Aunque son cada vez más las técnicas de identificación o autenticación de un usuario (biometría, patrón de voz u oculares, tarjeta inteligente, etc.), seguimos utilizando un nombre de usuario y contraseña o password para acceder a los distintos servicios de Internet. Esta forma convencional ha llevado durante mucho tiempo a crear distintos mecanismos de obtención de claves para acceder a nuestra información personal. Aunque muchas de estas técnicas son complejas la mayoría de los casos se obtienen por la mala práctica del usuario.
¿Como se puede obtener una contraseña?
Ataque por fuerza bruta, por diccionario o por palabras comunes
A continuación enumero una serie de consejos para evitar que se descifren las
claves o, al menos, les cueste trabajo obtenerlas.
Aunque diseñemos una contraseña robusta es importante complementarla con lo que
se llama “verificación en dos pasos” o "autenticación de dos
factores". Consiste en que, una vez introducido el nombre de usuario y
contraseña, el sistema llama a un teléfono móvil o envía un SMS con un código
de verificación que deberá introducirse en la página web. De esta forma se
refuerza la seguridad en caso de que la contraseña se haya descifrado.
Asimismo, cada vez que se accede a un servicio de esta forma, la empresa envía
un correo electrónico informando al usuario del acceso a dicho servicio.
Son ataques bastante comunes que suelen utilizar los crackers a la hora de
acceder a un servicio de internet.
En el caso del ataque por fuerza bruta, este método suele ser
lento según el número de caracteres que tenga la contraseña, ya que actúa en
base a ensayo y error, haciendo combinaciones hasta que se completa el patrón.
Cuanto mayor sea la contraseña mayor número de combinaciones y más difícil de
descubrirla.
El ataque por palabras comunes se logra recurriendo a un
listado de las palabras más utilizadas en cada idioma y que la gente suele
recordar mejor.
En cambio, en el ataque diccionario el atacante utiliza un
listado de contraseñas comunes, esto es, un listado con combinaciones de
letras, números y símbolos. Este método es más completo que el de palabras
comunes, ya que comienza con cadenas de caracteres simples para ir
progresivamente a más complejas. Los programas informáticos que de forma
automática las descifran pueden llegar a introducir entre 50 y 60 contraseñas
por minuto.
Mediante análisis del perfil
No es difícil hacer un perfil de una persona accediendo a las redes
sociales y páginas web. Los nombres de la familia, amigos, mascota, la fecha de
nacimiento, el lugar donde vive, las aficiones, etc. ayudan a descubrir las
contraseñas. Y es que la memorización de claves no es sencilla para muchos,
recurriendo a lo más familiar.
Programas espía
Los programas por antonomasia en el desciframiento de contraseñas son
los keyloggers. Estos programas se ejecutan siempre en segundo
plano, por lo que el usuario no es consciente de que existe, y se dedica a
guardar todos los caracteres que tecleamos. En esencia, registra toda la
actividad del usuario y la envía a los servidores de los atacantes. Una vez
recibida toda la información, se hace una búsqueda de la secuencia de tecleo
hasta encontrar el nombre de usuario y contraseña.
Suplantación de identidad: Phishing y Pharming
Este método suele ser más elaborado puesto que se trata de suplantar la
identidad de otra persona para conseguir la contraseña. En la mayoría de los
casos se utiliza en la banca on-line y consiste en crear una página web
idéntica a la de la entidad financiera para que el usuario introduzca su
usuario y contraseña. Para ello, se envía un correo electrónico al usuario
haciéndose pasar por el banco indicándole que entre en la página web con
cualquier pretexto. El usuario pincha en el enlace que viene en el mensaje y
automáticamente entra en la página web falsa.
Como construir una contraseña robusta
¿Qué no debemos hacer?
1. En primer lugar y la más básica es la de no utilizar una secuencia de
números o letras: 1234567, abcdef. Es fácil de recordar pero también de
obtener.
2. No utilizar palabras, aisladas o juntas, con sentido y de uso habitual
que puedan figurar en un diccionario: correocasa, contraseña, clave.
3. No utilizar información personal como el nombre o apellidos, fecha de
nacimiento, deporte favorito, mascota, etc.
4. No utilizar palabras o abreviaturas relacionadas con el servicio
asociado: FB para Facebook, TWITT para Twitter, etc.
5. No utilizar abreviaturas o palabras al revés, ya que suele hacerse
búsquedas en todas las direcciones.
6. Evitar usar una sola contraseña para todos los servicios.
7. No utilizar preguntas de seguridad que lleven fácilmente a la
contraseña.
8. No dejar al alcance de cualquiera las contraseñas en caso de dejarlas
por escrito.
Consejos positivos
1. Lo aconsejable es que la contraseña tenga entre 8 y 12 caracteres.
Cuantos más tengan mejor y más robusta será.
2. Mezcla letras con mayúsculas y minúsculas, números y símbolos de forma
aleatoria: A6$d&9
3. Si se opta por un nombre o palabra, sustituir letras por números o
símbolos: C1av3.
4. Buscar un texto, poema o canción y poner las iniciales de las primeras
palabras: “En un lugar de la Mancha” - E1ldlM.
5. Cambiar las contraseñas varias veces al año, aunque sea un número, letra
o símbolo.
6. Cuando se utilizan ordenadores o dispositivos de otros es importante
cerrar todas las sesiones y borrar tanto las cookies como los historiales,
además de no permitir que el navegador guarde la contraseña.
Añadir una capa de seguridad adicional
Hay servicios, como los de Google o Microsoft, que disponen de una
aplicación para generar códigos de verificación sin tener que recurrir a los
SMS.
Entre las empresas que disponen de la verificación en dos pasos están:
Apple
Google
Microsoft
Yahoo
Facebook
Twitter
LinkedIn
Tumblr
Dropbox
Evernote
Steam
PayPal
WordPress
GitHub