor de aplicaciones de gestión de contraseñas, publica anualmente datos de contraseñas filtradas con el fin de poner de relieve la falta de sofisticación de nuestras contraseñas (por no hablar de nuestra falta de imaginación). En el puesto número 1 del pasado año, que lleva sin cambiar desde 2016, encontramos «123456». En el número 2, también inamovible, está «password» (contraseña). «letmein» (déjame entrar) y «iloveyou» (te quiero) ocupan los puestos 7 y 10 respectivamente.

Fue en esta fase de mi investigación cuando empecé a emular las habilidades para proponer acertijos de Benedict Cumberbatch en su papel como Alan Turing en la película Descifrando Enigma y a garabatear frenéticamente dígitos y letras, mover engranajes y conectar y desconectar cables para proteger todas y cada una de mis contraseñas. Sin llegar a esos extremos, te explico cómo puedes empezar a crear contraseñas indescifrables…

¿Te la han jugado?
Un buen lugar para empezar es entrar en HaveIBeenPwned? (¿Me la han jugado?) para comprobar si tu dirección de correo electrónico habitual se ha visto afectada por alguna filtración de datos. Este sitio es un servicio gratuito que agrega datos filtrados y ayuda a la gente a determinar si se han visto afectados por alguna actividad maliciosa en internet.

Cada vez que introduzco la misma contraseña de siempre en una nueva cuenta, tengo la desagradable sensación de que alguien me observa

Lo he comprobado por primera vez esta mañana, y he descubierto que mi contraseña se ha visto involucrada en cinco filtraciones de datos desde 2012, incluidas las de Last.fm y LinkedIn. Por «filtración» entendemos un incidente en el que los datos hayan estado expuestos al público de forma no intencionada.

Antes de seguir, me gustaría recalcar que no soy ningún genio de las nuevas tecnologías: tengo algo de idea, pero no soy ningún experto. Llevo teniendo la misma contraseña para todas mis cuentas menos una durante los últimos cuatro años. Cada vez que abro una nueva cuenta (anoche, sin ir más lejos, para comprar unas entradas) uso la misma contraseña, y siempre la introduzco con la desagradable sensación de que alguien me observa. Y aun así, ante la aparente avalancha de trámites administrativos, hago caso omiso de ese temor pensando que no me pasará a mí.

Bueno, pues ya me ha pasado. Cinco veces. La última de ellas en febrero de este año, cuando apareció una enorme colección online de casi 3000 supuestas filtraciones de datos que afectaban a más de 80 millones de direcciones de correo únicas.

Gestor del miedo
Te cuento lo que hice: Me registré en 1Password, el gestor de contraseñas recomendado por Troy Hunt, el genio australiano de la tecnología y director de Microsoft tras HaveIBeenPwned?. Si a Troy le vale, a mí también… Un gestor de contraseñas crea y recuerda una contraseña segura y única para cada una de las cuentas online que tenga, por lo que tus datos personales estarán más seguros que nunca.

La protección multicapa que ofrecen estos gestores de contraseñas no es gratuita, pero tampoco es que sea cara. Para una mayor tranquilidad online, 1Password cobra 2,99 $ al mes (y el primer mes es gratis).

Los gestores de contraseñas te ayudan a elegir una nueva al azar y a almacenarla en una caja fuerte digital segura

No dispongo del espacio necesario para hablar de todos ellos ahora mismo (tendré que dejarlo para otro día), pero hay cantidad de gestores de contraseñas estupendos que ofrecen diversas opciones para adaptarse a todo tipo de necesidades de seguridad.

Cómo no olvidarse de las cosas
Tras registrarme e introducir los datos de mi tarjeta de crédito, tocaba elegir una contraseña maestra fácil de recordar pero aleatoria. Los prácticos consejos de 1password te ayudarán con esto o te generarán una. Esto creará una Clave Secreta que puedes usar en caso de emergencia. Ellos te recomiendan que la imprimas y la guardes con el pasaporte, en una llave USB o en tu sistema de almacenamiento en la nube.

