Guías
Día Mundial de las Contraseñas 2023: Guía de buenas prácticas
La industria tecnológica celebra el primer jueves de mayo un evento para concienciar de la necesidad de mejorar las prácticas en el uso de las contraseñas. A pesar de las múltiples alertas, el Día Mundial de las Contraseñas 2023 sigue siendo muy necesario, porque el análisis de los millones de contraseñas que quedan expuestas tras las múltiples violaciones de datos en compañías grandes y pequeñas, pinta una escena desastrosa.
Ciertamente, las contraseñas son penosas en usabilidad e inseguras si no seguimos unas normas precisas. Pero hasta que la industria tecnológica despliegue masivamente otros sistemas más amigables y seguros, como pueden ser las passkey, las contraseñas siguen siendo la forma de autenticación preferente para acceder a los servicios de Internet, autenticarse ante sistemas operativos, aplicaciones, juegos, redes y todo tipo de máquinas.
Si bien características adicionales como las del 2FA han reforzado la seguridad de las contraseñas obligando a utilizar la verificación en dos pasos, lo cierto es que las contraseñas no son hoy un método fiable en medio de un número de ataques que crece sin parar. Y mucho menos si usuarios y empresas seguimos incumpliendo las normas básicas para su creación, uso y mantenimiento.
Día Mundial de las Contraseñas 2023
Especialistas en seguridad calculan que diariamente se lanzan más de 50 millones de ataques con contraseña cada día, unos 580 por segundo. Y son altamente efectivos, ya que está comprobado que el 60 % de las violaciones de datos se atribuyen a credenciales comprometidas.
Y se lo ponemos muy fácil a los ciberdelincuentes. La lista de las peores contraseñas nos debería hacer reflexionar porque se repiten año a año y el grupo de viejas conocidas como «123456», «111111» o «password» dominan los listados de uso. Y son las que hay que evitar a toda costa ya que un pirata informático las puede obtener en menos de un segundo simplemente con un comando que pruebe las más utilizadas. O usando ataques de fuerza bruta, palabras, combinaciones numéricas y otras que permiten obtener las credenciales.
Y es que los usuarios somos «vagos» por naturaleza o despreocupados a pesar de lo mucho que nos jugamos al dejar al descubierto nuestra vida digital que abarca tanto a cuestiones profesionales como personales. Y financieras… Las más buscadas por motivos obvios. Para concienciar de la gravedad del asunto, la industria vuelve a lanzar este Día Internacional como recordatorio de lo que se debe y no se debe hacer en su manejo.
Cómo crear contraseñas fuertes
La recomendación es la de costumbre. Debemos hacer un esfuerzo en su creación y mantenimiento con normas básicas que se incluyen en cualquier manual de ciberseguridad e indican lo que hay y lo que no hay que hacer a la hora de crear y usar las contraseñas. Las volvemos a recordar:
- No usar palabras típicas o números comunes.
- No usar nombres personales, de mascotas o fechas de nacimiento.
- Combinar mayúsculas y minúsculas.
- Combinar números con letras.
- Añadir caracteres especiales.
- Alargar el término con el mayor número de dígitos.
- No utilizar la misma contraseña en todos los sitios.
- Especialmente, usar contraseñas específicas y lo más fuertes posibles para banca y sitios de compra on-line donde exponemos nuestra información financiera.
- Mantener la contraseña a salvo de cualquier tercero.
- No revelar nunca la contraseña a nadie. Tampoco en supuestas peticiones oficiales desde correos electrónicos o mensajes de servicios de mensajería ya que suelen ser ataques de phishing que suplantan su identidad.
- Variar el nombre de usuario y el correo electrónico.
- Reforzar el uso de las contraseñas siempre que estén disponibles funciones como la doble autenticación (2FA) o sistemas biométricos, sensores de huellas o reconocimiento facial.
- Limpiar cuentas en línea que no usemos como tarea regular de mantenimiento.
- Comprueba si tus contraseñas están hackeadas. Have I Been Pwned es un buen lugar donde mirar.
Gestores de contraseñas
Es casi imposible para un humano internauta manejar con seguridad las credenciales para acceder a las centenares de cuentas que seguramente estemos suscritos. Hay un grupo de aplicaciones que son de gran ayuda. Básicamente, este tipo de software reduce los errores humanos en el manejo de las contraseñas, ya que automatiza el proceso de generación y de acceso a los sitios web y servicios.
