123456 y 'password' no son una opción

Javier Tallón, director técnico de la compañía JTsec, sabe bien de lo que habla porque su trabajo consiste precisamente en detectar las brechas de seguridad de grandes compañías como Google, Amazon, Cisco o Huawei y para ello cuenta con un equipo de 60 hackers buenos o 'white hat hackers'.

Sus antagonistas, los hackers malos, ponen a trabajar a los bots y usan dos tipos de estrategias mediante algoritmos matemáticos para romper la cerradura virtual y acceder a la información privada. Una es utilizar un 'diccionario' con las contraseñas más comunes, entre las que se encuentran el clásico 123456 y sucesivos, el 1111 o similares, 'qwerty' –las primeras letras del teclado– con sus variantes, 'contraseña' y 'password' y todas las combinaciones posibles de nombres y fechas, así hasta más de 200.000 entradas. La segunda es «utilizar la fuerza bruta» y probar combinaciones aleatorias.

El petróleo del siglo XXI

«Los profesionales hemos sido tradicionalmente poco didácticos a la hora de recomendar cómo tiene que ser una contraseña», reconoce Tallón. Hace no tantos años, teníamos una palabra como santo y seña para acceder a nuestro correo electrónico y poco más. Ahora necesitamos una para eso, otra para la app del banco, la del correo del trabajo, las plataformas de televisión, las redes sociales y toda la multitud de servicios que se prestan por internet a los que hay que acceder con un usuario registrado y una clave. Es normal que nos abrume.

Mucha gente no le da mucha importancia porque cree que lo que guarda bajo esa llave virtual no es tan interesante. Error. «La información es el petróleo del siglo XXI», advierte Javier Delgado, director de Sinergia, una spinoff de la Universidad de Granada dedicada a asesorar a pymes en la detección de vulnerabilidades y herramientas de protección, así como a formación en ciberseguridad.

El peligro es que si un ciberdelincuente rompe esa «primera línea de defensa» puede, por ejemplo, acceder a documentos y fotografías privados de nuestros equipos o suplantar nuestra identidad y enviar mensajes a todos nuestros contactos pidiéndoles que pinchen un enlace que les instalará un virus en el ordenador o el móvil. O, si se trata de una cuenta de correo profesional, alterar datos de facturas de proveedores para desviar pagos a sus propias cuentas. Sin olvidar que nuestros datos pueden venderse 'al peso' en la dark web.

En resumen, privacidad expuesta, daño reputacional y pérdidas económicas. El problema es que los cibercriminales no solo buscan gente poderosa con valiosos secretos, sino que hacen mucha «pesca de arrastre», recuerda Javier Tallón. «Lo más común es que los hackers descifren un montón de contraseñas en la base de datos de un foro poco seguro –señala el director de JTsec– No es que vayan a por ti, sino que manejan grandes cantidades de información y la usan para encontrar cuentas vulnerables».

Pero en otras ocasiones el ataque está dirigido –por ejemplo, a un directivo con información sensible por la que se puede pedir un rescate– y los hackers le dedican tiempo a investigar a la persona y a su familia, afirma Delgado.

Larga y singular

Hasta aquí los problemas; ahora las soluciones. Los expertos consultados subrayan la importancia de que la contraseña, sobre todo, sea larga. Si lleva mayúsculas, minúsculas y caracteres especiales, mejor, pero la longitud es fundamental. «Una contraseña de cuatro a seis caracteres se puede hackear en cuestión de segundos. Una de doce o más lo bastante robusta puede tardar años en ser descifrada con la tecnología actual», afirma Javier Delgado.

También es importante la singularidad: hay que evitar nombres –el nuestro, el de familiares o mascotas– y fechas de nacimiento. Los expertos proponen frases que tengan sentido para nosotros y seamos capaces de recordar con facilidad sin tener que anotarlas en un postit pegado al ordenador. Javier Delgado pone una como ejemplo en sus sesiones de formación: Juegoalfútboldesdequetenía8años. Es larga, tiene mayúsculas, minúsculas y caracteres especiales (y la conoce todo el que asiste a los cursos de Sinergia, así que no, no la uses). Javier Tallón sugiere aprovechar para autoenviarnos mensajes motivacionales: Voyadejardefumarseguro.

Ambos expertos insisten en la necesidad de tener una contraseña para cada servicio, aunque admiten que no todos son igual de importantes: no es tan grave si tenemos la misma para las plataformas audiovisuales asociada a nuestro nombre de usuario, pero sí es crítica la del correo o la banca online. Si son la misma, una brecha en la base de datos de uno de esos servicios puede dejarnos vendidos en la información más importante. A partir de ahí, pueden suplantarnos en cualquier servicio mediante la función de recuperar contraseña. Los ciberclincuentes disponen incluso de herramientas que, una vez instaladas en el equipo hackeado, pueden grabar lo que se teclea (incluidas las contraseñas).

Doble autenticación

También resaltan la seguridad que ofrece el doble factor de autenticación, es decir, que el servicio de internet al que accedemos nos pida una palabra clave y además nos envíe un código o un mensaje de confirmación al móvil.

Hay disponibles además gestores de contraseñas, aunque el director de Sinergia advierte que los que nos ofrece el navegador de nuestro equipo también son vulnerables y las consecuencias de una violación son aún más graves, porque nos exponen en múltiples frentes. Para evitarlo, existen herramientas –gratuitas y de pago– que guardan todos nuestros 'passwords' bajo una única contraseña maestra. Esta, sí, debe ser cuidadosamente elegida.

Tallón llama la atención sobre la importancia de la «higiene» en la separación escrupulosa entre lo personal y lo profesional. «Cuando usas los recursos informáticos de tu empresa estás poniendo en riesgo no ya tu información personal, sino la de los clientes y del negocio», recuerda.

Cambiarlas periódicamente es otra de las recomendaciones de los especialistas. Hay que tener en cuenta que muchas veces nos han hackeado y no lo sabemos –hay páginas donde podemos comprobar si se han filtrado datos asociados a nuestro correo electrónico–. Y añadir un número al final de una contraseña poco robusta para ir actualizándola –maria1, maria2, maria3, etc– les pone las cosas muy fáciles a los malos de la red. «Las contraseñas son como la ropa interior: hay que tener una para cada ocasión y cambiarla regularmente», resume Tallón con humor.