Glosario de términos relacionados con la privacidad en Internet
Fortaleza de la contraseña
¿Qué es la fortaleza de la contraseña?
La fortaleza de una contraseña es la medida de la seguridad de una contraseña, típicamente basada en la longitud, complejidad y unicidad. La fortaleza de una contraseña a menudo se describe en términos de cuánto tiempo tomaría adivinar correctamente (o “descifrar”) esa contraseña utilizando herramientas de software y hardware actuales.
¿Qué hace una contraseña fuerte?
Una contraseña fuerte es una que es difícil de adivinar. Un atributo que puede ayudar a lograr este objetivo es la longitud de la contraseña: cuántos más caracteres tiene la contraseña, más difícil es adivinarla. Por ejemplo, agregar dos letras más a una contraseña de 8 letras hace que la contraseña sea 650 veces más difícil de adivinar. La mayoría de los sitios web establecen una longitud mínima de 8 caracteres, pero los expertos en seguridad a menudo recomiendan al menos una longitud de 14 a 16 para evitar que una computadora la adivine rápidamente.
Un segundo componente de la fortaleza de la contraseña es la variedad de caracteres utilizados. Es por eso que los sitios web a menudo sugieren, o incluso requieren, que las contraseñas incluyan letras mayúsculas, números y caracteres especiales. Cuanto mayor sea la variedad de caracteres, más posibilidades tiene un hacker para probar y más difícil será adivinar la contraseña. Cuando una contraseña solo usa letras minúsculas, eso significa que cada carácter puede ser una de 26 posibilidades. Pero cuando cada carácter también puede ser letras mayúsculas, números y caracteres especiales, la variedad de posibilidades para cada carácter aumenta a alrededor de 70.
Usar una contraseña larga que incluya una variedad de tipos de caracteres es bueno; ser impredecible es aún mejor. Capitalizar el primer carácter o terminar con “!” es un comportamiento predecible que un hacker puede explotar para mejorar sus posibilidades de adivinar una contraseña. Una estrategia más efectiva es poner mayúsculas, números y caracteres especiales en partes inesperadas de la contraseña. Por ejemplo, cambiar “johnsmith” a “JohnSmith1!” hace que sea más difícil de adivinar, pero aún más difícil es el uso menos predecible de variedades de caracteres en algo como “john6?SMITH”, o incluso “sMITH6?john”.
¿Cómo puedo generar contraseñas fuertes?
La mejor manera de eliminar la previsibilidad del comportamiento humano es usar contraseñas generadas aleatoriamente. Puedes obtener estas de herramientas en línea proporcionadas por organizaciones de ciberseguridad, o como parte de un Gestor de contraseñas. Usar un Gestor de contraseñas también tiene la ventaja de almacenar la contraseña por ti. Esto es particularmente útil ya que las contraseñas complejas generadas al azar son efectivamente imposibles de memorizar.
Si necesitas una contraseña que puedas recordar (como la contraseña para desbloquear tu Gestor de contraseñas), un excelente truco es unir varias palabras no relacionadas que sumen 18 o más letras, y luego crear una pequeña historia o imagen mental que te ayude a recordar. Por ejemplo, “nevandoleonalmohadaarriba” es una contraseña muy fuerte de 25 caracteres que puede recordarse con una historia como “Cuando está nevando, me gusta subir y leer en la cama”. Otra alternativa es mezclar una frase corta. Entonces, usando el ejemplo anterior podríamos usar “MeGustaSubirYLeer”.
Si estás creando contraseñas sin un generador, es importante evitar usar cualquier información personal. No uses fechas de nacimiento o aniversarios, nombres de familiares o mascotas, o direcciones actuales o anteriores. Parte de esta información está disponible públicamente, o puede hacerse pública en una violación de datos, lo que hace que la contraseña sea fácil de adivinar.
¿Cómo descifran los hackers las contraseñas?
El método más popular, llamado “ataque de fuerza bruta”, intenta sistemáticamente todas las combinaciones de caracteres posibles hasta que logra iniciar sesión. El proceso puede comenzar probando posibilidades probables (por ejemplo, “predeterminado” o “admin”), luego pasar a todas las palabras reales del diccionario y contraseñas populares determinadas a partir del análisis de violaciones de datos (por ejemplo, “abc123”, “qwerty” o “contraseña1”). Una vez agotadas estas conjeturas, el proceso continuará trabajando a través de todas las combinaciones posibles de letras, números y símbolos.
