123456 y 'password' no son una opción | ideal

Este jueves 1 de mayo se celebra el Día Mundial de la Contraseña y los expertos coinciden en que la mayoría de los usuarios somos ... bastante negligentes a la hora de elegir la nuestra, lo

que nos hace vulnerables al ataque de los ciberdelincuentes y puede traernos serios problemas, desde exponer nuestra información privada en el ancho mundo de la red hasta dejarnos limpia la

cuenta corriente. ¿Consejos? Usar contraseñas largas, aleatorias y –fundamental– distintas en los diferentes servicios en que las utilizamos. Javier Tallón, director técnico de la compañía

JTsec, sabe bien de lo que habla porque su trabajo consiste precisamente en detectar las brechas de seguridad de grandes compañías como Google, Amazon, Cisco o Huawei y para ello cuenta con

un equipo de 60 hackers buenos o 'white hat hackers'. Sus antagonistas, los hackers malos, ponen a trabajar a los bots y usan dos tipos de estrategias mediante algoritmos

matemáticos para romper la cerradura virtual y acceder a la información privada. Una es utilizar un 'diccionario' con las contraseñas más comunes, entre las que se encuentran el

clásico 123456 y sucesivos, el 1111 o similares, 'qwerty' –las primeras letras del teclado– con sus variantes, 'contraseña' y 'password' y todas las

combinaciones posibles de nombres y fechas, así hasta más de 200.000 entradas. La segunda es «utilizar la fuerza bruta» y probar combinaciones aleatorias. EL PETRÓLEO DEL SIGLO XXI «Los

profesionales hemos sido tradicionalmente poco didácticos a la hora de recomendar cómo tiene que ser una contraseña», reconoce Tallón. Hace no tantos años, teníamos una palabra como santo y

seña para acceder a nuestro correo electrónico y poco más. Ahora necesitamos una para eso, otra para la app del banco, la del correo del trabajo, las plataformas de televisión, las redes

sociales y toda la multitud de servicios que se prestan por internet a los que hay que acceder con un usuario registrado y una clave. Es normal que nos abrume. RECOMENDACIONES * Larga Las

contraseñas de 4 a 6 caracteres son hackeables en segundos. Los expertos aconsejan que tengan al menos 12 caracteres. * Compleja pero recordable Introducir mayúsculas, minúsculas y

caracteres especiales está bien... siempre que el resultado no sea tan complejo que seamos incapaces de recordarlo. * Distintas. Nuestra llave virtual debe ser distinta para cada servicio.

De lo contrario, una brecha en un sitio poco seguro deja todos nuestros datos expuestos. Especial cuidado con el correo electrónico y la banca online. * Cambio periódico La tediosa tarea de

cambiar la contraseña que nos imponen, por ejemplo, en el trabajo no es caprichosa. A veces nuestros datos ya están en manos de los ciberdelincuentes y no lo sabemos. Mucha gente no le da

mucha importancia porque cree que lo que guarda bajo esa llave virtual no es tan interesante. Error. «La información es el petróleo del siglo XXI», advierte Javier Delgado, director de

Sinergia, una spinoff de la Universidad de Granada dedicada a asesorar a pymes en la detección de vulnerabilidades y herramientas de protección, así como a formación en ciberseguridad. El

peligro es que si un ciberdelincuente rompe esa «primera línea de defensa» puede, por ejemplo, acceder a documentos y fotografías privados de nuestros equipos o suplantar nuestra identidad y

enviar mensajes a todos nuestros contactos pidiéndoles que pinchen un enlace que les instalará un virus en el ordenador o el móvil. O, si se trata de una cuenta de correo profesional,

alterar datos de facturas de proveedores para desviar pagos a sus propias cuentas. Sin olvidar que nuestros datos pueden venderse 'al peso' en la dark web. «NO ES LOS HACKERS VAYAN

