Análisis en profundidad

Contraseñas seguras: cómo crearlas, ejemplos y consejos para las palabras clave

En el mundo digital, probar las contraseñas y la seguridad de la red que hacen que el mundo de los datos sea exclusivo y, por tanto, esté protegido, se ha convertido en una necesidad. Estos son todos los consejos para conseguir contraseñas seguras y a prueba de hackers, imposibles de robar y descifrar, pero también fáciles de recordar

Actualizado el 03 Mar 2023

contraseña segura

Con el advenimiento del mundo virtual y la migración hacía allí de múltiples datos (algunos de ellos muy sensibles y/o personales), se hizo necesario adoptar parámetros para protegerlos de intrusos. Por eso es que se popularizaron enormemente las contraseñas, y es importante que se tenga en cuenta que deben ser a prueba de delincuentes. En esta nota te contamos sobre ellas y sobre cómo hacer contraseñas seguras.

¿Qué es una contraseña?

Una contraseña es un término o clave que se usa como forma de autentificación personal y secreta para acceder a algún sitio donde, por lo general, yace o se maneja información privada. Actualmente, con la seguridad informática como un tema tan en boga, suele tomar la forma de combinación de números, letras y símbolos (llamado “código alfanumérico”), ya que resultan ser términos más complicados de adivinar y, por ende, protegen mejor la entrada a dispositivos personales (como computadoras, tabletas y celulares).

Las contraseñas han tomado relevancia masiva en las últimas décadas con el surgimiento y la consolidación del mundo digital, donde casi todo el mundo conectado a internet posee una de ellas para guardar datos y poder encontrarlos luego bajo esa misma clave. Hoy en día, también pueden ser más sofisticada, como una huella digital, el reconocimiento de una cara, o el dibujo de un patrón. Sin embargo, también cabe resaltar que se usan desde la Antigüedad, donde los soldados adoptaban saludos o señas en código para identificarse como aliados.

Cómo funcionan las contraseñas

En principio, se configura una clave de acceso para entrar a un lugar. Luego, para poder volver a dicho sitio, simplemente se deben presentar información igual a aquella con la que se había ingresado en primer lugar. Cada nombre de usuario único se vincula con una contraseña, aunque se la puede repetir en más de un lado (lo que es muy desaconsejable, ya que dar con la clave para un sitio permitiría entrar a más páginas de un mismo usuario).

A veces, las contraseñas no solamente custodian lugares privados, sino que además salvaguardan bases de datos realmente vitales para mucha gente, como establecimientos militares o archivos secretos para gobiernos u organizaciones grandes (por ejemplo, números de tarjetas y claves de clientes de una entidad financiera). Por eso es tan necesario que sea complicada de robar o adivinar por parte de ciberdelincuentes.

Contraseñas seguras
Contraseñas seguras

Cómo crear una contraseñas seguras

Se recomienda que tenga al menos ocho caracteres, aunque será más segura si posee varios más. Debe estar formada por mayúsculas, minúsculas, símbolos (como @ o #), números y letras. A su vez, no debería estar formada por palabras reales, sino por sucesiones en principio incoherentes de varios signos. Por ejemplo, se pueden crear con las iniciales de una frase o canción del gusto del usuario, escribir una frase reemplazando sus caracteres por símbolos poco habituales (como un 0 en el lugar de una O, un 4 en el lugar de una A, o una Ë en vez de una E), o generar una realmente compleja mediante la unión de términos que son familiares para una persona.

En definitiva, la clave es que las vinculaciones entre palabras usadas sean lo más aleatorias posibles. Para obtener seguridad en este rubro, no se trata únicamente de que sea difícil de adivinar, sino también impredecible. Si todas las pautas de seguridad se cumplen, la contraseña resultante solamente puede ser descifrada mediante un ataque puntualizado

Ejemplos de contraseñas equivocadas e inseguras

Lamentablemente, muchas personas optan por la comodidad de una contraseña sencilla para recordar, pero que a su vez representa una vía libre a los ciberdelincuentes. Un ejemplo clásico es una sucesión mundana de números, como “12345678” o “abc123”, o palabras o frases genéricas como “contraseña” o “iloveyou”.

