Creando Contraseñas Seguras

Tenemos en claro que recordar muchas contraseñas distintas es difícil, por eso mismo la gente suele reutilizar un pequeño número de contraseñas a través de muchas cuentas diferentes, sitios y servicios. Hoy en día, debido a que a los usuarios se les pide ingresar nuevas contraseñas constantemente, muchos terminan re-usando las mismas contraseñas docenas o incluso cientos de veces.

La reutilización de contraseñas es una práctica de seguridad excepcionalmente mala, porque si un atacante consigue hacerse con una contraseña, a menudo intentará usarla en varias cuentas que pertenezcan a la misma persona. Si esa persona ha reutilizado la misma contraseña en varias ocasiones, el atacante será capaz de acceder a varias cuentas. Eso significa que una contraseña dada puede ser tan fuerte como el servicio menos seguro donde se ha utilizado.

Evitar la reutilización de contraseñas es una valiosa medida de seguridad, pero no serás capaz de recordar todas tus contraseñas si cada una es diferente. Afortunadamente, hay herramientas de software para ayudarte con esto - un gestor de contraseñas (también llamado una billetera segura para contraseñas) es una aplicación de software que te permite almacenar un gran número de contraseñas de manera segura. Esto la hace ideal para evitar el uso de la misma contraseña en múltiples contextos. El administrador de contraseñas protege todas tus contraseñas con una contraseña maestra (o, idealmente una frase contraseña, ver más abajo) por lo que sólo tienes que recordar una. Las personas que usan un administrador de contraseñas no conocen realmente las contraseñas de sus diferentes cuentas; el administrador de contraseñas puede manejar todo el proceso de crear y recordar las contraseñas para ellos.

Por ejemplo, KeePassX es una billetera segura para contraseñas, gratuita y de código abierto que puedes tener en tu escritorio. Es importante tener en cuenta cuando estás utilizando KeePassX, que la aplicación no guarda automáticamente los cambios y adiciones. Esto significa que si se bloquea después de añadir algunas contraseñas, éstas se pueden perder para siempre. Sin embargo, puedes cambiar esta funcionalidad en la configuración.

El uso de un gestor de contraseñas también te ayuda a elegir contraseñas fuertes que son difíciles que un atacante adivine. Esto es importante también; Con demasiada frecuencia los usuarios de computadoras eligen contraseñas cortas y sencillas que un atacante puede adivinar fácilmente, incluyendo "contraseña1", "12345", una fecha de nacimiento, el nombre de un amigo, cónyuge o mascota. Un gestor de contraseñas puede ayudarte a crear y utilizar una contraseña aleatoria, sin patrón o estructura - una contraseña difícil de adivinar. Por ejemplo, un gestor de contraseñas es capaz de elegir contraseñas como "vAeJZQ3p$Kdkz/CRHzj0v7," improbables de recordar o adivinar por un ser humano.

Pero no te preocupes; ¡el administrador de contraseñas puede recordarlas por ti!

Sincronización de Contraseñas a través de Múltiples Dispositivos

Puedes usar tus contraseñas en más de un dispositivo, como tu computadora y tu teléfono inteligente. Muchos gestores de contraseña tienen incorporada una función de sincronización de contraseñas. Al sincronizar tu archivo de contraseñas, ésta será actualizada en todos los dispositivos, por lo que si has agregado una nueva cuenta en tu equipo, todavía serás capaz de acceder a ella desde tu teléfono. Otros gestores de contraseña ofrecen almacenar tus contraseñas "en la nube", es decir, van a almacenar tus contraseñas cifradas en un servidor remoto, y cuando los necesites en un ordenador portátil o móvil, pueden recuperarlas y descifrarlas automáticamente. Los administradores de contraseñas que utilizan sus propios servidores para almacenar o ayudarte a sincronizar tus contraseñas son más convenientes, pero la desventaja es que son levemente más vulnerables a un ataque. Si solo guardas tus contraseñas en tu computadora, entonces quien se adueñe de tu computadora puede controlarlas. Y si las guardas en la nube, un atacante también podría tomarlas como objetivo. En general, no es una cuestión sobre la que debas preocuparte a menos que el atacante tenga poder legal sobre la empresa del administrador de contraseñas o si se sabe cómo interceptar a las empresas o el tráfico de Internet. Si utilizas un servicio en la nube, la empresa del administrador de contraseñas también puede saber qué servicios utilizas, cuándo y desde dónde.