Este enorme esfuerzo no lo hace una persona en solitario ingresando manualmente las conjeturas en un teclado. Sin embargo, puede ser realizado por un solo hacker utilizando software sofisticado y una computadora doméstica de buena calidad. Con esa configuración, es posible descifrar una contraseña de 8 caracteres con todas letras minúsculas en unos pocos segundos. Una contraseña de 8 caracteres que use letras minúsculas y mayúsculas, números y caracteres especiales puede tardar un par de horas. Si el mismo software de descifrado se despliega en una computadora de alta gama, una botnet (una red de computadoras conectadas y coordinadas) o mediante la computación en la nube, el proceso es aún más rápido para descifrar tu mejor contraseña de 8 caracteres. Por ejemplo, alquilar computación en la nube por solo un rato significa que un hacker puede descifrar esas mismas contraseñas de 8 caracteres al instante (si son todas minúsculas) o en aproximadamente 15 minutos (si la contraseña usa una variedad de caracteres). En contraste, la contraseña “sMITH6?john” tardaría más de 10 años en descifrarse, y “ILike2GoUpstairs&Read” tardaría billones de años.
Las contraseñas cifradas (donde la propia contraseña se utiliza para crear su propio código único) que se han divulgado en una violación de datos son sometidas a un ataque de fuerza bruta similar. Si el hacker conoce el esquema de hash utilizado, puede ejecutar todas las contraseñas posibles a través del mismo proceso de validación de contraseñas localmente (es decir, en su computadora) y comparar sus conjeturas con los hashes almacenados realmente en línea. Si los sitios que almacenan tus contraseñas no utilizan las mejores prácticas, este procedimiento puede descifrar múltiples contraseñas en datos filtrados en una sola pasada del proceso de descifrado.
¿Por qué debería crear una contraseña diferente para cada inicio de sesión?
Si un hacker descifra tu contraseña para una cuenta, intentará esa misma contraseña en otras cuentas, esperando que la hayas usado en otro lugar—una práctica común llamada “reciclaje de credenciales”. Si tu contraseña es la misma en todos los sitios web, significa que el hacker tiene acceso instantáneo a múltiples cuentas simplemente descifrando una contraseña. Los hackers aprovecharán este hábito conocido atacando bases de datos que creen que son menos seguras, como un foro de un club local. Si logran acceder a una cuenta en un sitio que tiene menos seguridad, acabarán con una contraseña que pueden probar en objetivos de mayor valor, como sitios web bancarios.
Incluso si no ocurre nada en tus cuentas, si te enteras de que una contraseña repetida es parte de una violación de datos, tendrías que cambiar esa contraseña en todos los demás sitios donde la usaste—el esfuerzo de limpieza es mayor, más preocupante, y debe completarse con presión de tiempo. Es menos estresante cambiar proactivamente cualquier contraseña reutilizada antes de que ocurra una filtración.
Es particularmente importante hacer que tu contraseña de correo electrónico sea fuerte y única. Si un hacker puede descifrar tu contraseña de correo electrónico, puede cambiar cualquier otra contraseña que se pueda restablecer haciendo clic en “olvidé mi contraseña” y siguiendo los procedimientos de restablecimiento enviados a tu bandeja de entrada.
Mantener un registro de todas tus contraseñas
Mantener un registro de docenas de contraseñas únicas y complejas es una tarea abrumadora. Un gestor de contraseñas es una herramienta útil para ayudar con esto. Un buen gestor de contraseñas puede almacenar todos los ID de inicio de sesión y contraseñas, y sincronizar esta información a través de dispositivos como tu laptop y tu teléfono. Un gestor de contraseñas también agrega protección adicional porque te permite iniciar sesión sin tener que escribir la información, manteniendo la información fuera del alcance de cualquier keylogger. Los gestores de contraseñas pueden ser programas independientes, extensiones del navegador, o una función integrada en tu navegador, como en el navegador Brave.
Mientras que un gestor de contraseñas te ayuda a mantener un registro de contraseñas que no se pueden memorizar, es importante elegir una contraseña fuerte que puedas recordar para asegurar el gestor de contraseñas. Esta es una excelente situación para usar una contraseña compuesta por varias palabras juntas.
Si estás usando contraseñas fuertes, no necesitan ser cambiadas a menos que creas que han sido comprometidas. Cambios frecuentes pueden llevar a frustraciones y errores sin aumentar la seguridad.