Cuenta segura

Nevekley
Cuenta segura

Se han hecho muchos intentos de alertar de la importancia de tomar medidas de seguridad, y desde altavoces como este nuestra responsabilidad en insistir en ello. Por eso, te vamos a dar algunos consejos para mantener segura tu cuenta

8 ideas para fortalecer tu contraseña

Hoy en día tenemos contraseñas casi que para todo. Muchas veces nos cuesta crear una contraseña que no incluya nuestra fecha de nacimiento, ciudad en la que vivimos y demás datos sobre nosotros que cualquiera puede conocer.

Para que podráis crear contraseñas fuertes, hoy os traemos 8 ideas muy interesantes:

1. El tamaño importa

Las contraseñas de menos de 8 caracteres son muy débiles. Lo ideal es que sea una contraseña que tenga entre 14-20 caracteres.

Ej: contraseñamuysegura

2. Olvídate del alfabeto

Las contraseñas que sólo incluyen letras son fáciles de adivinar. En cambio si añades cifras o símbolos será más complicado.

Ej. contraseña+muysegura44

3. Haz que no tenga sentido

Deja atrás las contraseñas que significan algo. Haz una mezcla de cifras y letras.

Ej. c785trç3ñam2ys6gu54

4. Busca cifras y letras similares

Una buena forma de no olvidar tu contraseña fuerte es cambiar las letras por una cifra o símbolo similar.

Ej: c0ntr4$eñ4muy$3gur4

5. Evita palabras conocidas

Cualquiera puede saber que el nombre de tu contraseña puede ser ‘contraseña’, o tu nombre, o el de tu gato, etc. Haz contraseñas que no tengan significado para ti.

Ej. r4nd0mtt$t4t0p4g40

6. No uses la misma contraseña siempre

Sé que cuesta, pero lo ideal es inventar una contraseña diferente para cada red social o usuario de página. Pensad que si alguien descubre una de vuestras contraseñas podra tener acceso muchos sitios.

7. Segunda verificación

Hay redes sociales y páginas que permiten que cada vez que te contectes, ellos te manden una segunda contraseña a tu e-mail y que con ésta ya puedas directamente entrar a tu cuenta.

8. Busca otras formas

Si las contraseñas no son lo tuyo, existen webs que almacenan tus contraseñas (LastPass o Roboform) y las guardan de forma encriptada. De este modo tú podrás tener contraseñas largas y complejas pero no tendrás que recordarlas; ellos lo hacen por ti.

Ahora ya podréis tener contraseñas seguras a prueba de hacker. ¡A crear contraseñas fuertes!

Uso de contraseñas seguras

Al pensar en mecanismos que contribuyan a la seguridad de los datos, es muy importante utilizar contraseñas robustas, capaces de resistir ataques informáticos. Un software para descubrir contraseñas de forma automatizada es capaz de probar millones de combinaciones en minutos, por lo que no debe subestimarse  la función que juega una buena contraseña en proteger nuestros datos.

Algunas claves para crear contraseñas seguras:

  • Crear contraseñas largas. Algunos sistemas solicitan un mínimo de 7 u 8 caracteres. Para mayor seguridad, pueden utilizarse 15 caracteres o más, especialmente para proteger aquellos servicios que se consideran críticos
  • Utilizar mayúsculas, minúsculas, signos de puntuación y caracteres no alfabéticos
  • Utilizar contraseñas únicas para cada servicio. Por ejemplo, no utilizar una misma clave para proteger datos almacenados en un servidor institucional y en un servicio de almacenamiento en la nube.
  • Evitar errores comunes, tales como:
    • Utilizar palabras de diccionario, aún si están en otros idiomas
    • Utilizar datos personales, tales como números de identificación, teléfonos o direcciones
    • Utilizar referencias a la cultura popular, tales como nombres de libros, personajes, canciones, bandas musicales, etc.
  • Puede utilizarse el enfoque XKCD, que consiste en utilizar cuatro palabras escogidas al azar. Para fortalecer la contraseña, sustituir algunas de las letras por signos y números, utilizando mayúsculas y minúsculas.
  • Otro enfoque es utilizar un gestor de contraseñas, software que genera y maneja contraseñas únicas y encriptadas, ofreciendo mayores garantías de seguridad y evitando el problema de crear y recordar múltiples contraseñas

Y por supuesto, deben tomarse las precauciones que se recomiendan para la protección de cualquier contraseña, como evitar ingresar a cuentas desde conexiones públicas o en espacios inseguros.

