Las contraseñas seguras son la primera línea de defensa al navegar en la red. No importa la plataforma que utilices, siempre tendrás que crear un perfil con un nombre de usuario y una contraseña, que evitará accesos no permitidos. Sin embargo, si el código que has introducido es demasiado simple, corres el riesgo de que sea fácilmente adivinable y el sentido de crear una contraseña se pierda.
En esta guía aprenderás a generar contraseñas sólidas, difíciles de averiguar y que te permitirán disfrutar de una navegación segura en Internet. Pero antes, repasemos cuáles son las técnicas que utilizan los y las ciberdelincuentes para conocer nuestras contraseñas, de este modo seguro que te resulta más sencillo proteger tus perfiles de las filtraciones de seguridad.
Las técnicas que emplea un hacker
Obtener las contraseñas es el camino más sencillo para cometer un robo. Un hacker (pirata informático) cuenta con una amplia variedad de herramientas y técnicas, que no dudará en poner en marcha. El objetivo que tienes que perseguir es dificultar e impedir su tarea. Al igual que proteges una casa con una puerta de seguridad blindada, puedes defender tus cuentas en la red de maneras similares. Sin embargo, veamos cómo asaltan una contraseña.
Fuerza bruta
Un ataque de fuerza bruta es el más sencillo que pueden poner en marcha. Consiste en descifrar una contraseña mediante ensayo y error. La persona que ataca va probando diferentes combinaciones hasta que da con la adecuada. No pienses que este es un trabajo que les llevará mucho tiempo, ya que antes tratan de recabar información sobre su objetivo que les facilite la tarea.
Esto les permite obtener todo tipo de datos personales a través de la ingeniería social. Como veremos más adelante, esta técnica normalmente busca ganar la confianza de la persona internauta para conseguir que coopere bajo su manipulación y engaño; por ejemplo, facilitando sus datos personales.
Al final, si logra tener éxito, conseguirá acceso a tu correo electrónico, perfil de una red social o datos sensibles para suplantar tu identidad o tratar de acceder a tus cuentas bancarias.
Para protegerte de estos ataques, es importante crear una contraseña robusta. Ten en cuenta que cuanto más sencilla sea tu clave, menores dificultades le estás poniendo a quien ataca. Hay personas que llegan a introducir códigos tan simples como 123456, sus propios carnets de identidad o números de teléfono. Así que, aunque la red es, por lo general, un lugar seguro, debes poner de tu parte para reforzar la protección a la hora de navegar.
Ataque por diccionario
En este caso, las personas que delinquen usan un programa para realizar el ataque. Este actúa de forma autónoma y ejecuta diferentes comprobaciones de letras. Empiezan por combinaciones sencillas hasta llegar a las más complejas. Es una técnica efectiva, que les llevará tiempo pero que terminará por encontrar el código adecuado. Su eficacia es mayor que la de un ataque de fuerza bruta.
Además, el programa también utiliza palabras de diccionario. Muchas personas recurren a palabras concretas para crear sus contraseñas (nube, perro, vaca…), por lo que tarde o temprano encontrará la adecuada. Por esta razón es recomendable que combines cifras, letras, mayúsculas, minúsculas y símbolos. Este tipo de ataque perderá gran parte de su efectividad, ya que no podrá encontrar el término adecuado con facilidad.
Ataques que emplean ingeniería social
Los ataques con ingeniería social recurren a técnicas dirigidas a las personas. Tienen como objetivo conseguir información personal suficientemente relevante como para controlar tus dispositivos, por poner un ejemplo. La manipulación o el engaño son métodos usados con frecuencia. Asimismo, suelen ser el paso previo al envío de programas maliciosos.
Existen varias técnicas dentro de este tipo de ataques, la mayoría tienen nombres en inglés. Por ejemplo, mediante el phishing tratarán de obtener información personal importante a través de tu correo electrónico o redes sociales. Por otra parte, el vishing se lleva a cabo mediante llamadas de teléfono, o el smishing vía mensaje de texto (SMS). En todos ellos, la persona atacante suplanta la identidad de una entidad legítima, como tu comercializadora de electricidad, y te pide datos personales.
Por otro lado, el uso de ganchos o cebos es otro tipo de ataque de ingeniería social. En este caso, quien ataca recurre a un cebo que está diseñado para llamar la atención y despertar tu curiosidad. Por ejemplo, ofrecer un producto gratis. El objetivo es propagar y ejecutar programas maliciosos, que accederán a tus datos personales y los robarán. También pueden tratar de tomar el control de un dispositivo o propagarse por una red.
Por último, el spam es una de las técnicas más conocidas. Se trata del envío masivo de correos electrónicos sin que los solicites. Por regla general, acaban en la bandeja de mensajes no deseados de tu correo, aunque algunos acceden a la principal (donde sueles recibir tus correos normalmente) y tendrás que borrar. La finalidad es la de maximizar las oportunidades de éxito de ataques tipo phishing o infectar tu dispositivo con programas maliciosos.
¿Cómo defenderte de los ataques?
