sábado, 10 abril 2021
Visitas totales a la web: 86447738

El portal de los profesionales de seguridad y emergencias

Nº 1 del mundo en español en seguridad global

Soluciones de seguridad global

Seguridad, contraseñas… y mitos variados

Enrique Dans

En la imagen, un fragmento del correo electrónico que recibí esta mañana del genial servicio creado por el experto en seguridad Troy HuntHaveIbeenpwnd, informándome de un problema de seguridad en un servicio que hace tiempo que no uso, 123RF: una intrusión que logró hacerse con direcciones de correo electrónico, nombres de usuario, direcciones IP, nombres, contraseñas (en principio cifradas), números de teléfono y direcciones físicas de más de ocho millones y medio de usuarios.

Primera cuestión: esto puede pasarle a cualquiera. Ni siquiera es evidencia de que en este sitio, 123RF, tuviesen unas malas prácticas de seguridad: prácticamente cualquier sitio es vulnerable si alguien invierte los recursos y el tiempo necesario. Esto pasa constantemente, y lo que hay que hacer es simplemente estar preparado para cuando pase.

El problema de este tipo de intrusiones es que, por lo general, la información capturada termina en diversos sitios accesibles, lo que permite a cualquiera descargarse ese archivo y tratar de acceder a cuentas en otros sitios de los todavía demasiados imprudentes que reciclan una misma contraseña en diferentes servicios, o que utilizan reglas mnemotécnicas fáciles de deducir para generarlas.

¿Problemas? Para mí, ninguno. La contraseña que utilizaba en 123RF estaba generada por mi gestor de contraseñas, LastPass, nunca llegué a sabérmela de memoria (ni a intentarlo), y por supuesto, no la utilizaba en ningún otro sitio. Por si acaso en algún otro momento me planteo volver a utilizar el servicio de 123RF, entré, cambié mi contraseña, y le puse otra igualmente imposible de recordar: veinticinco caracteres con números, letras y símbolos, que supuestamente llevarían a un ordenador actual algo así como cien octillones de años averiguar 🙂 Si un delincuente intentase probar a utilizar la contraseña anterior en otros sitios, se encontraría con que sus intentos no fructificarían en ningún caso. Mientras los ordenadores cuánticos no sean de uso habitual, creo que viviré tranquilo. Que todos mis problemas sean como ese.

¿Qué sabes de tus contraseñas? Lo primero que deberías saber es que todas esas reglas absurdas de sustitución de una «E» por un «3», una «A» por un «4», etc. no funcionan en absoluto. Los delincuentes modernos son mucho más sofisticados que todo eso. Si vas a ponerte a crear tus propias contraseñas, que no es lo que deberías hacer, echa al menos un ojo a la investigación reciente de este grupo de científicos de Carnegie Mellon que recomiendan cómo hacerlo. Si quieres saber cuánto llevaría a un delincuente con su ordenador averiguar la contraseña que utilizas, puedes mirar este cuadro, o bien introducirla en esta página, que afirma no guardarla ni compartirla con nadie.

Lo segundo que debes hacer es probar a meter la dirección de correo que utilizas habitualmente en HaveIbeenpwned, para que te informe de en cuántos data dumps aparece, y no solo cambiar las contraseñas de esos sitios si es que eran servicios que utilizabas regularmente, sino además, pensar si has reciclado esas contraseñas en otros servicios (y en caso afirmativo, cambiarlas también). Yo llevo tiempo utilizando el servicio de HaveIbeenpwned que te permite introducir tu correo y que te llegue un aviso cuando se hacen públicas nuevas violaciones de seguridad, y no me ha llegado más spam por ello. Las últimas versiones de algunos navegadores avisan también cuando introduces una contraseña en una página si esa contraseña ha sido ya revelada o cuando tratas de usar la misma contraseña en varios sitios, y te invitan a cambiarla. Si es así, hazles caso.

Lo siguiente es pensar si tu compañía está también obsoleta en este sentido: toda compañía que mantenga las clásicas reglas de cambio de contraseña cada cierto tiempo está recurriendo a una práctica desaconsejada, que no suele aportar nada significativo en términos de seguridad más que marear a sus usuarios y hacer que terminen apuntando su contraseña en un estúpido post-it pegado a la pantalla.