El peligro de usar la misma contraseña en todos lados y cómo solucionarlo

Imagina que en tu oficina tienes una caja fuerte con documentos clasificados sobre tu empresa, la combinación para abrirla solo la conoces tú, te aseguras de que sea fácil de recordar para evitar olvidarla y darle un disgusto a tu jefe. Pero, un día llegas y la encuentras abierta, alguien logró descifrar la combinación y robó los documentos. Lo peor está por venir, para no olvidar la contraseña usaste una similar para la caja fuerte de tu casa donde guardas los ahorros de tu vida, el perpetrador descubrió eso y mientras te dirigías al trabajo logró abrirla y llevarse todo.

Esta situación es como una terrible pesadilla de la que todos quisiéramos despertar; sin embargo, no está alejada de la realidad cuando de contraseñas para cuentas online se trata. Estamos seguros de que mientras leías nuestra historia recordaste las múltiples frases donde nos advierten la importancia de establecer contraseñas seguras que resguarden la información y mantengan nuestra privacidad al margen de otras personas.

Cuando abres una cuenta de correo, ingresas a las redes sociales o utilizas apps bancarias, la contraseña se convierte en la llave que protege tu información y blinda tu privacidad. Algunas plataformas te muestran el nivel de seguridad de tu contraseña, sin embargo, el auge de los procesos en línea nos ha llevado a cometer los peores errores: utilizar una contraseña fácil de recordar, usarla para varios procesos o con mínimas variantes.

En este punto ya no puedes negar que formas parte de ese gran grupo de personas que utiliza su fecha de nacimiento, su nombre de pila o “contraseña” como contraseñas y que, además, las reutiliza para diferentes cuentas. Este comportamiento beneficia a los ciberdelincuentes que se valen del credential stuffing, un tipo de ataque que aprovecha las vulnerabilidades expuestas en las credenciales de acceso y con el que se pueden acceder a diferentes cuentas del mismo usuario una vez que ingresaron a la primera.

Para que puedas dimensionar el tamaño del problema, ESET compañía de seguridad informática, publicó que en noviembre de 2017 casi la mitad de las 8 mil 300 millones de solicitudes de acceso a cuentas online a nivel mundial fueron maliciosas, realizadas mediante “intentos de ingreso por intermedio de adivinadores de contraseña o recopilando datos de la cuenta de algún otro lugar de internet”, es decir, a través del credential stuffing.

Evita las pesadillas y aprende a protegerte

Ahora que sabes la terrible historia que podrías vivir si sigues estableciendo contraseñas poco creativas, es necesario que aprendas a proteger tus cuentas. No importa si es de tu correo personal, del trabajo o de tus cuentas bancarias, recuerda que una vez que el ciberdelincuente ha logrado descifrar una puede seguir hasta dejarte al descubierto por completo. Para que puedas lograr esto, te compartimos algunas recomendaciones:

  1. Utiliza contraseñas seguras. Sabemos que esto puede no ser tan fácil, pero es necesario que realices el esfuerzo para establecer contraseñas de al menos 8 caracteres, con letras, número y signos. Toma en cuenta que puedes usar frases que te ayuden con la memoria, solo recuerda que no deben ser fáciles de predecir o asociar.
  2.  Utiliza el doble factor de autenticación (2FA, por sus siglas en inglés). Esta opción provee de una capa adicional de defensa aparte de la contraseña; además, resuelve algunas debilidades que pueden estar presentes en la contraseña elegida. Esta medida de seguridad extra frecuentemente requiere de un código obtenido a partir de una aplicación o un mensaje SMS enviado a un número celular proporcionado por el usuario.
  3. Utiliza otras formas de autenticación disponibles. Cuando la plataforma te lo permita, haz uso de otro de tipo de autenticación como el reconocimiento visual, el lector de huella digital o algoritmos que analizan características del comportamiento como los patrones de ritmo. Por ejemplo, si usas iPhone y requieres abrir tu cuenta de Gmail en un dispositivo diferente al habitual, recibirás una notificación en tu smartphone para autorizar el inicio de sesión a la cual solo tendrás acceso con tu huella digital, posteriormente seleccionaras el código que coincida con el que muestra tu navegador y podrás iniciar sesión sin necesidad de proporcionar tu contraseña.
  4. Prueba los gestores de contraseñas. Este servicio puedes utilizarlo a través de diferentes aplicaciones y plataformas, pueden ser gratuitos o de pago y además de administrar tus contraseñas te enseñan a cuidarlas y gestionarlas. Xataca medio especializado en tecnología recomienda los siguientes:
  • 1Password: es una de las opciones más importantes y recomendadas entre los usuarios de macOS e iOS, aunque sus versiones para Windows y Android son un poco inferiores.
  • LastPass: es buena alternativa de aplicación que en su modalidad gratuita tiene casi todas las funciones esenciales.
  • Dashlane: es uno los gestores más sencillos y con mejor diseño, aunque también es uno de los más caros.
  • KeePass: es una buena opción totalmente gratuita a pesar de que su interfaz es bastante obsoleta.
  • Enpass: tiene versión gratuita para escritorio y premium para móviles a partir de 20 ítems guardados.
  • Keeper: es una interesante alternativa para escritorio, móvil y navegadores con un almacenamiento de contraseñas ilimitado.
  • Bitwarden: este gestor tiene opciones gratis y de pago para empresas, multiplataforma y compatible con varios navegadores.
  • PasswordSafe: a pesar de no tener el mejor diseño es gratuito y tiene todas las funciones básicas.
  • Roboform: es una solución básica y gratuita tanto para móvil como para escritorio. Para funciones avanzadas cuenta versión de pago.
Los trucos más comunes utilizados para hackear contraseñas

Cuando escuche “violación de seguridad”, ¿qué le viene a la mente? ¿Un hacker malévolo sentado frente a pantallas cubiertas de texto digital al estilo Matrix? ¿O un adolescente que vive en el sótano que no ha visto la luz del día en tres semanas? ¿Qué tal una poderosa supercomputadora que intenta piratear el mundo entero?

La piratería se trata de una cosa: tu contraseña. Si alguien puede adivinar su contraseña, no necesita técnicas de piratería ni supercomputadoras sofisticadas. Simplemente iniciarán sesión, actuando como usted. Si su contraseña es corta y simple, se acabó el juego.

Hay ocho tácticas comunes que usan los hackers para piratear su contraseña. Vamos a ver.

1. Diccionario Hack
Pros: Rápido, normalmente desbloqueará algunas cuentas lamentablemente protegidas.

Contras: Incluso las contraseñas ligeramente más seguras permanecerán seguras.

Manténgase seguro: use una contraseña segura de un solo uso para cada cuenta, junto con una aplicación de administración de contraseñas . El administrador de contraseñas le permite almacenar sus otras contraseñas en un repositorio. Luego, puede usar una contraseña única y ridículamente segura para cada sitio. Consulte nuestra descripción general del Administrador de contraseñas de Google para comenzar a utilizarlo.

2. Fuerza bruta
A continuación, el ataque de fuerza bruta, mediante el cual un atacante prueba todas las combinaciones posibles de caracteres. Las contraseñas intentadas coincidirán con las especificaciones de las reglas de complejidad, por ejemplo, incluyendo una mayúscula, una minúscula, decimales de Pi, su pedido de pizza, etc.

Un ataque de fuerza bruta también probará primero las combinaciones de caracteres alfanuméricos más comúnmente utilizadas. Estos incluyen las contraseñas enumeradas anteriormente, así como 1q2w3e4r5t, zxcvbnm y qwertyuiop. Puede llevar mucho tiempo averiguar una contraseña con este método, pero eso depende completamente de la complejidad de la contraseña.

