¿Cómo crear CONTRASEÑAS SEGURAS?

Las contraseñas otorgan acceso a la mayoría de su información personal, y los riesgos que plantean las contraseñas perdidas y robadas son un problema que sigue empeorando día a día. La solución son las Contraseñas Indescifrables, para entenderlas debe comprender los métodos más comunes que se utilizan hoy en día para piratear sus contraseñas:

Los ciberdelincuentes tienen a su disposición varias tácticas para obtener (de manera irregular) contraseñas, pero la más fácil es simplemente comprar contraseñas en la dark web. Hay mucho dinero en la compra y venta de credenciales de inicio de sesión y contraseñas en el mercado negro, y si ha estado usando la misma contraseña durante muchos años, es probable que haya sido comprometida.

Pero si la contraseña que pretenden encontrar no está en la dark web, los ciberdelincuentes tienen que descifrarlasEstos ataques pueden estar dirigidos a sus cuentas reales o posiblemente a una base de datos filtrada de contraseñas cifradas. Para esto, utilizan alguno de los métodos a continuación:

El atacante intenta adivinar todas las combinaciones posibles de contraseñas hasta que da con la de su objetivo. El atacante automatiza un software para probar tantas combinaciones como sea posible en el menor tiempo posible, y ha habido algunos avances desafortunados en la evolución de esa tecnología. En 2012, un ciberdelincuente reveló un clúster de 25 GPU que había programado para descifrar cualquier contraseña de Windows de 8 caracteres que contuviera letras mayúsculas y minúsculas, números y símbolos en menos de seis horas. Tiene la capacidad de intentar 350 mil millones de conjeturas por segundo. 

En general, cualquier contraseña de menos de 12 caracteres es vulnerable a ser descifrada. Por lo menos, aprendemos de los ataques de fuerza bruta que la longitud de la contraseña es muy importante.

Este ataque es exactamente lo que parece: el atacante esencialmente lo está atacando con un diccionario. Mientras que un ataque de fuerza bruta prueba cada combinación de símbolos, números y letras, un ataque de diccionario prueba una lista preestablecida de palabras como las que encontraría en un diccionario.

Solo sobrevivirá a un ataque de diccionario una palabra muy poco común o frases de varias palabrasEstas contraseñas de frases de palabras múltiples son más astutas que un ataque de diccionario, lo que reduce la cantidad posible de variaciones que se puedan encontrar para acceder a las contraseñas.

El atacante pretende engañar, intimidar o presionar a través de ingeniería social para que, sin saberlo, la víctima disponga de la voluntad del delincuente. Un correo electrónico de phishing le indicará, por ejemplo, que haga clic en un enlace, que lo llevará a un sitio web falso creado para parecerse a un banco. Los estafadores esperan con gran expectación, con la esperanza de que el engaño funcione y que ahora la víctima ingrese sus credenciales de acceso. Una vez que lo hace, el atacante obtiene los datos.

Desconfíe de cualquier llamada automática que reciba que afirme ser sobre sus cuentas. Observe que el saludo grabado no especifica ciertos datos. Esto es una especie de prueba para ver si cuelga enseguida o si se ha “enganchado”. Si permanece en la línea, se conectará con una persona real que hará todo lo posible para sacarle la mayor cantidad posible de datos confidenciales, incluidas las contraseñas.

Si bien requiere dedicación el tener que crear una contraseña única repleta de letras mayúsculas, caracteres especiales y más, la importancia de tener una contraseña segura no se puede exagerar. En diciembre de 2021, la Agencia Nacional contra el Crimen del Reino Unido (NCA) y la Unidad Nacional contra el Crimen Cibernético (NCCU) descubrieron un caché de 225 millones de correos electrónicos y contraseñas robados almacenados en un servidor en la nube pirateado antes de entregar la información a HIBP o HaveIBeenPwned (un servicio gratuito para aquellos interesados ​​en saber si sus cuentas podrían verse comprometidas).

Dada la enorme cantidad de datos a disposición de los ciberdelincuentes, en los últimos años ha surgido una nueva técnica conocida como “relleno de credenciales”. Para aclarar, esta técnica implica que los ciberdelincuentes prueben compilaciones de combinaciones de nombre de usuario y contraseña filtradas, robadas y de uso frecuente contra las cuentas en línea de un individuo. Según un comunicado de prensa del FBI de 2020, “Desde 2017, el FBI ha recibido numerosos informes sobre ataques de relleno de credenciales contra instituciones financieras de EE. empresas de inversión”. En esencia, debe verificar regularmente si sus cuentas se han visto comprometidas y dejar de usar contraseñas comunes o filtradas.

Después de comprender cómo los delincuentes acceden a las contraseñas, puede aplicar algunas reglas para convertir sus contraseñas en indescifrables:

Manténgase alejado de lo obvio: Nunca use números o letras secuenciales. Cree contraseñas únicas que no incluyan ninguna información personal, como su nombre o fecha de nacimiento. Si está siendo atacado específicamente para un pirateo de contraseña, el pirata informático pondrá todo lo que sabe sobre usted en sus intentos de adivinar.

Para evitar ataques de fuerza bruta:

  • Contraseñas largas. Este es el factor más crítico. Cree contraseñas de mínimo 15 caracteres, más si es posible.
  • Mezcla de personajes. Cuanto más mezcle letras (mayúsculas y minúsculas), números y símbolos, más potente será su contraseña y más difícil será para un ataque de fuerza bruta descifrarla.
  • Evite las sustituciones comunes. Los crackers de contraseñas están a la altura de las sustituciones habituales. Ya sea que use CONTRASEÑA o C0NTR4S3Ñ4, el atacante de fuerza bruta lo descifrará con la misma facilidad. 
  • No utilice rutas de teclado memorables. Al igual que el consejo anterior de no usar letras y números secuenciales, tampoco use rutas de teclado secuenciales (como qwerty ). Estos están entre los primeros en ser adivinados.

