Día mundial de la contraseña: como usar un password seguro y por qué podrían desaparecer

El primer jueves de mayo está reconocido, a nivel mundial, como el día mundial de la contraseña. Se trata de un recordatorio de por qué usar “123456” en nuestras cuentas online nunca es una buena idea y que, repetirla, es todavía peor.

Si tenemos en cuenta la enorme cantidad de filtraciones que hubo durante los últimos años en Argentina, el panorama es preocupante. Hace unas dos semanas, un ciberdelincuente subió a un foro especializado de compra-venta de datos personales una base de datos de 59 millones de registros extraídos del Renaper. Y hasta subió un set de datos de usuarios de Nosis, un sitio muy usado que ofrece “información estratégica de ciudadanos” y que incluye direcciones, documentos, teléfonos y otros datos como relaciones laborales y registros financieros. Y, claro, en esta última había contraseñas filtradas.

En este contexto, en 2023 se detectaron 2.000 millones de intentos sólo en Argentina, mientras que en Latinoamérica este número escaló a 200.000 millones, según los datos obtenidos por FortiGuard Labs de Fortinet. La compañía es una más de la larga lista de empresas que se suman a la concientización.

Este dato es incluso más específico cuando se habla de contraseñas: “La telemetría de Kaspersky indica que se realizaron más de 32 millones de intentos de ataques a usuarios con ladrones de contraseñas en 2023, seguido de más de 40 millones de incursiones en 2022”, indicó la empresa de ciberseguridad rusa.

E incluso algunas apestan por un futuro password-less, es decir, sin contraseñas: “En el panorama actual, la función de las contraseñas tradicionales frente a al uso de la autenticación biométrica es motivo de debate entre los expertos en seguridad”, aseguró Check Point.

Acá, algunas ideas de las tres empresas para pensar en el día mundial de la contraseña.

A qué nos exponemos con una contraseña débil

Password login, contraseñas. Foto: ShutterstockPassword login, contraseñas. Foto: Shutterstock

Por empezar, no es menor recordar que las contraseñas tradicionales están entre nosotros desde hace décadas, pero representan problemas. El usuario promedio no usa claves seguras, las repite en casi todas sus cuentas online y no las resetea seguido, lo cual es peligroso debido a la gran cantidad de ciberataques que hay en la actualidad. De hecho, todos los años, “123456” es la clave más usada del mundo.

“Fortinet busca alertar sobre las numerosas tácticas que existen para robar las claves de un usuario, que van desde ingeniería social o phishing, en el cual los cibercriminales engañan a un usuario para que les de su credenciales a través de un correo o mensajes de texto, haciendo click en links maliciosos, o visitando sitios web infectados, hasta intercepción de tráfico, en donde los atacantes utilizan software como packet sniffers para monitorear el tráfico de la red que contiene información de contraseñas y capturarlas”, explicaron expertos del laboratorio de amenazas de la empresa.

“Los cibercriminales están en búsqueda constante de nuevas formas de comprometer las credenciales de los usuarios, haciendo que sea casi imposible crear una lista completa de cómo pueden robar una contraseña. Es por eso que necesitamos aprender a mantenernos a nosotros y a nuestros datos seguros en línea. Un buen lugar para empezar es implementando contraseñas que sean difíciles de robar en todas nuestras cuentas” explicó Arturo Torres, estratega de ciberseguridad de FortiGuard Labs para América Latina y el Caribe.

Los datos son contundentes: “En América Latina, una de cada cinco personas admite haber sufrido el hackeo de por lo menos una de sus cuentas en línea. Así lo admitieron el 24% de chilenos, 23% de peruanos, 21% de mexicanos, 19% de colombianos, más el 18% de argentinos y brasileros”, complementa Kaspersky.

Esos hackeos tienen como puerta de entrada, muchas veces, una contraseña débil.