Por lo general, la red es segura, pero eso no significa que no debas tener una serie de precauciones a la hora de navegar. Ahora que conoces los principales ataques que puedes sufrir, llega el momento de descubrir cómo defenderte. Si tomas las medidas oportunas, tu contraseña estará más protegida ante las posibles amenazas.
Defensa ante ataques de fuerza bruta y de diccionario
La forma más sencilla de defenderte es contar con contraseñas robustas. Además, siempre que sea posible, recurre a factores de autenticación múltiple. Se trata de sistemas que utilizan tanto contraseñas como otros métodos de identificación, para evitar intrusiones en tus perfiles. Los bancos son un buen ejemplo, ya que combinan el uso de contraseña con envíos de códigos a tu teléfono móvil. De esta manera, las probabilidades de accesos indebidos se reducen al mínimo.
Procura que las contraseñas que emplees tengan más de 10 caracteres. Si la persona atacante cuenta con medios básicos para realizar el asalto, tardará una semana o más en completarlo. Este tiempo acabará por disuadirle del intento, ya que tanto esfuerzo no merecerá la pena. Por esto es importante combinar números con letras, mayúsculas, minúsculas y símbolos. Gracias a ellos, los algoritmos de los programas para efectuar ataques serán menos efectivos.
Una buena forma de crear una contraseña segura es usar una frase que tenga un significado especial para ti, y preferiblemente, para nadie más. Esta debe ser de cierta longitud para dificultar su adivinación, pero tampoco muy larga para recordarla con facilidad. Ejemplo: «En el bar de Ana venden bocadillos enormes a 4 euros». Ahora, selecciona la primera letra de cada palabra y tu contraseña resultante será «EebdAvbea4€». Si no se te ocurre nada, siempre puedes recurrir como punto de partida a alguna cita célebre que te guste o a tu canción favorita, por citar dos ideas.
Protegerte frente a la ingeniería social
La protección frente a estos ataques puede llegar a ser más compleja que en los casos anteriores. Al fin y al cabo, se centran en el engaño y en resultar atractivos. Para empezar, la precaución es la clave para evitar problemas a largo plazo. Si recibes un correo electrónico con peticiones urgentes como por ejemplo «Oferta exclusiva para ti solo en las próximas 24 horas» o «Tienes un paquete pendiente de entrega. Reclámalo si no quieres perderlo», lo mejor es que no le prestes atención.
Los mensajes que te envíen contendrán, en la mayoría de los casos, errores gramaticales o combinaciones de palabras que no tienen sentido. Además, revisa el remitente del correo para comprobar si se trata de la organización que dice ser. Así, te aseguras de la legitimidad de la información que contiene el mensaje.
No descargues ningún archivo adjunto y, si lo recibes en tu teléfono móvil o tableta, no cedas el control de ningún área del dispositivo. En estos casos, es necesaria la precaución como forma de evitar daños graves. Ten en cuenta que buena parte de los problemas de ciberseguridad son de origen humano. Es por esto que la ingeniería social es un método de ataque tan efectivo.
Errores a evitar cuando creas una contraseña
Las contraseñas robadas que más riesgo entrañan son aquellas que se reutilizan una y otra vez. Esto ocurre cuando usas el mismo código para varios perfiles o plataformas. De este modo, solo simplificas los ataques. Si estás en el punto de mira de un delincuente, este conseguirá el acceso a tus cuentas en cualquier lugar. Procura que sean específicas y apúntalas en un documento electrónico o en una libreta para no olvidarlas.
Bajo ningún concepto compartas tus contraseñas en la red, salvo con personas de total confianza y a través de canales cifrados. Un ejemplo frecuente es la tendencia a compartir los códigos de una plataforma de streaming. Llegará un momento en el que no tendrás control sobre la propia cuenta, lo que aumenta el riesgo de que se produzca un robo.
Emplear expresiones hechas o conceptos simples no es una buena idea para crear una contraseña robusta, ya que es posible adivinar contraseñas mediante un ataque de diccionario (un método que prueba todas las palabras del diccionario para adivinar la contraseña). Tampoco recurras a datos personales como tus aficiones, DNI o número de teléfono. Suelen estar entre las primeras opciones de intento de adivinación.
Por otro lado, y aunque te parezca lo contrario, cambiar continuamente las contraseñas no es una buena idea. Es recomendable modificarlas cada cierto tiempo, como a los seis meses o al año, pero hacerlo más frecuentemente te traerá problemas. Te costará recordarlas, olvidarás apuntar alguna o el código usado será cada vez más simple.
En definitiva, las contraseñas seguras son cruciales para garantizar tu seguridad en la red. Es necesario que generes códigos robustos que dificulten el acceso a tus perfiles. Recuerda que para disfrutar de todas las oportunidades que ofrece Internet de forma segura solo tienes que seguir las sencillas pautas que te hemos explicado.
Para conocer qué otras prácticas puedes aplicar y ganar en seguridad, sigue leyendo otros apartados de la Guía de Ciberseguridad.