4 min de lectura

Hablemos de contraseñas

Hablemos de contraseñas

Muchos amigos, al darse cuenta de que uso contraseñas mayores a 20 caracteres generadas aleatoriamente, me tildan de loco y paranoico.

Y puede que lo sea, pero con data breaches cada vez más frecuentes, junto a ataques de phising más sofisticados, se vuelve menos opcional y más necesario tener contraseñas lo suficientemente seguras.

Pero la mayoría de contraseñas no lo son. Casi todas las personas que conozco, cometen un error u otro que crea vulnerabilidades que fácilmente pueden ser aprovechadas por un atacante. Por lo que escribo este post como una especie de guía de cómo tener buenas contraseñas para proteger tu seguridad digital.

No reúses contraseñas

Digamos que diriges un hotel, entonces estás a cargo de muchas habitaciones. Ahora imagínate qué pasaría si todas las llaves que abren las habitaciones fueran iguales. Con tan solo que un huésped perdiera la llave y cayera en manos de un ladrón, este podría ser capaz de abrir todas las habitaciones del hotel y robar lo que quisiera.

Con esto tienes un punto único de fallo, donde si la caga un huésped la caga todo el hotel.

Viéndolo así, resulta absolutamente obvio que lo más lógico es tener una llave distinta para cada habitación.

Lo mismo sucede con las contraseñas, en este caso, el hotel es toda tu vida online, y las habitaciones, cada una de tus cuentas. Los huéspedes son quienes manejan las plataformas que usas, y al ocurrir un data breach (perder la llave) y estar expuestos tus datos, la magnitud del daño que pueda tener para ti, va a depender si esa contraseña solo afecta a una de tus cuentas o afecta a todas.

En resumen, no uses ni siquiera una contraseña en más de una cuenta.

Usa contraseñas los suficientemente largas y complejas

De qué sirve que todas tus contraseñas sean distintas si en menos de 2 horas alguien podría averiguarlas a través de un ataque de fuerza bruta o un ataque de diccionario.

La clave para no ser víctima de esto, es utilizar contraseñas que tengan una entropía alta, es decir, que sean lo suficientemente largas (con una longitud de al menos 8 caracteres, aunque yo recomendaría 12) y lo suficientemente complejas (conteniendo tanto caracteres alfanuméricos, como especiales).

De igual forma, no es recomendado que incluyan información personal como tu nombre o el de tus mascotas, tu fecha de nacimiento, etc. Lo ideal es que sean completamente aleatorias.

Pero claro, en una situación donde cada persona en promedio tiene 90 cuentas en línea, es muy difícil poder recordar 90 contraseñas distintas. Una opción sería que las tuvieras anotadas en un papel, aunque lo podrías perder o se podría dañar. Y también está el caso que si un día estuvieras fuera de casa y necesitaras acceder a una cuenta y no llevas el papel contigo, no podrías hacer nada.

Es aquí donde los gestores de contraseñas vienen a salvar el día...

Gestor de contraseñas.

Un gestor de contraseñas te permite guardar de forma segura tus credenciales, donde solo tienes que recordar una contraseña (llamada contraseña maestra) para acceder a todas las demás.

Aparte, la mayoría te permite también generar contraseñas aleatorias que tengan la longitud que especifiques.

Hay varias opciones para escoger, pero yo recomiendo principalmente dos: Bitwarden y Lastpass.

Los dos son muy buenos y ofrecen más que lo necesario en sus versiones gratuitas, pero Bitwarden tiene la ventaja de ser de código abierto y que si quisieras lo podrías alojar en tu propio servidor.

The password manager trusted by millions | Bitwarden
Bitwarden makes it easy for businesses and individuals to securely generate, store, and share passwords from any location, browser, or device. Create your free Bitwarden account today.

Bitwarden

Nota importante: Es vital que tu contraseña maestra sea lo más segura posible y que no la vayas a olvidar, porque en tal caso perderías acceso a todas las cuentas que hayas guardado.

Si sigues los consejos de arriba, el nivel de seguridad de tus contraseñas sería ya bastante óptimo, pero se puede mejorar aún más.

Verificación en dos pasos.

La verificación en dos pasos (2FA) permite que aunque alguien logre tener acceso a tu contraseña, no pueda ingresar a tu cuenta, ya que adicionalmente debes de ingresar un código temporal, para así confirmar que realmente eres tú el que está intentando iniciar sesión.

Este código es distinto cada vez, y se te envía, ya sea por SMS o también hay una mejor opción, que son aplicaciones como Google Authenticator, Authy, o mi favorita Aegis, donde se genera el código de verificación, sin necesidad de tener cobertura o conexión a internet en el dispositivo.

Con la verificación en dos pasos logras que tu seguridad respecto a la autenticación de tus cuentas sea prácticamente infalible.

Yo te recomendaría que tengas activado el 2FA al menos en tu cuenta de correo electrónico, la cuenta del gestor de contraseñas y otras que puedan manejar información delicada como plataformas de pago, etc.

Bonus: Firefox Monitor

Una herramienta esencial para ver si tus datos y credenciales han sido expuestos en algún data breach, es Firefox Monitor, solo introduces tu correo electrónico y te enlistará dónde y cuando tu información fue comprometida.

Y bueno, hasta aquí llega este post. Solo preguntarte, ¿qué estás esperando? Ya tendrías que estar cambiando tus contraseñas.

TL;DR No reúses contraseñas, asegúrate que tengan una complejidad y longitud adecuada, y si es posible, usa la verificación en dos pasos.