En junio de 2021 se filtró la mayor colección de contraseñas de la historia, llamada RockYou2021, compuesta por un conjunto de más de 8400 millones de contraseñas únicas recopiladas a partir de los datos obtenidos en diversas filtraciones menores en compañías de todo el mundo. Se trata de un documento en formato TXT que ocupa más de 100 Gb y que constituye la mayor amenaza jamás registrada al sistema de contraseñas que gestiona la seguridad online a nivel global, un sistema que muchos consideran que ya ha quedado desfasado y que debe ser reemplazado por métodos más seguros.
Con las contraseñas cada vez más en el punto de mira debido a compilaciones como RockYou2021 y al aumento de los hackeos y de la ciberdelincuencia en todo el mundo, gran parte de las compañías tecnológicas está trabajando para reforzar todavía más sus sistemas de seguridad y proteger mejor el acceso a las cuentas de sus usuarios. Métodos como la verificación en dos pasos a través del smartphone o de llaves de hardware USB están llegando poco a poco a compañías como Google, Microsoft y diversas carteras de criptomonedas, pero, mientras estos mecanismos se hacen extensivos a la totalidad de la red, conviene repasar cuáles son las características que debe tener una buena contraseña y cuáles son los mitos y realidades de este tipo de claves de acceso.
Tabla de contenidos
- 1 Las contraseñas deben incluir una letra en mayúsculas, un número y un carácter especial – ¿Mito o realidad?
- 2 Las contraseñas deben ser aleatorias y completamente ininteligibles – ¿Mito o realidad?
- 3 Una contraseña robusta es suficiente para proteger nuestras cuentas – ¿Mito o realidad?
- 4 Las contraseñas deben ser únicas y totalmente diferentes para cada cuenta – ¿Mito o realidad?
Las contraseñas deben incluir una letra en mayúsculas, un número y un carácter especial – ¿Mito o realidad?
Innumerables páginas web nos obligan a incluir una letra en mayúsculas, un dígito y un carácter como #, @, ~ o _ en nuestras contraseñas. Es cierto que incluir caracteres más diversos dificulta el hackeo de nuestras claves, pero no es el único factor que lo hace, y, además de la inclusión de estos elementos, es especialmente importante que la contraseña sea aleatoria. De esta manera, si nuestra mascota se llama Pancho, no sirve de mucho que utilicemos estos signos en una contraseña que diga P@nch0, ya que seguirá siendo casi igual de adivinar mediante un ataque de diccionario.
De cara a proteger completamente tus cuentas, es fundamental que tengas en cuenta no solo el hecho en sí de la importancia de estos caracteres, sino el motivo por el que son importantes: la aleatoriedad y la impredecibilidad de tus claves de acceso.
Resultado: Mito (con una cierta base de realidad).
Las contraseñas deben ser aleatorias y completamente ininteligibles – ¿Mito o realidad?
Durante un ataque de diccionario, un hacker introducirá una serie de términos relacionados con nuestra persona para generar una extensa lista de posibles contraseñas que incluyan palabras como el nombre de nuestra pareja, nuestra fecha de nacimiento, nuestra dirección postal o el nombre de nuestra mascota. Estas contraseñas tendrán todo tipo de caracteres especiales y dígitos, y el hacker probará cientos de ellas para tratar de dar con nuestra clave, así que, si incluimos términos de este tipo en nuestras contraseñas, las hacemos realmente vulnerables.
En cambio, si las contraseñas son completamente aleatorias, el número de intentos que debe hacer un ataque de diccionario para vulnerarlas es virtualmente infinito, con lo que se pueden considerar prácticamente inhackeables. Por esto es recomendable utilizar un gestor de contraseñas que nos permita contar con una contraseña ininteligible diferente para cada una de nuestras cuentas.
Resultado: Realidad
Una contraseña robusta es suficiente para proteger nuestras cuentas – ¿Mito o realidad?
Aunque una contraseña robusta es prácticamente imposible de hackear, no es inmune a las filtraciones de las plataformas a las que accedemos con ella. Si tu contraseña se filtra en un listado como el de RockYou2021, da igual lo robusta que sea, porque los hackers la tendrán apuntada al detalle y podrán forzarla si no la cambias a tiempo… y si no utilizas un segundo factor de verificación.
En estas situaciones, la verificación en dos pasos es la barrera que necesitas para proteger tus cuentas. Incluso en el caso de que una contraseña resulte vulnerada, el segundo factor de tu proceso de verificación puede contener el hackeo de tu cuenta. Por eso es tan importante que actives la verificación en dos pasos en todas tus cuentas siempre que te sea posible.
Resultado: Mito.
Las contraseñas deben ser únicas y totalmente diferentes para cada cuenta – ¿Mito o realidad?
La razón por la que tantas empresas de ciberseguridad insisten en utilizar una contraseña independiente para cada cuenta son las filtraciones. Por más que tu contraseña sea robusta y segura, filtraciones de datos como las que frecuentemente tienen lugar en plataformas como Facebook o Instagram hacen que tus contraseñas queden expuestas, y, si utilizas la misma contraseña para todas tus cuentas –incluyendo tu correo electrónico, tus suscripciones mensuales o tus tiendas favoritas de e-commerce–, un hacker puede acceder a ellas y aprovechar todos los datos que tengas almacenados allí, incluyendo, por ejemplo, tus datos bancarios.
Es fundamental entonces utilizar contraseñas únicas para cada cuenta que tengas en internet, de ahí que el uso de un gestor de contraseñas sea cada vez más importante a la hora de implementar este tipo de medidas de ciberseguridad.
Resultado: Realidad.