OpiniónCiberseguridad

El Día de la Marmota: La importancia de una contraseña segura

Josep Albors, responsable de concienciación en ESET España

Hoy 2 de febrero es el Día de la Marmota, día en el que es tradición en Pensilvania (Estados Unidos) predecir qué tiempo hará y cómo de largo será el invierno. Sin embargo, aquí en España el Día de la Marmota nos recuerda aquello que siempre, e irremediablemente, repetimos una y otra vez homenajeando a la película Atrapado en el tiempo con el inimitable Bill Murray. 

Por este motivo y haciendo un pequeño homenaje a esa gran película en la que el protagonista se ve obligado a vivir el Día de la Marmota una y otra vez, queremos recordar una vez más, como si estuviéramos en un bucle temporal, lo importante que son las contraseñas para salvaguardar la seguridad online de cualquier persona.

Las contraseñas son una capa de seguridad que evita que cualquiera pueda acceder a nuestra información y servicios personales y empresariales. Sin embargo, con el paso de los años se ha demostrado que, por regla general, los usuarios fallan a la hora de generar contraseñas robustas y además las reutilizan constantemente en diferentes servicios.

Por si fuera poco, las empresas encargadas de proporcionar estos servicios sufren ataques constantes que permiten a los delincuentes robar las credenciales de acceso haciendo inútil la generación de contraseñas complejas por parte de los usuarios. Por eso, además de utilizar contraseñas difíciles de adivinar, debemos añadir otras capas de seguridad para dificultar el trabajo a los delincuentes.

¿Cómo roban los delincuentes las credenciales?

Los delincuentes suelen utilizar diversas técnicas para robar contraseñas como, por ejemplo, las que mostramos a continuación:

  • La suplantación de identidad (phishing): es uno de los métodos preferidos por los delincuentes y consiste en suplantar la identidad de un servicio web o aplicación para que, cuando el usuario intente acceder, las credenciales sean enviadas a un servidor controlado por los atacantes. Para conseguir su objetivo se requiere que el usuario pulse sobre un enlace que suele enviarse por email, mensaje SMS o incluso a través de mensajería instantánea. La página web o app del servicio o empresa suplantada puede estar mejor o peor conseguida, dependiendo de los recursos destinados. Existen variantes como el spear-phishing, en las que este tipo de ataques van dirigidos a perfiles concretos de mayor relevancia y con acceso a información más valiosa. Por eso, en estos casos, suelen prepararse ganchos, webs y apps más elaboradas para mejorar la tasa de éxito.
  • Ataques de fuerza bruta: en este tipo de ataque los ciberdelincuentes deciden intentar averiguar una contraseña mediante la prueba de numerosas combinaciones. Cuanto más débil sea la clave de acceso, más fácil será averiguarla, y por ese motivo es importante generar contraseñas difíciles de averiguar mediante este tipo de ataques y añadir capas de seguridad como el doble factor de autenticación.
  • Uso de spyware: el spyware es un tipo de malware especializado en el robo de información, incluidas las contraseñas. Durante los últimos meses hemos visto numerosas campañas que tienen como finalidad la instalación de este tipo de código malicioso en el sistema de la víctima para robar credenciales almacenadas en aplicaciones como navegadores de Internet, clientes de correo electrónico, clientes FTP, VPNs, etc. Este tipo de ataques no busca solo las credenciales del usuario para acceder a sus cuentas personales, sino que también intenta acceder a las redes corporativas y tratar de robar información confidencial o realizar otra clase de ataques más dañinos como el ransomware.
  • Ataques a proveedores de servicios: tampoco resulta extraño ver cómo empresas proveedoras de servicios online sufren ataques que terminan con el robo (y a veces filtración) de información de sus usuarios, entre los que se suelen encontrar las credenciales de acceso a estos servicios. Estos ataques son aprovechados por los delincuentes para probar si las credenciales robadas permiten acceder a otros servicios por la reutilización de las claves, y también pueden aprovechar el incidente para preparar páginas de phishing y ponerse en contacto con los usuarios para que introduzcan sus nuevas credenciales en estas webs fraudulentas, haciéndose pasar por la empresa atacada.

Generación y gestión segura de contraseñas

Sabiendo que algunas contraseñas pueden llegar a averiguarse por ataques de fuerza bruta, resulta necesario dificultar al máximo esta tarea a los delincuentes. Por eso, una buena contraseña debe ser lo suficientemente larga (mínimo 15 caracteres) y compleja para que un proceso automatizado no pueda descubrirla fácilmente.

Además, debemos olvidarnos de mecanismos de generación de contraseñas seguras que se basan en ataques de hace más de una década. Así pues, una contraseña compuesta por letras mayúsculas y minúsculas, números y caracteres especiales, pero de una corta longitud será menos segura que una contraseña larga compuesta por varias palabras concatenadas que no tengan relación con nosotros, siendo también más fácil de recordar para el usuario.

El cambio de estas contraseñas solo debería hacerse cuando haya una razón de peso para sospechar que nuestras credenciales se han visto comprometidas. Para ello existen servicios gratuitos online que permiten revisar cuándo se ha realizado un robo o filtración de información asociada a alguna de nuestras cuentas, por lo que resulta interesante consultarlos periódicamente.

Si tenemos una cantidad importante de credenciales podemos utilizar gestores de contraseñas que nos facilitarán la tarea de almacenarlas de forma segura y acceder a ellas cuando lo necesitemos. De esta forma, tan solo debemos recordar una contraseña maestra y evitaremos ir apuntando estas contraseñas en ficheros que pueden ser robados en el caso de sufrir un ciberataque.

Pero si hay una medida que resulta fácil de aplicar y dificulta el acceso no autorizado a nuestras cuentas cuando se produce un robo de contraseñas, esta es la aplicación del doble factor de autenticación. Existen varias opciones a la hora de aplicar esta capa adicional de seguridad a nuestras credenciales, pero una de las más extendidas consiste en el uso de una aplicación que genera códigos temporales de un solo uso. Estos códigos son solicitados cuando accedemos a nuestras cuentas y después de introducir las credenciales, impidiéndole el acceso a un atacante que haya conseguido robar nuestro nombre de usuario y contraseña a menos que consiga también este código temporal.

Computing 801