Una vez creada, lo único que tuve que hacer fue descargar la aplicación 1Password para los dispositivos que uso y la extensión del navegador; En mi caso, un iPhone, un MacBook (para uso personal) y un portátil Windows (para trabajar). Ahora, con la ayuda de 1Password, puedo o bien cambiar la contraseña de todas mis cuentas o, si no, cada vez que inicie sesión en una de mis cuentas online con mi contraseña genérica y fácil de hackear, 1Password me ayudará a elegir una nueva aleatoria y la almacenará en mi caja fuerte.

Una vez hecho todo esto, ahora en vez de tener que recordar mi contraseña aleatoria, aparece el icono de 1Password y, con tan solo pulsar un botón, me permite seleccionar la nueva contraseña aleatoria y prácticamente imposible de hackear correspondiente.

Todos los huevos en una sola cesta.
Me imagino que te estarás haciendo esta pregunta (la misma que me hice yo en su momento): ¿Qué pasa si hackean mi gestor de contraseñas?

Supongo que no será ninguna sorpresa si te digo que los gestores de contraseñas se toman la seguridad muy en serio. Puede que te suene a chino como me sonaba a mí antes de preguntarle al desarrollador principal de bigblu, pero me aseguró que el estándar de cifrado avanzado de 256 bits que emplean hace que leer tus datos sea muy difícil, hasta Turing tendría problemas para hacerlo.

Si un gestor de contraseñas te parece demasiado abrumador por el momento, merece la pena tirar de lápiz y papel para pensar en una contraseña nueva aleatoria y sencilla de recordar que no pueda adivinarse fácilmente. Cuanto más larga sea, mejor: añadir un solo carácter a una contraseña aumenta exponencialmente su seguridad.

Cifrado a la antigua usanza
El sitio web Better Buys indagó sobre este asunto e ideó una herramienta que puede decirte cuánto se tardaría en dar con tu contraseña. Por ejemplo, si tienes una contraseña extremadamente sencilla y común de siete caracteres («abcdefg»), un hacker profesional daría con ella en una fracción de milisegundo. Si añades un carácter más («abcdefgh»), el tiempo necesario pasa a cinco horas. Se tarda cinco días en averiguar contraseñas de nueve caracteres, cuatro meses en dar con contraseñas de diez caracteres y diez años en adivinar contraseñas de once caracteres. Si aumentas a doce caracteres, estaríamos hablando de 200 años de seguridad, lo cual no está mal para una letrita de nada.

Los ladrones de contraseñas tienen en cuenta nuestras predecibles costumbres

Combinar números y letras en lugar de un solo tipo de carácter aumenta drásticamente la seguridad de nuestra contraseña. No obstante, no es tan sencillo como cambiar la letra i por un 1 o añadir un número al final. Los ladrones de contraseñas tienen en cuenta nuestras predecibles costumbres. Si te decantas por tirar de lápiz y papel, el mejor consejo que te podemos dar es que tu contraseña sea menos predecible y más complicada.

Ahí van algunas sugerencias:

  • Empieza por tres palabras aleatorias e incluye letras mayúsculas y minúsculas. Para hacerla más segura, añade números y símbolos (como @ # $ % ^ & *) y haz que tenga al menos ocho caracteres; o
  • invéntate una frase fácil de recordar, y coge la primera letra de cada palabra para crear una secuencia; o
  • elige una serie de palabras clave que signifiquen algo para ti pero que no sean obvias ni fáciles de adivinar, elige varios números clave (evitando fechas obvias como tu aniversario) y después crea contraseñas empleando una combinación de ambos.

Una vez tengas tus nuevas contraseñas, apúntalas en clave, guárdalas en una llave USB o guárdalas en tu sistema de almacenamiento en la nube. Hagas lo que hagas, protege tus datos del riesgo de verse expuestos.

En boca cerrada no entran moscas
Un último consejo sobre contraseñas: nunca le digas a nadie tu contraseña, ni siquiera a alguien que te diga que trabaja en asistencia técnica. Alguien que se dedique a eso de verdad nunca te preguntará tu contraseña, porque no necesita información privada para ayudarte.