Otro caso de vulnerabilidad es establecer una palabra simple y, en seguida, concatenarla con el mismo término dicho a la inversa (como “gatootag”). Esto es peligroso porque hay varios programas informáticos gratis que se dedican a probar contraseñas y adivinarlas, ya que es bien sabido entre los piratas informáticos lo usual de esta técnica.

Increíblemente, muchas empresas y organizaciones terminan cayendo en este tipo de claves genéricas y sencillas porque los especialistas en tecnología que las configuran desean darle un acceso rápido y fácil a toda la planta de empleados. Paradójicamente, esto también da vía libre a los intrusos, que se topan con una barrera digital muy endeble para romper.

Generadores de contraseñas y software

Una respuesta a la gran pregunta de cómo generar contraseñas seguras y confiables puede estar en un generador de contraseñas. En internet existen varios de ellos, que funcionan hilvanando claves que, según estudios científicos, necesitan de muchos millones de años para ser adivinadas o descifradas por cualquier ciberdelincuente.

Por ejemplo, una buena contraseña que generan estos programas informáticos podría ser tomar la frase “me gusta ir a comer con mis amigos dos veces al mes” y reconvertirla en “megustairacomerconmisamigos2vecesalmes”, o incluso sigue siendo muy eficiente con frases más cortas. A partir de oraciones unidas de esa manera, el usuario final puede modificarla a su gusto según crea que puede servirle, personalizándola y añadiéndole números o nombres relevantes por los motivos que fuesen. Si bien es obvio que la contraseña perfecta e inviolable es algo imposible de alcanzar porque sencillamente la perfección no existe, sí puede lograrse estar mucho más tranquilo/a respecto a la seguridad con la que uno/a maneja sus datos personales.

Las repercusiones del dominio de la lengua anglosajona

En la lista de favoritos internacionales (gracias al dominio de la lengua materna anglosajona) encontramos “iloveyou”, “letmein”, “abc123” y “princess”. Estos son ejemplos de contraseñas comunes y obvias, que se repiten cada año sin ningún sentido de seguridad.

Estas opciones indican la necesidad de un cambio brusco para desanimar a los ciberdelincuentes que lo tienen fácil con estas soluciones.

Cómo crear contraseña seguras

Uno de los mayores errores que sigue cometiendo la industria de la seguridad informática es presionar a los usuarios para que pongan contraseñas extremadamente complejas sin explicar el motivo.

Es cierto que una contraseña sencilla es más fácil de recordar, pero también es cierto que si la contraseña importante es demasiado corta y se utiliza en todos los sitios, resulta más arriesgada que una larga. Por cierto, las contraseñas vinculadas a los sitios de comercio electrónico y a la banca en línea son especialmente peligrosas…

El término contraseña compleja es quizás el más incomprendido en la industria de la informática (y la causa de muchos de los problemas asociados a la gestión de contraseñas hoy en día).

Con demasiada frecuencia, las contraseñas complejas se convierten en sinónimo de contraseñas imposibles de recordar. Debemos llegar a comprender que la complejidad es sólo una pequeña parte de la ecuación. No es simplemente una cuestión de complejidad, sino de imprevisibilidad. El concepto de entropía de una contraseña puede ser inversamente proporcional al concepto de una contraseña predecible. Y esta es la clave de una buena contraseña.

Ejemplos para crear contraseñas seguras y eficaces (y fácil de recordar) ideas y consejos

Una contraseña más o menos compleja es tan segura como imprevisible. Paradójicamente, una contraseña impredecible también puede ser fácil de recordar. Una buena práctica es probar con contraseñas que utilicen una combinación de letras mayúsculas y minúsculas, números y caracteres especiales. Y estas son las reglas clásicas de la complejidad.

Un primer ejemplo de contraseña es jugar con las siglas de una frase sencilla y representativa como:

  • Me llamo Renato y tengo 3 hijos
  • que se convierte en: Mryt3h

Los ejemplos de contraseñas difíciles y, por tanto, más seguras, también están relacionados con la construcción de una cadena, de nuevo utilizando una frase simple y preferida, como :

  • Hemos comido 1 pizza el domingo y el lunes
  • que se convierte en: Hc1pedyel

Este tipo de contraseña, más precisamente llamada frase de paso, es fácil de recordar y de escribir. Además de no ser predecible, es una contraseña considerada compleja por los expertos en seguridad, ya que contiene números y mayúsculas, entre los caracteres especiales recomendados para evitar infracciones.