3. Phishing
Esto no es estrictamente un “truco”, pero ser víctima de un intento de phishing o spear-phishing generalmente terminará mal. Los correos electrónicos de phishing generales se envían por miles de millones a todo tipo de usuarios de Internet en todo el mundo.

Un correo electrónico de suplantación de identidad generalmente funciona así:

El usuario objetivo recibe un correo electrónico falso que supuestamente proviene de una organización o empresa importante
El correo electrónico falsificado exige atención inmediata, con un enlace a un sitio web
El enlace al sitio web en realidad enlaza a un portal de inicio de sesión falso, simulado para que aparezca exactamente igual que el sitio legítimo
El usuario objetivo desprevenido ingresa sus credenciales de inicio de sesión y se le redirige o se le dice que vuelva a intentarlo.
Las credenciales de usuario son robadas, vendidas o utilizadas de forma nefasta (o ambas cosas)
El volumen de correo no deseado diario enviado en todo el mundo sigue siendo alto y representa más de la mitad de todos los correos electrónicos enviados a nivel mundial. Además, el volumen de archivos adjuntos maliciosos también es alto, y Kaspersky notó más de 92 millones de archivos adjuntos maliciosos de enero a junio de 2020. Recuerde, esto es solo para Kaspersky, por lo que el número real es mucho mayor.

4. Ingeniería social
La ingeniería social es esencialmente phishing en el mundo real, lejos de la pantalla. Lea mi ejemplo breve y básico a continuación (¡y aquí hay algunos más a los que debe prestar atención !).

Una parte fundamental de cualquier auditoría de seguridad es evaluar lo que entiende toda la fuerza laboral. En este caso, una empresa de seguridad llamará a la empresa que está auditando. El “atacante” le dice a la persona que habla por teléfono que es el nuevo equipo de soporte técnico de la oficina y que necesita la contraseña más reciente para algo específico. Un individuo desprevenido puede entregar las llaves del reino sin detenerse a pensar.

Lo que da miedo es la frecuencia con la que esto funciona. La ingeniería social ha existido durante siglos. Ser engañoso para entrar a un área segura es un método común de ataque y solo se protege con educación. Esto se debe a que el ataque no siempre pedirá directamente una contraseña. Podría ser un plomero o un electricista falso que solicite la entrada a un edificio seguro, etc.

Ventajas: los ingenieros sociales expertos pueden extraer información de gran valor de una variedad de objetivos. Se puede implementar contra casi cualquier persona, en cualquier lugar. Extremadamente sigiloso.

Contras: Una falla en la ingeniería social puede generar sospechas sobre un ataque inminente, incertidumbre sobre si se obtiene la información correcta.

Mantente a salvo : esta es una pregunta complicada. Un ataque de ingeniería social exitoso estará completo cuando se dé cuenta de que algo anda mal. La educación y la concienciación sobre la seguridad son una táctica de mitigación fundamental. Evite publicar información personal que luego pueda usarse en su contra.

5. Mesa arcoiris
Una tabla de arco iris suele ser un ataque de contraseña fuera de línea. Por ejemplo, un atacante ha adquirido una lista de nombres de usuario y contraseñas, pero están encriptadas. La contraseña cifrada tiene un hash . Esto significa que se ve completamente diferente a la contraseña original.

Por ejemplo, su contraseña es (¡con suerte no!) Logmein. El hash MD5 conocido para esta contraseña es “8f4047e3233b39e4444e1aef240e80aa”.
Gibberish para ti y para mí. Pero en ciertos casos, el atacante ejecutará una lista de contraseñas de texto sin formato a través de un algoritmo hash, comparando los resultados con un archivo de contraseña encriptado. En otros casos, el algoritmo de cifrado es vulnerable y la mayoría de las contraseñas ya están descifradas, como MD5 (de ahí que conozcamos el hash específico para “logmein”.

Aquí es donde la mesa del arco iris entra en juego. En lugar de tener que procesar cientos de miles de contraseñas potenciales y hacer coincidir su hash resultante, una tabla de arco iris es un gran conjunto de valores de hash específicos de algoritmos precalculados.

