Skip to main content
Surveillance
Self-Defense

Creación de contraseñas seguras

Última actualización: August 18, 2023

This page was translated from English. The English version may be more up-to-date.

Reutilizar contraseñas es una práctica de seguridad peligrosa. Si alguien se hace con tu contraseña -ya sea por una filtración de datos o por cualquier otro motivo-, a menudo puede acceder a cualquier otra cuenta en la que hayas utilizado esa misma contraseña. La solución es utilizar contraseñas únicas en todas partes y tomar medidas adicionales para proteger tus cuentas siempre que sea posible.

Creación de contraseñas seguras mediante gestores de contraseñas anchor link

Un gestor de contraseñas es una herramienta que crea y almacena contraseñas únicas por ti, para que puedas utilizar muchas contraseñas diferentes en distintos sitios y servicios sin tener que memorizarlas. Gestores de contraseñas:

  • Genere contraseñas seguras que un ser humano difícilmente podría adivinar.
  • Guarde varias contraseñas (y respuestas a preguntas de seguridad) de forma segura.    
  • Proteja sus contraseñas con una única contraseña maestra (o frase de contraseña).
  • Sincroniza contraseñas entre tus dispositivos, para poder acceder a estas complejas contraseñas desde cualquier lugar.          

Elegir el gestor de contraseñas adecuado puede llevar algo de investigación, pero puedes seguir nuestra guía para facilitar el proceso.

Puede que los gestores de contraseñas no sean para todo el mundo, pero un buen gestor de contraseñas hace todo lo posible por mitigar los posibles problemas de seguridad. Aún así, es importante recordarlo:

  • El uso de un gestor de contraseñas crea un único punto de fallo.
  • Los gestores de contraseñas son un objetivo obvio para los adversarios.  

Por eso debes tener una contraseña maestra segura y activar la autenticación de dos factores siempre que sea posible. Pero si un adversario poderoso como un gobierno te tiene en el punto de mira, es importante elegir cuidadosamente el gestor de contraseñas adecuado y configurarlo para obtener la máxima seguridad.

Para algunas personas, una solución de baja tecnología puede ser mejor que un gestor de contraseñas. Depende de tu modelo de amenazas, pero tener contraseñas diferentes para cada sitio escritas en un papel y guardadas en un lugar seguro es mejor que reutilizar una única contraseña en cada sitio.

Creación de contraseñas seguras con dados anchor link

Deberías memorizar algunas contraseñas que deben ser especialmente fuertes. Entre ellas están:

  • Contraseñas para su dispositivo
  • Contraseñas para el cifrado (como el cifrado de disco completo )
  • La contraseña maestra o "frase de contraseña" de tu gestor de contraseñas.
  • Tu contraseña de correo electrónico

Una de las muchas dificultades cuando la gente elige sus propias contraseñas es que  la gente  no es  muy  goodbuena haciendo  aleatorias e impredecibles elecciones . Una forma eficaz de crear una contraseña fuerte y memorable es utilizar dados y una lista de palabras para elegir palabras al azar. Juntas, estas palabras forman tu "frase de contraseña". Una "frase de contraseña" es un tipo de contraseña más larga para mayor seguridad. Para la encriptación del disco y tu gestor de contraseñas, te recomendamos seleccionar un mínimo de seis palabras.

¿Por qué utilizar un mínimo de seis palabras? ¿Por qué utilizar dados para elegir palabras de una frase al azar? Cuanto más larga y aleatoria sea la contraseña, más difícil será de adivinar tanto para los computadores como para los humanos. Para saber por qué necesitas una contraseña tan larga y difícil de adivinar, aquí tienes un vídeo explicativo.

Los gestores de contraseñas crean contraseñas seguras por ti, pero si quieres probar una versión analógica para aprender cómo funciona, puedes utilizar una de las listas de palabras estándar de EFF, o una lista de palabras inspirada en un fandom.

Si tu computador o dispositivo se ve comprometido y se instala un programa espía, éste puede verte teclear tu contraseña maestra y podría robar el contenido del gestor de contraseñas. Por eso es muy importante que mantengas tu computador y otros dispositivos libres de malware cuando utilices un gestor de contraseñas.

Unas palabras sobre las "preguntas de seguridad anchor link

Tenga cuidado con las "preguntas de seguridad" que algunos sitios web utilizan para confirmar su identidad. Las respuestas honestas a estas preguntas son a menudo hechos públicamente descubribles que un adversario decidido puede encontrar fácilmente y utilizar para eludir su contraseña por completo.