Un tercer ejemplo es utilizar una palabra preferente integrada con la técnica del relleno, es decir, rellenar la frase con otras palabras que sirvan para crear contraseñas seguras e imprevisibles, como por ejemplo:

  • Pasta con3aceitunas
  • PizzaMejor5porciones

El principio es que el relleno ayuda a alargar la contraseña simplemente añadiendo cualquier número de caracteres aleatorios adicionales al final de la contraseña.

Imaginar una frase corta

Uno de los consejos para conseguir contraseñas seguras es imaginar una frase corta: esto se debe a que hay más posibilidades de que el usuario la recuerde. El hecho es que a medida que las amenazas se vuelven más sofisticadas, hay que introducir más complejidad. Así, si ayer se consideraba segura una contraseña de 8 caracteres, hoy es más segura una de 9 (pero los expertos recomiendan pensar en el orden de 13 caracteres o más).

Si se añade una pizca de complejidad a la frase corta, se obtiene inmediatamente una contraseña que no tiene entrada en el diccionario de un hacker y que sólo puede ser descifrada con un ataque extremadamente dirigido.

Cómo crear contraseñas difíciles de adivinar

Otro consejo para crear contraseñas difíciles es crear un nombre de usuario único, si no imposible. Aunque muchos sitios requieren la dirección de correo electrónico del usuario como nombre de usuario, algunas instituciones financieras permiten la creación de nombres de usuario particulares en su lugar.

Si el usuario tiene su dirección de correo electrónico como nombre de usuario en todos los sitios en los que debe registrarse (especialmente con la misma contraseña), la información está comprometida desde el principio. El hacker puede rastrear otros sitios utilizados por el usuario con la misma contraseña. Poner un nombre de usuario único en los sitios vinculados a cualquier tipo de transacción financiera es una buena idea.

Los responsables de seguridad deben orientar a los usuarios sobre cómo crear una buena contraseña. Hay que dejar claro que “123456” no es una buena contraseña. Del mismo modo, las cadenas difíciles de recordar no son buenos ejemplos de contraseñas. Para difundir una mejor cultura sobre el tema, hay que explicar cómo se crean las contraseñas imprevisibles y, sobre todo, por qué.

Generadores automáticos de contraseñas

Otra solución para obtener ideas sobre contraseñas para poner en marcha puede ser un generador de contraseñas. Para los que no tienen imaginación y quieren crear contraseñas seguras, un generador de contraseñas original puede ser la solución. Hay varios generadores de contraseñas y sitios en Internet que crean contraseñas teniendo en cuenta el cifrado y la protección, como por ejemplo,

  • Generador de contraseñas seguras de PC Tools
  • Generador de contraseñas fuertes
  • Contraseña inteligente

Es fácil encontrar un generador en línea. En un nivel más avanzado, está Perfect Password de Gibson Research Corporation. Con una frase de contraseña como “Iwentfishing4timeslastmonth?”, por ejemplo, según la calculadora de contraseñas de GRC, se necesitan más de 76,43 trillones de trillones de siglos para identificarla y romperla. Y no sólo eso, sino que lleva un ritmo de 100.000 billones de intentos por segundo. Una prueba clara de una frase de paso absolutamente inviolable.

Cómo utilizar los generadores de contraseñas

Con un generador de contraseñas seguras, los usuarios pueden tomar un par de cadenas de esta naturaleza y desarrollar una fórmula que tenga sentido para ellos, modificando la cadena final en diferentes sitios. Por ejemplo, una contraseña de Facebook podría añadir “FB” o el año de graduación del usuario, etc.

También pueden existir fórmulas para los generadores de contraseñas online que hacen la ecuación aún más compleja, pero el truco está ahí: la personalización a través de frases que se subliman en el juego de acrónimos o frases cortas, con diferentes caracteres. Con este método, el usuario puede tener una contraseña muy fuerte, fácil de recordar, diferente para cada sitio que visite y sencilla de escribir. ¿Es la seguridad perfecta? Por supuesto que no. Pero es mucho más fuerte que una contraseña como “123456” utilizada en más de 30 sitios diferentes.