Finalmente, si decides tomarte en serio tu seguridad en internet, haz lo que realmente debes hacer: usa un gestor de contraseñas. Hay múltiples artículos que puedes leer para decidirte por uno de ellos, que puede ser gratuito o no, y que incluso en caso de que su seguridad fuese vulnerada, te asegura que los delincuentes solo se llevarían una lista inservible de contraseñas fuertemente cifradas. A partir de ahí, solo tendrás que recordar una contraseña, y esa sí te preocuparás de elegirla bien. Es recomendable que el gestor de contraseñas que elijas tenga versión móvil si quieres estar cómodo también en ese dispositivo y no tener que andar tecleando cadenas de caracteres imposibles, y que dediques en torno a una hora de tiempo cuando lo hayas instalado a recorrer todos los servicios que utilizas habitualmente y no tan habitualmente para ir dándolos de alta, y aprovechando para cambiar todas las contraseñas que tenías, por otras nuevas generadas por el gestor, y que te podrás permitir hacer muy largas e imposibles de recordar o de adivinar.

Si no quieres utilizar un gestor de contraseñas independiente, puedes utilizar el que te ofrecen ya la mayoría de navegadores. No es la mejor opción, ni la más cómoda si usas varios navegadores, ni tampoco la más segura, pero decididamente es mejor que no usar nada o que la mayoría de las prácticas que todavía tantos usuarios siguen utilizando.

En cualquier caso, usa las herramientas que he vinculado para, como mínimo, diagnosticar tu nivel de seguridad. Hacemos cada vez más cosas en la red, y no deberías arriesgarte a que tu seguridad dependa simplemente de que a algún delincuente le dé por probar si has reutilizado una contraseña ya revelada en algún otro sitio. Hacer las cosas bien cuesta muy poco. Plantéatelo.

Ah, y un consejo final: incluso si, como seguramente ocurre con la gran mayoría de los lectores de una página como esta, ya consideras que tus prácticas de seguridad son adecuadas, no dejes de interesarte por las que tienen otras personas, sobre todo aquellas con las que tienes relación, como por ejemplo, tus padres o tus familiares cercanos. La experiencia dice que en muchos casos, las personas mayores son las que más prácticas inseguras utilizan, como usar contraseñas débiles o tener una sola contraseña para todo. Mejor prevenir que lamentar.

Fecha de publicaciónnoviembre 15, 2020

BELT.ES no se hace responsable de las opiniones de los artículos reproducidos en nuestra Revista de Prensa, ni hace necesariamente suyas las opiniones y criterios expresados. La difusión de la información reproducida se realiza sin fines comerciales. 

Listado de Expertos

Recomendado

Profesión militar: Obediencia debida frente a la obligación de disentir

Con ocasión de la realización de estudios en el Instituto Universitario Gutiérrez Mellado tuve la ocasión de leer y analizar una serie de documentos de opinión que trataban en profundidad las diferentes facetas presentes en el campo de las relaciones cívico-militares; temas que , habitualmente, no han estado presentes en los diferentes cursos y actividades formativas en la enseñanza militar, ni, por supuesto, en la civil.

El paracaidista español que humilló a los «temibles» espías soviéticos

Joaquín Madolell, natural de Melilla y militar del Ejército del Aire, desarticuló la mayor red del espionaje...

El amor de Macarena Olona por la Guardia Civil empieza por su pareja, un joven oficial condecorado

El padre de su hijo llegó a la Benemérita como militar de carrera y, los que le...

Últimas noticias

Alaska, un erial que Rusia no dudó en vender

Españoles y británicos intentaron arrogarse este territorio, sobreexplotado por los rusos, que finalmente se deshicieron de él.

Un retén 24 horas atenderá las emergencias en las zonas verdes de Madrid

La Junta de Gobierno aprueba el nuevo contrato, que entrará en vigor en agosto, obligará a mantener una plantilla mínima de más...

Telefónica despide al jefe del negocio de ciberseguridad por un presunto fraude

Su salida y la de otros tres directivos se produjo antes de la remodelación completa de la cúpula de Telefónica Tech

Muere Dick Hoyt, el padre que convirtió a su hijo con parálisis cerebral en un Ironman

Juntos participaron en más de 1.000 carreras y triatlones, incluyendo 32 ediciones del Maratón de Boston Dick Hoyt participó en...

¿Qué puedo hacer para que no okupen mi casa?

La Policía Nacional elabora una guía de consejos y actuaciones para los propietarios ante la okupación ilegal de viviendas