Instituto Nacional de ciberseguridad. Sección Incibe
Oficina de Seguridad del Internauta. Sección Ciudadanía

¿Sabías que el 90% de las contraseñas son vulnerables?

Fecha de publicación 06/02/2019
Enlace al artículo ¿Sabías que el 90% de las contraseñas son vulnerables?

Ordenador seguro

Muchos usuarios que navegan por la Red utilizan contraseñas que son poco robustas y fáciles de adivinar para los ciberdelincuentes. El problema reside en que seguimos haciendo uso de las mismas sin ser conscientes de los peligros que esta práctica conlleva. Contraseñas como “12345” o “password” son solo algunos de los ejemplos de este tipo de claves “sencillas”, que más que aportarnos seguridad, ponen en riesgo todo aquello que estemos tratando de proteger.

¿Por qué seguimos utilizando contraseñas tan sencillas?

El problema reside en la cantidad de claves y combinaciones que, como usuario, debemos recordar. Cada vez que queremos registrarnos en una web o crearnos una cuenta debemos pensar en una combinación nueva de caracteres, y tendemos a repetir la misma contraseña sencilla de siempre para facilitarnos esta tarea. No es de extrañar, por tanto, que la creación de una nueva contraseña cada vez nos suponga una tarea más tediosa, repetitiva y, en muchos casos, una molestia que preferimos evitar lo más rápidamente posible.

Las contraseñas dejan de ser una herramienta de seguridad con la que sentirnos a salvo. Al final, los usuarios prefieren recurrir a claves fáciles de recordar, que son precisamente las más vulnerables.

Sin embargo, por muy tediosa que nos parezca esta tarea, es fundamental para mantener a salvo nuestras cuentas y, por tanto, nuestra información. Los riesgos a los que nos enfrentamos son mucho peores que dedicar ese tiempo extra a crear una nueva contraseña.

¿Cuál es el problema de no usar claves robustas?

Un ejemplo real con el que comprender la magnitud del problema, es el caso de un spambot, un programa destinado a la generación de correos basura o “spam”, y envío masivo de los mismos, que llegó a nuestras bandejas de entrada del correo electrónico afectando a millones de e-mails. Un estudio analizó las credenciales afectadas en busca de patrones de vulnerabilidad, y descubrió que las contraseñas más vulnerables resultaron ser combinaciones sencillas, secuencias consecutivas, repeticiones de un dígito o palabras simples como “password”.

Si quisiésemos hacer un ranking de las más vulnerables, esas serían las primeras:

Top 5 de contraseñas vulnerables

Este tipo de claves, que muchos consideran la mejor opción debido a la facilidad que tenemos para recordarlas, no suponen ningún reto para los ciberdelincuentes, incluso para los menos experimentados, que son capaces de descifrarlas en cuestión de segundos. Siendo conscientes de estas listas de contraseñas “fáciles”, un ciberdelincuente siempre recurrirá a ellas como primera opción a la hora de hacerse con el control de una cuenta de usuario.

Generalmente, utilizarán programas con los que probar automáticamente todas y cada una de las claves antes de recurrir a técnicas más sofisticadas.

No podemos ignorar que el porcentaje sería mucho mayor si no existiesen políticas de seguridad aplicadas por muchos de los servicios de correo electrónico, que obligan al usuario a crear combinaciones cada vez más complejas a la hora de elegir su contraseña.

¿Qué podemos hacer los usuarios?

Según un estudio realizado por la empresa Deloitte, casi el 90% de las contraseñas de los usuarios de todo el mundo son vulnerables a los ataques de los ciberdelincuentes. A modo de pronóstico, dicho estudio defiende que algunas de las medidas que hoy en día consideramos como seguras a la hora de crear una contraseña, como utilizar una combinación de 8 dígitos de números y letras, alternar entre mayúsculas y minúsculas y recurrir a caracteres especiales no alfanuméricos, dejarán de ser tan robustas como pensamos. En poco tiempo, los ciberdelincuentes serán capaces de descifrarlas sin demasiado esfuerzo.

En palabras de Duncan Stewart, Director de investigación y coautor de dicho estudio, este tipo de pautas a la hora de mejorar la seguridad son contrarias al comportamiento humano, que tiende a reutilizar contraseñas y que por tanto, ponen en riesgo nuestra seguridad. Entonces, ¿qué medidas de seguridad adicionales podemos aplicar?

1.Tokens y otros dispositivos de autenticación. La única forma de mantener nuestras cuentas seguras sería la utilización de factores múltiples de autenticación a través de la utilización de “tokens”, el uso de los dispositivos móviles para asegurar la identificación del usuario, tarjetas de crédito o incluso las medidas de seguridad basadas en la biometría.

Existen distintos tipos de tokens:

  1. Basados en hardware (llaveros o tarjetas): muestran en su pantalla la contraseña generada de forma aleatoria para cada proceso de login. Realizan una operación criptográfica al pulsar un botón o conectar el dispositivo.
  2. Basados en software: generan contraseñas de un solo uso a través de una app en el móvil o en nuestro ordenador.

Tipos de tokens

2.Teclados virtuales. Cuando tratamos de acceder a nuestra información privada desde un teclado cualquiera, corremos el riesgo de que sea interceptada por un spyware sino disponemos de las herramientas de protección adecuadas.

Aplicaciones como los keyloggers permiten grabar y compartir con el ciberdelincuente las pulsaciones del teclado mientras escribimos.

Existe una función denominada “teclado virtual” o “teclado táctil” que puede ayudarnos a evitar el robo de nuestros datos personales si creemos que nuestro equipo se encuentra infectado.

Para ello, deberemos activar esta función en nuestro equipo. Generalmente, bastará con utilizar el buscador de nuestro sistema operativo y encontrar la aplicación “teclado en pantalla”, “teclado virtual” o “teclado táctil”.

Ejemplo de un teclado virtual

3.Gestores de contraseñas. Disponemos de varias opciones con las que ordenar y categorizar nuestras claves, como es el caso de los gestores de contraseñas. Son herramientas utilizadas para almacenar y gestionar nuestras claves.

Gracias a este tipo de herramienta se acabó el tener que recordar cientos de usuarios y claves. Únicamente necesitemos los datos de acceso del gestor de contraseñas para acceder al programa. Una vez dentro, podremos organizar los usuarios y contraseñas de todos nuestros servicios como si de una biblioteca se tratase.

Gestor de contraseñas Keepass

 

Artículo enmarcado dentro de la campaña
¡Contraseñas seguras!