Lo absurdo es que “123456” o la versión inversa son también las contraseñas que suelen utilizar las empresas para proteger sus sistemas. ¿Por qué? Porque el responsable informático de turno elige una palabra impersonal, lo que simplifica el acceso a sus colegas, pero también a los hackers. El resto es historia.

Hackear una contraseña

Lamentablemente, a pesar de todo lo ya dicho, sigue siendo factible que un pirata informático descubra las claves de alguien, sobre todo si estas no son lo suficientemente fuertes. Los ciberdelincuentes hábiles tienen más de una manera de lograr su cometido.

Una forma es la ingeniería social, que consiste en adentrarse en las redes sociales de la víctima para intentar conseguir información sobre su vida personal. También se puede ir un paso más allá, que significa interactuar con quien va a ser pirateado por cualquier medio posible para así analizar bien su perfil. Así, al conversar con la persona, esta puede mencionar nombres de familiares, mascotas y/o amigos, fechas trascendentes o sitios importantes para ella, lo que puede facilitar el descifre de sus contraseñas.

Otra manera es adquirir credenciales provenientes de sitios pirateados y de donde se han obtenido datos de los usuarios de forma ilegal. Esto toma más sentido cuando dichos usuarios repiten las contraseñas en diversas páginas.

Una forma más clásica es el correo de suplantación de identidad (conocido en inglés como “phishing”). Esta no requiere de conocimientos de pirateo al ser simplemente el envío de correos electrónicos a varias personas que, forzadas emocionalmente por el contenido del mensaje, terminan revelando sus credenciales.

Un método muy difundido es el de pulverización de contraseñas, que se desarrolla cuando se prueban algunas pocas contraseñas genéricas en muchos nombres de usuario y/o cuentas.

Finalmente, si acaso nada de lo anteriormente mencionado ha surtido efecto, el ciberdelincuente puede apelar a un ataque por fuerza bruta. Esto se basa en la ejecución de un software que, en un lapso corto de tiempo, crea y prueba multiplicidad de contraseñas posibles deducidas desde muchas combinaciones hechas con las palabras de un diccionario (creado a su vez para dicho fin -y que incluye también términos extraídos mediante la ingeniería social antes nombrada-). Un ataque de esta índole conlleva una capacidad de procesamiento gigantesca por parte del ciberdelincuente, ya que requiere de hacer muchísimas peticiones por segundo.

Cómo evitar hackeos

Para ponerle complicado a los ladrones de datos el robo de contraseñas, hay una serie de consejos a seguir. Por empezar, se puede modificar la clave existente cada uno, dos o tres meses. Otra sugerencia es evitar contraseñas vulnerables (como frases comunes o series de números); o configurar una clave diferente para cada perfil (una para la aplicación del banco, otra para el correo electrónico, otra distinta para cada red social, etc.) para evitar que, una vez descifrada, accedan a varios lugares más de la misma persona.

Tampoco se deben guardar las contraseñas en el navegador para que alguien con acceso al equipo pueda dar con ellas. A su vez, no es recomendable utilizar gestores de contraseñas de empresas de seguridad que sean poco o nada renombradas. Y, si se van a guardar las contraseñas actuales en un documento de texto, es necesario que este esté cifrado para evitar intrusiones. También se desaconseja usar información personal para fabricar una clave (como cumpleaños o nombres). Asimismo, si se escriben las claves en un cuaderno físico, es recomendable que nadie tenga acceso a él, por lo que no se deben poner tampoco pegadas en el escritorio laboral o sus cercanías.

En organizaciones grandes, sobre todo en aquellos que manejan datos financieros o crediticios de una amplia cantidad de clientes, es imprescindible que las altas cúpulas directivas se esmeren por transmitir a toda la planta de empleados la importancia gigantesca de cómo escoger contraseñas complicadas. De lo contrario, un ataque masivo por parte de un ciberdelincuente podría comprometer seriamente la seguridad de la información personal de mucha gente.

Artículo publicado originalmente en 16 Nov 2021

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

I
Redacción InnovaciónDigital360

Artículos relacionados

Artículo 1 de 2