Eligiendo Contraseñas Seguras

Hay unas cuantas contraseñas que necesitan ser memorizadas y que necesitan ser particularmente fuertes: las que finalmente bloquean tus datos cifrándos. Eso incluye, como mínimo, las contraseñas para el cifrado de tu dispositivo, así como el cifrado de todo el disco, y la contraseña maestra para tu gestor de contraseñas. Por esto, dichas contraseñas siempre serán mayores a una sola palabra, y por eso a menudo se denominan frases de contraseña.

Hoy en día las computadoras son los suficientemente rápidas como para descubrir rápidamente contraseñas de alrededor de diez caracteres. Eso significa que las contraseñas cortas de todo tipo, incluso las generadas totalmente al azar como nQ\m=8*x o !s7e&nUY o gaG5^bG no son lo suficientemente fuertes como para utilizarlas con cifrado actualmente.

Hay varias formas de crear una contraseña fuerte y memorable; el método más sencillo y seguro es "Diceware" de Arnold Reinhold. El método de Reinhold implica utilizar dados físicos para elegir al azar varias palabras de una lista; En conjunto, estas palabras formarán tu contraseña. Para el cifrado de disco (y billetera segura), es recomendable seleccionar un mínimo de seis palabras.

Intenta crear una contraseña usando el metodo “Diceware” de Reinhold’s.

Cuando usas un administrador de contraseñas, la seguridad de tus contraseñas y la contraseña maestra es sólo tan sólida como la seguridad del equipo donde instalas y utilizas el gestor de contraseñas. Si tu computadora o dispositivo está comprometido y se ha instalado un spyware, tu atacante puede verte escribir la contraseña maestra y robarte el contenido de la billetera segura de contraseñas. Por esto, es muy importante mantener tu computadora y otros dispositivos, limpios de software malicioso cuando usas un gestor de contraseñas.

Una Palabra Sobre "Cuestiones de Seguridad"

Toma conciencia de las "preguntas de seguridad" (como "¿Cuál es el apellido de soltera de tu madre?" o "¿Cuál era el nombre de tu primera mascota?") que los sitios web utilizan para confirmar tu identidad si olvidas tu contraseña. Las respuestas honestas a muchas preguntas de seguridad pueden encontrarse con una busca simple en la red y un adversario determinado puede lograrlo fácilmente y por lo tanto obviar tu contraseña por completo. Por ejemplo; fue asi como la vicepresidencia Sarah Palin terminó con su cuenta de Yahoo! hackeada. En su lugar, da una respuesta irreal que, como tu contraseña, nadie más conozca. Por ejemplo, si la pregunta te pide el nombre de tu mascota, puedes haber publicado fotos en redes sociales con leyendas similares a "Aquí está una foto de mi gato lindo, Spot!" En lugar de utilizar "Spot" como la respuesta de recuperación de contraseña , puedes elegir "Rumplestiltskin." No utilices las mismas contraseñas o respuestas a preguntas de seguridad para varias cuentas en distintas sitios web o servicios. Debes guardar tus respuestas ficticias en tu billetera segura de contraseñas, también.

Piensa en los sitios donde has usado la pregunta de seguridad. Considera la posibilidad de comprobar la configuración y cambiar tus respuestas.

¡Recuerde tener una copia de seguridad de su billetera segura! Si pierdes la billetera segura en un accidente (o si no tienes acceso a tus dispositivos), puede ser difícil de recuperar tus contraseñas. Las aplicaciones de contraseñas seguras por lo general permiten hacer una copia de seguridad por separado, o - finalmente - puedes utilizar tu programa de copia de seguridad regular. Generalmente, puedes restablecer las contraseñas al solicitar a los servicios web, un correo electrónico de recuperación de contraseña a tu dirección de correo electrónico registrada. Por esto, es posible que desees memorizar la frase de contraseña para esta cuenta de correo electrónico también. Si lo haces, entonces tendras como restablecer las contraseñas sin depender de tu contraseña.