Cómo es una contraseña segura

Según Check Point, esto es lo que tiene que tener una clave segura:

  • Complejidad y longitud: crea contraseñas con una mezcla de números, letras y símbolos, con un máximo de 12-16 caracteres para aumentar la seguridad. Si se amplía a 18 caracteres, la contraseña puede resultar casi indescifrable, dado el aumento exponencial de las combinaciones posibles. Además, hay que asegurarse de que es única y evitar utilizar datos personales fáciles de adivinar, como cumpleaños o aniversarios.
  • Contraseñas únicas para diferentes cuentas: no hay que reutilizar jamás. Para evitarlo, se pueden elegir frases u oraciones memorables, como ‘meryhadalittlelamb’, o una variante más segura con caracteres especiales ‘#M3ryHad@L1ttleL4m8’. Check Point Harmony Browse mejora la seguridad, ya que impide la reutilización de contraseñas corporativas en sitios externos y protege contra el phishing y el malware.
  • Actualizaciones regulares: cambiar las contraseñas de forma regular para mitigar el riesgo de brechas de seguridad es una práctica es crucial. Herramientas como Have I Been Pwned pueden ayudar a verificar si las cuentas de un internauta han sido comprometidas en un ciberataque.
  • Autenticación Multifactor (MFA): hay que activar siempre la autenticación multifactor para añadir una capa adicional de seguridad. Esto garantiza que incluso si una contraseña se ve comprometida, el acceso no autorizado sigue bloqueado.
  • Indicadores de Rendimiento de Seguridad (KPIs): las empresas deben imponer cambios regulares de contraseña y utilizar soluciones de Gestión de Acceso Privilegiado (PAM) para gestionar y supervisar eficazmente el acceso a cuentas y datos. Educar a los usuarios en prácticas de contraseñas robustas es fundamental para fortalecer las defensas contra las crecientes ciberamenazas.

En este sentido, todas las empresas aseguran que es clave tener el segundo factor de autenticación activado para evitar lo que se conoce como account takeover, o robo de cuenta.

Hacía un mundo sin contraseñas

Google implementa passkeys. Foto GoogleGoogle implementa passkeys. Foto Google

Hay una oleada de expertos que apuntan hacia un futuro sin contraseñas. ¿Cómo sería esto?

Google ya aplica esta opción para quien quiera usarla, por ejemplo. “Es un tipo de ‘credencial digital’ que se usa como método de autenticación (o sea, para que un sistema pueda verificar que un usuario es efectivamente quien dice ser). Es más segura que una password porque no se necesita recordar nada para acceder a aquello que permite. Esa misma frase podría parecer un contrasentido, porque ¿cómo puede ser más seguro algo que puedo perder o me pueden robar, versus algo que tengo en la memoria?”, había explicado Federico Pacheco, manager de I+D+i en BASE4 Security, una empresa argentina de ciberseguridad, a Clarín.

“La autenticación biométrica, aunque segura, tiene un inconveniente importante: una vez comprometidos, los datos biométricos no pueden cambiarse. Esta vulnerabilidad puede conducir a un robo de identidad irreversible. En cambio, las contraseñas tradicionales pueden actualizarse para evitar accesos no autorizados tras una brecha de seguridad”, agregan desde Check Point.

“Por otra parte, muchas personas y empresas siguen dependiendo de las claves para acceder a servicios esenciales, como el correo electrónico. Sin embargo, se está produciendo un cambio notable hacia la autenticación sin contraseña, especialmente en sectores con necesidades de seguridad muy estrictas, como la banca que usa tokens de hardware, la autenticación multifactor mediante dispositivos alternativos y códigos PIN de verificación de un solo uso, que ofrecen un acceso seguro sin las contraseñas tradicionales”, cierra Check Point.

Mientras tanto, hasta que llegue ese futuro, será clave tener paciencia, revisar todas las contraseñas, aplicar distintas técnicas para recordarlas o, mejor, usar un gestor de claves.

Más Noticias

Relacionadas