Cómo proteger tus contraseñas

En estos tiempos que cada vez dependemos más de los servicios digitales y que tenemos nuestros datos en montones de webs y apps, se hace aún más importante protegernos ante posibles robos de datos y suplantaciones de identidad.

Te dejo algunos consejos acerca de cómo deberían ser tus #contraseñas:

📎 La longitud debería ser de, al menos, 16 caracteres.

📎 Debería contener mayúsculas, minúsculas, números y algún carácter especial (exclamaciones, barras, paréntesis, puntos, etc.)

📎 No debe contener ninguna palabra que nos relacione directamente con ella, como nuestro nombre, ciudad, etc.

📎 No debe contener ninguna palabra del diccionario, tal cual. Podemos usar palabras, pero es recomendable intercalar números o caracteres.

Además de esto, también podemos realizar otras acciones para evitar que nos suplanten la identidad, más allá de utilizar contraseñas fuertes.

👉 Modificar frecuentemente tus contraseñas.

👉 Activar la autentificación de doble factor, al menos en las cuentas importantes. Ya sea a través de correo, SMS o con aplicaciones destinadas para ello como Microsoft Authenticator.

👉 Evitar repetir contraseñas.

👉 Utilizar una contraseña fuerte también para tu wifi doméstico.

👉 No escribas tus contraseñas en lugares accesibles, como un post-it o una nota en tu móvil o portátil.

👉 Cierra sesión cuando salgas de las aplicaciones o las webs.

👉 Periódicamente, elimina tus ficheros temporales de Internet.

Día Mundial de las Contraseñas

Para concienciar con la importancia de las contraseñas, el primer jueves del mes de mayo se celebra el Día Mundial de las Contraseñas (#WorldPasswordDay).
Como todos, este día también tiene su origen. En 2005, el investigador de seguridad Mark Burnett publicó el libro llamado «Perfect Passwords». En él recomendaba tener un día para actualizar las contraseñas.

Más tarde, en 2013, Intel Security se inspiró en este libro para declarar el primer jueves de mayo como el Día Mundial de las Contraseñas, para concienciar a los usuarios de la importancia de las contraseñas.
Así que, una buena forma de celebrarlo, puede ser la de revisar tus contraseñas y cambiarlas por otras más seguras.

¿Y tú, ya has actualizado tus contraseñas para celebrar este día?

Tipos de ataques

Vamos a repasar algunos tipos de ataques que se pueden dar para obtener contraseñas. Suelen ser los más comunes. Además, no hay que perder de vista técnicas de hacking social, como puede ser una llamada telefónica haciéndose pasar por tu banco o tu compañía telefónica. En estos casos, recuerda que NUNCA debes dar tu contraseña, no te la tienen que pedir.

Ataque de fuerza bruta

Un ataque de fuerza bruta es un tipo de ataque de contraseña en el cual se realizan muchos intentos aleatorios para obtener acceso. Es un ataque simple y, a menudo, involucra métodos automatizados, como software o bots, para probar múltiples variaciones de letras, números y caracteres.

Emplear una gran cantidad de posibilidades lleva mucho tiempo, por lo que los atacantes deben buscar eficiencias. Para generar una lista de posibles combinaciones, a menudo comienzan con opciones fáciles, como contraseñas comunes o cortas.

Keylogger

Se trata de un software que registra todo lo que el usuario escribe. Puede ser un documento que esté redactando, pero también las URLs, usuarios y contraseñas que escriba. Pero también otros tipos de datos sensibles, como los de las tarjetas de crédito en las compras por Internet.

Ataque de diccionario

Es un ataque de fuerza bruta, pero utilizando un conjunto de palabras comunes o existentes, como un diccionario tradicional. También pueden admitir variaciones, como cambiar la letra O por un 0(cero), la I por un 1(uno), etc.

Credential Stuffing

Una vez se ha robado la contraseña de un servidor, se trata de probar estos mismos credenciales (usuario/correo y contraseña) en otros servicios. Se podría ver como un ataque de fuerza bruta, pero esta vez de una contraseña sobre distintos servidores.

Por eso es importante intentar evitar repetir las contraseñas. Al menos, de las cuentas más importantes.

Man-in-the-middle

Normalmente, la comunicación en internet se realiza entre el usuario (emisor) y el servidor del proveedor del servicio (destinatario). En estos casos, hay un «hombre en el medio» que intercepta la comunicación. De forma que le seguirá llegando al destinatario y el destinatario le contestará al emisor, de forma que parecerá todo normal. Pero, por el camino, se habrá interceptado el contenido del mensaje, pudiendo haber adquirido este, información sensible con son contraseñas.

Intercepción de tráfico

Es parecido al anterior, pero en este caso simplemente se escucha todo el tráfico de red que pasa a través de un router. Es el que suele darse en las wifis o redes públicas. Ni siquiera puede hacer falta tener acceso físico al router para conseguirlo.

Phising

Se trata de una suplantación de identidad. En este caso de la empresa que nos ofrece los servicios. Mandan correos alertando de algo urgente, como el bloqueo de una cuenta bancaria, para alertar al usuario y crear una urgencia. Luego, le redirigen a una web que imita perfectamente la de la empresa, como puede ser el banco. El usuario, si no se da cuenta, introducirá ahí sus credenciales, que le llegarán al atacante.

Así que, te recomiendo que pongas interés en mejorar y proteger tus contraseñas, pueden ahorrarte más de un quebradero de cabeza.

Deja un comentario

Información sobre protección de datos

Vicente SG te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Vicente Sancho Guijarro (Vicente SG) como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales que te solicito es para gestionar los comentarios que realizas en este blog. Legitimación: Consentimiento del interesado. Como usuario e interesado te informo que los datos que me facilitas estarán ubicados en los servidores de Banahosting.com (proveedor de hosting de Vicente SG) dentro de la UE. Ver política de privacidad de Banahosting.com. El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no atender pueda tu solicitud. Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en [email protected] así como el derecho a presentar una reclamación ante una autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de Datos en mi página web: https://vicentesg.com, así como consultar mi política de privacidad.