Autenticación de Dos Factores y Contraseñas Desechables

Muchos servicios y herramientas de software te permiten usar autenticación de dos factores también llamada entrada en dos pasos. Aquí la idea es que con el fin de iniciar la sesión, necesites tener a mano determinado un objeto físico: por lo general un teléfono móvil, pero, en algunas versiones, un dispositivo especial llamado token de seguridad. Mediante la autenticación de dos factores te aseguras que incluso en el caso de que tu contraseña para el servicio haya sido hackeada o robada, el ladrón no podrá ingresar a menos que tenga la posesión o el control de un segundo dispositivo y los códigos especiales que sólo él puede crear.

Por lo general, esto significa que un ladrón o un hacker tendrían que controlar tanto tu ordenador portátil y tu teléfono antes de que tengan pleno acceso a tus cuentas.

Debido a que esto solo puede ser configurado con ayuda del operador de servicio, no hay manera de hacerlo por ti mismo si estás usando un servicio que no lo ofrezca.

La autenticación de dos factores mediante un teléfono móvil se puede lograr de dos maneras: el servicio te envia un mensaje de texto SMS al teléfono cada vez que intentes conectarte (proporcionando un código de seguridad extra que necesitas para escribir), o tu teléfono puede ejecutar una aplicación autenticadora que genera códigos de seguridad desde el interior del propio teléfono.

Esto protegera tu cuenta en situaciones en las que un atacante tiene la contraseña, pero no tiene acceso físico a tu teléfono móvil. Algunos servicios, como Google, también te permiten generar una lista de contraseñas de un solo uso o contraseñas de uso único. Apropiadas para ser impresas o escritas en un papel y llevadas contigo (aunque en algunos casos podrías memorizar algunas). Cada una de estas contraseñas sólo funciona una vez, así que si una es robada por spyware, el ladrón no será capaz de utilizarla para nada en el futuro.

Si tú o tu organización tienen una infraestructura de comunicaciones propia, tales como tus propios servidores de correo electrónico, hay software libremente disponible que puedas utilizar para habilitar la autenticación de dos factores para el acceso a tus sistemas. Pide a tus administradores de sistemas buscar software que ofrezca una implementaciones del estándar abierto "Time-Based One-Time Passwords" o RFC 6238.

Amenazas de Daño Físico o Prisión

Por último, entendemos que siempre hay una manera en que los atacantes pueden obtener tu contraseña: Ellos directamente te pueden amenazar con daño físico o detención. Si tienes miedo de esta posibilidad, ten en cuenta las formas en que puedes ocultar la existencia de los datos o dispositivos que estás protegiendo, en lugar de confiar en que nunca entregarás la contraseña. Una posibilidad es mantener al menos una cuenta con información de poca importancia, cuya contraseña puedas divulgar rápidamente.

Si tienes una buena razón para creer que alguien puede poner en peligro tus contraseñas, es bueno asegurarse de que tus dispositivos están configurados de modo que no dejen en evidencia que la cuenta que estás revelando no es la "real". ¿tu cuenta real se muestra en la pantalla de entrada en la computadora, o de automáticamente al abrir un navegador? Si es así, puede que tenga que volver a configurar las cosas para que su cuenta sea menos obvia.

En algunas jurisdicciones, como los Estados Unidos o Bélgica, puedes ser capaz de impugnar legalmente la exigencia de tu contraseña. En otras jurisdicciones, como el Reino Unido o la India, las leyes locales permiten al gobierno exigir la divulgación. La EFF tiene información detallada para cualquiera que viaje a través de las fronteras de EE.UU. y que desee proteger los datos en sus dispositivos digitales en nuestra Guia de Defensa de Privacidad en las Fronteras de Estados Unidos.

Ten en cuenta que la destrucción intencionada de pruebas u obstrucción de una investigación se puede imputar como un delito independiente, a menudo con consecuencias muy graves. En algunos casos, demostrar esto puede ser más sencillo para el gobierno y permite castigos más sustanciales que el supuesto crimen que se investigaba inicialmente.

Última actualización: 
2016-01-13
JavaScript license information