Por supuesto, las contraseñas creadas por estos gestores son altamente seguras cumpliendo las normas estándar en tamaño y complejidad. También ayudan contra los ataques de phishing al identificar de forma inmediata los caracteres procedentes de otros alfabetos y añaden una enorme ventaja: solo necesitamos recordar una contraseña maestra y el gestor hará el resto.
Seguro que te suenan aplicaciones como la renombrada LastPass y otras comerciales y/o de pago, pero desde nuestra sección de prácticos te propusimos en su día estas cinco soluciones de código abierto y totalmente gratuitas que gustó mucho a nuestros usuarios. La gran ventaja de los administradores de código abierto es la posibilidad de auditar el software y mantener las credenciales bajo tu control, instalando y auto hospedándolas en nuestra propia máquina. Te recordamos los más interesantes:
KeePass. Es el ‘abuelo’ entre los gestores de contraseñas de código abierto y existe desde los días de Windows XP. KeePass almacena las contraseñas en una base de datos cifrada a la que puedes acceder mediante una contraseña o clave digital. Puede importar y exportar contraseñas en una amplia variedad de formatos.
Bitwarden. Especialmente destinada a usuarios de LastPass que buscan una alternativa más transparente, funciona como un servicio web al que puedes acceder desde cualquier navegador de escritorio, mientras que para Android e iOS cuenta con sus respectivas apps móviles. Bitwarden puede compartir contraseñas y tiene acceso seguro con autenticación multifactor y registros de auditoría.
Passbolt. Un administrador de contraseñas autohospedado diseñado específicamente para equipos de trabajo. Se integra con herramientas de colaboración en línea como navegadores, correo electrónico o clientes de chat. Puedes autohospedar el programa en tus propios servidores para mantener un control completo de los datos, aunque equipos sin experiencia o infraestructura pueden usar una versión en nube que los aloja en los servidores de la compañía.
Psono. Psono es otra opción para los equipos que buscan software de gestión de contraseñas empresariales de código abierto. Esta es una solución autohospedada que ofrece un atractivo cliente basado en web escrito en Python, con código fuente disponible bajo la licencia Apache 2.0.
Teampass. Un administrador orientado a equipos con un modo base fuera de línea que nos gusta, donde exporta sus elementos a un archivo cifrado que puede usarse en ubicaciones sin conexión a Internet. Teampass no es la aplicación más bonita del mundo, pero el diseño es tremendamente y se puede definir rápidamente roles, privilegios de usuario y acceso a carpetas.
Y si quieres usar este tipo de software para móviles debes saber que también existen desarrollos especializados como estos 6 gestores de contraseñas para Android que te ofrecimos recientemente.
Gestores en los navegadores
Si no quieres usar gestores de terceros, otra opción es usar los administradores de contraseñas de los propios navegadores. Chrome, el líder del segmento, ha mejorado su funcionamiento y capacidad considerablemente en las últimas versiones incluyendo funciones que ofrecen los especializados de arriba, como la detección de contraseñas vulneradas, el aviso cuando crees alguna débil o una edición de la misma muy sencilla en el propio gestor.
El gestor las almacena de manera segura, permite su gestión en chrome://settings/passwords y las usa para completar los campos de usuario y contraseña la próxima vez que visites un sitio web. Muy similar a lo que ha ido haciendo Mozilla para Firefox con su ‘Password Manager’ que es uno de las mejores en navegadores web. El Edge de Microsoft basado en Chromium también cuenta con su propio gestor, que ofrece lo más básico de un gestor dedicado.
Un nuevo recordatorio este Día Mundial de las Contraseñas 2023 para concienciar de la necesidad de invertir unos minutos de nuestro tiempo en atender un elemento crucial para la seguridad en Internet y la del hogar digital. Y no hay excusas. Tenemos la información y los medios. No se lo pongamos tan fácil a los enemigos de lo ajeno.
Si te ha gustado este especial, te recomendamos nuestro podcast Man in the Middle, en el este capítulo, hablamos con Javier Candau, jefe del departamento de Ciberseguridad del Centro Criptológico Nacional y Coronel de Artillería, sobre el futuro de las contraseñas y si el día que desaparezcan queda cerca o lejos.
-
A FondoHace 5 días
Posibles requisitos de The Division 3 y fecha de lanzamiento
-
A FondoHace 6 días
El gran valor de PS5 Pro es una tecnología disponible en PC desde 2019
-
NoticiasHace 4 días
Microsoft ampliará la vida útil de Windows 10 a los consumidores que pasen por caja
-
NoticiasHace 4 días
Tarjetas gráficas de gama media-baja, un futuro incierto que podría hacerlas desaparecer