En su lugar, da respuestas ficticias que nadie más que tú conozca. Por ejemplo, si la pregunta de seguridad pregunta:

"¿Cómo se llamaba tu primera mascota?"

Tu respuesta podría ser una contraseña aleatoria generada desde tu gestor de contraseñas. Puedes almacenar estas respuestas ficticias en tu gestor de contraseñas.

Piense en los sitios en los que ha utilizado preguntas de seguridad y considere la posibilidad de cambiar sus respuestas. No utilices las mismas contraseñas o respuestas a preguntas de seguridad para varias cuentas en distintos sitios web o servicios.

Autenticación multifactor y contraseñas de un solo uso anchor link

Las contraseñas fuertes y únicas hacen que la seguridad de tu cuenta sea mucho más fuerte. Para proteger aún más tus cuentas, activa la autenticación de dos factores siempre que puedas.

Algunos servicios ofrecen autenticación de dos factores (también llamada 2FA, autenticación multifactor o verificación en dos pasos), que requiere que poseas dos componentes (una contraseña y un segundo factor) para acceder a tu cuenta. El segundo factor puede ser un código secreto único o un número generado por una aplicación que se ejecuta en un dispositivo móvil.

La autenticación de dos factores mediante un teléfono móvil puede hacerse de dos maneras:

  • Tu teléfono puede ejecutar una aplicación de autenticación que genere códigos de seguridad (la mayoría de los gestores de contraseñas pueden hacerlo, o puedes utilizar una aplicación independiente como Authy), o puedes utilizar un dispositivo de hardware independiente (como YubiKey).
  • El servicio puede enviarte un SMS o un correo electrónico con un código de seguridad adicional que deberás teclear cada vez que te conectes.

Si puedes elegir, elige la aplicación del autenticador o un dispositivo de hardware independiente en lugar de recibir códigos por mensaje de texto. Es más fácil para un atacante redirigir estos códigos a su propio teléfono que saltarse el autenticador.

Algunos servicios, como Google, también generan una lista de contraseñas de un solo uso. Están pensadas para imprimirlas o escribirlas en papel y llevarlas encima. Cada una de estas contraseñas funciona una sola vez, por lo que si un programa espía te roba una cuando la introduces, el ladrón no podrá utilizarla para nada en el futuro.

Más útiles que las contraseñas de un solo uso son las copias de seguridad de los códigos de seguridad. Muchas aplicaciones de autenticación ofrecen copias de seguridad opcionales, en las que tus códigos de seguridad se almacenan en un servidor de terceros. De este modo, si pierdes el teléfono, puedes restaurar la copia de seguridad y volver fácilmente a tus cuentas sin tener que buscar esas contraseñas de un solo uso.

Si no tienes una copia de seguridad y no guardaste las contraseñas de un solo uso, puedes perder el acceso a tus cuentas para siempre. Al igual que los gestores de contraseñas, esto tiene una contrapartida de seguridad y puede que algunas personas no quieran hacer copias de seguridad de los tokens. Consulta la documentación de la aplicación para asegurarte de que las copias de seguridad están cifradas de extremo a extremo. Si nunca te piden que crees una contraseña para la copia de seguridad, es muy probable que no lo estén.

A veces, puede que tenga que revelar su contraseña anchor link

Las leyes sobre revelación de contraseñas difieren de un lugar a otro. En algunas jurisdicciones, usted puede impugnar legalmente una solicitud de su contraseña, mientras que en otras, las leyes locales permiten al gobierno exigir su revelación, e incluso encarcelarle bajo la sospecha de que pueda conocer una contraseña o clave . Las amenazas de daños físicos pueden utilizarse para obligar a alguien a revelar su contraseña. O puedes encontrarte en una situación, como viajar a través de una frontera, en la que las autoridades pueden retrasarte o confiscar tus dispositivos si te niegas a entregar una contraseña o a desbloquear tu dispositivo.

Disponemos de otra guía sobre cómo cruzar la frontera de Estados Unidos en la que se dan consejos sobre cómo hacer frente a las solicitudes de acceso a los dispositivos mientras se viaja hacia o desde Estados Unidos. En otras situaciones, debes pensar en cómo alguien podría obligarte a ti o a otros a facilitar tus contraseñas, y cuáles serían las consecuencias.