A POR TI, SINO QUE MANEJAN GRANDES CANTIDADES DE INFORMACIÓN Y LA USAN PARA ENCONTRAR CUENTAS VULNERABLES» Javier Tallón JTsec En resumen, privacidad expuesta, daño reputacional y pérdidas

económicas. El problema es que los cibercriminales no solo buscan gente poderosa con valiosos secretos, sino que hacen mucha «pesca de arrastre», recuerda Javier Tallón. «Lo más común es que

los hackers descifren un montón de contraseñas en la base de datos de un foro poco seguro –señala el director de JTsec– No es que vayan a por ti, sino que manejan grandes cantidades de

información y la usan para encontrar cuentas vulnerables». Pero en otras ocasiones el ataque está dirigido –por ejemplo, a un directivo con información sensible por la que se puede pedir un

rescate– y los hackers le dedican tiempo a investigar a la persona y a su familia, afirma Delgado. LARGA Y SINGULAR Hasta aquí los problemas; ahora las soluciones. Los expertos consultados

subrayan la importancia de que la contraseña, sobre todo, sea larga. Si lleva mayúsculas, minúsculas y caracteres especiales, mejor, pero la longitud es fundamental. «Una contraseña de

cuatro a seis caracteres se puede hackear en cuestión de segundos. Una de doce o más lo bastante robusta puede tardar años en ser descifrada con la tecnología actual», afirma Javier Delgado.

También es importante la singularidad: hay que evitar nombres –el nuestro, el de familiares o mascotas– y fechas de nacimiento. Los expertos proponen frases que tengan sentido para nosotros

y seamos capaces de recordar con facilidad sin tener que anotarlas en un postit pegado al ordenador. Javier Delgado pone una como ejemplo en sus sesiones de formación:

Juegoalfútboldesdequetenía8años. Es larga, tiene mayúsculas, minúsculas y caracteres especiales (y la conoce todo el que asiste a los cursos de Sinergia, así que no, no la uses). Javier

Tallón sugiere aprovechar para autoenviarnos mensajes motivacionales: Voyadejardefumarseguro. «UNA CONTRASEÑA DE CUATRO A SEIS CARACTERES SE PUEDE HACKEAR EN SEGUNDOS. UNA DE DOCE LO

BASTANTE ROBUSTA PUEDE TARDAR AÑOS» Javier Delgado Spinoff Sinergia Ambos expertos insisten en la necesidad de tener una contraseña para cada servicio, aunque admiten que no todos son igual

de importantes: no es tan grave si tenemos la misma para las plataformas audiovisuales asociada a nuestro nombre de usuario, pero sí es crítica la del correo o la banca online. Si son la

misma, una brecha en la base de datos de uno de esos servicios puede dejarnos vendidos en la información más importante. A partir de ahí, pueden suplantarnos en cualquier servicio mediante

la función de recuperar contraseña. Los ciberclincuentes disponen incluso de herramientas que, una vez instaladas en el equipo hackeado, pueden grabar lo que se teclea (incluidas las

contraseñas). DOBLE AUTENTICACIÓN También resaltan la seguridad que ofrece el doble factor de autenticación, es decir, que el servicio de internet al que accedemos nos pida una palabra clave

y además nos envíe un código o un mensaje de confirmación al móvil. Hay disponibles además gestores de contraseñas, aunque el director de Sinergia advierte que los que nos ofrece el

navegador de nuestro equipo también son vulnerables y las consecuencias de una violación son aún más graves, porque nos exponen en múltiples frentes. Para evitarlo, existen herramientas

–gratuitas y de pago– que guardan todos nuestros 'passwords' bajo una única contraseña maestra. Esta, sí, debe ser cuidadosamente elegida. Tallón llama la atención sobre la

importancia de la «higiene» en la separación escrupulosa entre lo personal y lo profesional. «Cuando usas los recursos informáticos de tu empresa estás poniendo en riesgo no ya tu

información personal, sino la de los clientes y del negocio», recuerda. Cambiarlas periódicamente es otra de las recomendaciones de los especialistas. Hay que tener en cuenta que muchas

veces nos han hackeado y no lo sabemos –hay páginas donde podemos comprobar si se han filtrado datos asociados a nuestro correo electrónico–. Y añadir un número al final de una contraseña

poco robusta para ir actualizándola –maria1, maria2, maria3, etc– les pone las cosas muy fáciles a los malos de la red. «Las contraseñas son como la ropa interior: hay que tener una para

cada ocasión y cambiarla regularmente», resume Tallón con humor.