El uso de una tabla de arcoíris disminuye drásticamente el tiempo que lleva descifrar una contraseña hash, pero no es perfecto. Los piratas informáticos pueden comprar tablas de arcoíris precargadas con millones de combinaciones potenciales.

Ventajas: Puede descifrar contraseñas complejas en poco tiempo, le otorga al pirata informático mucho poder sobre ciertos escenarios de seguridad.

Contras: Requiere una gran cantidad de espacio para almacenar la enorme tabla de arcoíris (a veces terabytes). Además, los atacantes están limitados a los valores contenidos en la tabla (de lo contrario, deben agregar otra tabla completa).

Mantente a salvo: Otro truco complicado. Las mesas arcoíris ofrecen una amplia gama de posibilidades de ataque. Evite cualquier sitio que utilice SHA1 o MD5 como algoritmo de hash de contraseña. Evite cualquier sitio que lo limite a contraseñas cortas o restrinja los caracteres que puede usar. Utilice siempre una contraseña compleja.

¿Se pregunta cómo saber si un sitio web almacena contraseñas en texto plano ? Consulte esta guía para averiguarlo.

6. Software malicioso / registrador de teclas
Otra forma segura de perder sus credenciales de inicio de sesión es caer en el malware. El malware está en todas partes, con el potencial de causar daños masivos. Si la variante de malware incluye un registrador de pulsaciones de teclas, es posible que todas sus cuentas estén comprometidas.
Alternativamente, el malware podría apuntar específicamente a datos privados o introducir un troyano de acceso remoto para robar sus credenciales.

Ventajas: Miles de variantes de malware, muchas personalizables, con varios métodos de entrega fáciles. Es muy probable que un gran número de objetivos sucumban al menos a una variante. Puede pasar desapercibido, lo que permite una mayor recopilación de datos privados y credenciales de inicio de sesión.

Contras: la posibilidad de que el malware no funcione o se ponga en cuarentena antes de acceder a los datos, no garantiza que los datos sean útiles.

Manténgase seguro : instale y actualice periódicamente su software antivirus y antimalware . Considere cuidadosamente sus fuentes de descarga. No haga clic en los paquetes de instalación que contienen bundleware y más. Manténgase alejado de los sitios nefastos (lo sé, es más fácil decirlo que hacerlo). Utilice herramientas de bloqueo de secuencias de comandos para detener las secuencias de comandos maliciosas.

7. Araña
Spidering se relaciona con el ataque del diccionario que cubrimos anteriormente. Si un pirata informático se dirige a una institución o empresa específica, puede probar una serie de contraseñas relacionadas con la empresa en sí. El pirata informático podría leer y recopilar una serie de términos relacionados, o utilizar una araña de búsqueda para hacer el trabajo por ellos.

Es posible que haya escuchado el término “araña” antes. Estas arañas de búsqueda son extremadamente similares a las que se arrastran por Internet, indexando contenido para motores de búsqueda. Luego, la lista de palabras personalizada se usa contra las cuentas de usuario con la esperanza de encontrar una coincidencia.

Ventajas: potencialmente puede desbloquear cuentas para personas de alto rango dentro de una organización. Relativamente fácil de armar y agrega una dimensión adicional a un ataque de diccionario.

Contras: Podría muy bien terminar siendo infructuoso si la seguridad de la red organizacional está bien configurada.

Manténgase a salvo: Una vez más, use solo contraseñas seguras de un solo uso compuestas por cadenas aleatorias, nada que se vincule a su persona, empresa, organización, etc.

8. Surf de hombro
De acuerdo, la última opción es una de las más básicas. ¿Qué pasa si alguien simplemente revisa su deber mientras escribe su contraseña?

Hacer surf de hombro suena un poco ridículo, pero sucede. Si está trabajando en un concurrido café del centro y no presta atención a su entorno, alguien podría acercarse lo suficiente como para anotar su contraseña mientras escribe.

Ventajas: enfoque de baja tecnología para robar una contraseña.

Contras: debe identificar al objetivo antes de averiguar la contraseña, podría revelarse en el proceso de robo.

Manténgase seguro: permanezca atento a quienes le rodean cuando escriba su contraseña, cubra el teclado y oculte las teclas durante la entrada.