Para evitar ataques de diccionario: La clave para evitar este tipo de ataque es asegurarse de que la contraseña no sea una sola palabra. Varias palabras confundirán esta táctica; recuerde, estos ataques reducen la cantidad posible de conjeturas a la cantidad de palabras que podríamos usar al poder exponencial de la cantidad de palabras que estamos usando.

Frase de contraseña revisado

Este es el método de frase de palabras múltiples con un giro: elija palabras extrañas y poco comunes. Usa nombres propios, los nombres de negocios locales, figuras históricas, cualquier palabra que conozca en otro idioma, etc. Un hacker podría adivinar Teusaquillo, pero le resultaría difícil tratar de adivinar una frase de contraseña como este:

TeusaquilloVentiGrandeCumbia

Si bien las palabras deben ser poco comunes, intente componer una frase que le dé una imagen mental. Esto lo ayudará a recordarla.

Además, puede agregar caracteres aleatorios en medio de sus palabras o entre las palabras. Simplemente evite los guiones bajos entre las palabras y cualquier sustitución común de *leetspeak: un lenguaje o código informal utilizado en Internet, en el que las letras estándar a menudo se reemplazan por números o caracteres especiales.

Oración

Este método también se describe como el “Método Bruce Schneier”. La idea es pensar en una oración al azar y transformarla en una contraseña usando una regla. Por ejemplo, tomar las dos primeras letras de cada palabra en “LaTiendaDeLaEsquinaEsLaMásBarata” te daría:

LaTiDeLaEsEsLaMaBa

La idea es que para usted, esta contraseña tenga mucho sentido, mientras que para un tercero, sea imposible adivinarla al azar. Asegúrese de que la oración que elija sea lo más personal e indescifrable posible.

Use un administrador de contraseñas y un generador de contraseñas aleatorias:

Un administrador de contraseñas realiza un seguimiento de todas sus contraseñas y las recuerda por usted, excepto por una cosa: la contraseña maestra que le otorga acceso a su administrador de contraseñas. 

Tenga cuidado en quien confía

Los sitios web conscientes de la seguridad codificarán las contraseñas de sus usuarios para que, incluso si los datos se filtran, las contraseñas reales estén encriptadas. Pero otros sitios web no se molestan con ese paso. Antes de iniciar cuentas, crear contraseñas y confiar información confidencial a un sitio web, tómese un momento para evaluar el sitio. ¿Tiene https en la barra de direcciones, lo que garantiza una conexión segura? ¿Tiene la sensación de que está al día con los estándares de seguridad más nuevos del día? Si no, piénselo dos veces antes de compartir cualquier dato personal con él.

Usar autenticación multifactor

La autenticación multifactor (MFA) o de doble factor (2FA) agrega una capa adicional de protección (que se convierte en su primera capa de protección en caso de que se filtren los detalles de su cuenta). Estos se han convertido en el nuevo estándar de la industria para una seguridad efectiva. 

Use una aplicación de teléfono inteligente de autenticación

El mejor método de MFA es usar una aplicación especializada para su teléfono inteligente. Google Authenticator y Authy son dos ejemplos y ambos son gratuitos. La aplicación genera un PIN único que ingresa como factor adicional durante su proceso de inicio de sesión. Los PIN cambian automáticamente cada 30 segundos. Deberá seguir las instrucciones para configurar MFA para su aplicación en particular y algunas aplicaciones aún no admiten este método MFA.

Llaves de seguridad
Las llaves de seguridad brindan protección más avanzada, estas funcionan como MFA o 2FA, otorgándole acceso a archivos solo si tiene físicamente la clave. Las llaves de seguridad están disponibles en versiones USB, NFC o Bluetooth y, por lo general, tienen el tamaño de una memoria USB. 

Para MFA y claves de seguridad: consulte la alianza FIDO , que está trabajando para crear estándares de autenticación sólidos para aplicaciones móviles y de escritorio. Los servicios compatibles son Microsoft, Google, PayPal, Bank of America, NTTDocomo y DropBox, por nombrar algunos. Cuando una determinada clave de seguridad, sitio web, aplicación móvil, etc. tiene la “certificación FIDO®”, cumple con el alto estándar de autenticación y protección de la alianza.

Proteja aún más su información de inicio de sesión con estos consejos de sentido común y alta seguridad:

  • Use una VPN cuando esté en Wi-Fi público. De esa manera, cuando inicie sesión en las cuentas, nadie interceptará su nombre de usuario y contraseña.
  • Nunca envíe un mensaje de texto o correo electrónico a nadie con su contraseña.
  • Al seleccionar preguntas de seguridad al crear una cuenta, elija opciones difíciles de adivinar para las que solo usted sabe la respuesta. Muchas preguntas tienen respuestas fáciles de encontrar en los canales sociales con una simple búsqueda, así que ten cuidado y elige con cuidado.  
  • Cuando haya terminado, tómese el tiempo para decirles a sus familiares y amigos que también se protejan. Las infracciones continúan ocurriendo, por lo que con solo compartir esta publicación de blog con amigos y familiares, estará ayudando a su círculo íntimo a protegerse.
  • Asegúrese de que su antivirus esté actualizado.