Crear y mantener contraseñas seguras

Actualizado11 November 2021

Tabla de contenido

... Cargando Tabla de Contenido...

    Las contraseñas son herramientas importantes para mantener seguros tus datos y tu identidad. Desafortunadamente, quienes atacan son conscientes de esto y tienen muchos trucos que pueden utilizar para descubrir tus contraseñas.

    But you can defend against those tricks by applying a few important tools and tactics. The most effective strategy is to make passwords that are LONG, RANDOM, and UNIQUE. To do this reliably, you will need to use a secure password manager. It is also important to set up multi-factor authentication whenever possible.

    Descubre si tus contraseñas han sido comprometidas

    • Busca ["Have I Been Pwned"](https://haveibeenpwned.com/(para ver si tus cuentas se informan como comprometidas.
      • Cambia inmediatamente cualquier contraseña de tus cuentas que encuentres comprometidas, utilizando las instrucciones para configurar un administrador de contraseñas a continuación.
    • Incluso si ninguna de tus cuentas aparece aquí, aún debes seguir las instrucciones a continuación, ya que muchas violaciones de cuentas no se informan.
    Aprende por qué recomendamos esto

    Quienes atacan buscan contraseñas que ya hayan sido violadas y estén disponibles en línea. Intentan contraseñas para tus cuentas hasta que encuentran la correcta para acceder. Reutilizar la misma contraseña es especialmente arriesgado. Echa un vistazo a "Have I Been Pwned" para ver si tus contraseñas están en alguna de las listas que utilizan estas personas.

    Evita las estrategias comunes de contraseñas débiles

    Aquí están las formas más comunes en que las personas atacantes obtienen tus contraseñas:

    1. Pueden adivinar tu contraseña:
      • Utilizando tu información personal, como fechas importantes, nombres, citas famosas, canciones u obras que te gustan
      • Usando un diccionario
      • Cambiando ligeramente contraseñas que hayas usado antes
      • Usando software para probar todas las posibles combinaciones y desbloquear tus contraseñas
    2. Pueden buscar:
      • Dónde están escritas tus contraseñas (como notas alrededor de tu escritorio)
      • Lo que estás escribiendo cuando introduces tu contraseña
      • Contraseñas que ya han sido comprometidas y están disponibles en línea
    3. Pueden engañarte para:
      • Instalar una aplicación de malware para grabar tu contraseña
      • Haciéndote escribir tu contraseña en una página falsa de inicio de sesión a través de phishing
      • Proporcionar tus contraseñas u otra información haciéndose pasar por una persona de soporte o alguien que conoces (también conocido como ingeniería social)
    4. Estas personas explotan vulnerabilidades:
      • Hackean el sitio web que contiene la contraseña que utilizas
      • Robar tu contraseña si está almacenada en tu navegador
      • Robar tu contraseña de las aplicaciones que utilizas en tu teléfono

    Sigue estas pautas para protegerte contra esas tácticas:

    • Siempre utiliza un dispositivo limpio, actualizado y protegido en el que confíes para acceder a tus cuentas y abrir tu información sensible.

    • Ten en cuenta que las siguientes estrategias, por sí solas, NO hacen que tus contraseñas sean seguras:

      • Usar palabras o números relacionados contigo, con personas u organizaciones a tu alrededor, como:
        • Nombres de personas, mascotas u organizaciones
        • fechas de nacimiento, aniversarios importantes o días festivos
        • números de teléfono o direcciones
        • o cualquier otra información que una persona pueda descubrir investigándote a ti o a las personas que te rodean
      • Usar frases comunes, como citas famosas, letras de canciones y poemas.
      • Reemplazar caracteres con un símbolo similar (por ejemplo, reemplazar "a" con "@", etc.)
      • Añadir signos de exclamación, números u otros signos de puntuación al final
      • Comenzar Cada Palabra Con Letras Mayúsculas
      • Usar palabras individuales que se encuentren en cualquier diccionario
      • Cambiar las contraseñas con frecuencia

    Sigue estas pautas para protegerte contra esas tácticas:

    Utilizar un gestor de contraseñas

    • Obtén KeePassXC (para Linux, Mac o Windows), KeePassDX (para Android), o StrongBox (para iOS).
    • NO reutilices contraseñas.
    • Permite que el gestor de contraseñas genere y guarde una contraseña larga, aleatoria y única para cada uno de tus inicios de sesión.
    • Puede que desees configurar gestores de contraseñas junto con tus colegas. Pueden ayudarse mutuamente en el proceso.
      • Puede que desees familiarizarte con el proceso de compartir contraseñas de manera segura. Sin embargo, siempre que sea posible, es más seguro configurar inicios de sesión separados para diferentes cuentas en lugar de tener una única cuenta y tener que compartirla con su contraseña.
    • Lee nuestras guías sobre KeePassXC y KeePassDX.
    • Si necesitas un gestor de contraseñas en línea, consulta la sección a continuación.
    Aprende por qué recomendamos esto

    Ningún cerebro humano es lo suficientemente poderoso como para desarrollar y recordar suficientes contraseñas largas, aleatorias y únicas para mantener seguros todos sus dispositivos y cuentas. Un gestor de contraseñas genera y almacena estas contraseñas por ti, protegiéndolas con cifrado.

    Recomendamos KeePassXC, KeePassDX, y StrongBox. Son gratuitos, han sido verificados como seguros por expertos de la comunidad y continúan siendo actualizados. Almacenan contraseñas en una base de datos sin conexión, lo que significa que tienes control sobre dónde se almacenan los datos y cómo se gestionan.

    Realiza copias de seguridad de la base de datos de tu gestor de contraseñas

    Aprende por qué recomendamos esto

    Al igual que con cualquier contraseña individual, perder muchas de tus contraseñas de golpe podría causar desde una molestia hasta una pérdida catastrófica de comunicación con tus contactos o de tus finanzas. Practica hacer copias de seguridad de tu base de datos regularmente.

    Recuerda algunas contraseñas seguras

    • Utiliza el método de diceware para generar contraseñas para tu gestor de contraseñas y otras contraseñas que debas recordar (como la contraseña para desbloquear tu gestor de contraseñas o dispositivos):
      • Obtén una lista de palabras numeradas y algunos dados.
      • Tira los dados cinco veces para obtener un número de cinco dígitos (por ejemplo, 6, 2, 5, 1, 1).
      • Utiliza la palabra de la lista que corresponde al número obtenido.
      • Repite este proceso cinco veces. Utiliza esas cinco palabras como una "frase de contraseña" para un inicio de sesión.
        • No reutilices esta frase de contraseña en ningún otro lugar.
      • A continuación, crea una imagen mental utilizando las palabras, en orden, lo cual te ayudará a recordar la frase
    • Practica introducir estas contraseñas regularmente, diariamente al principio y luego al menos una vez a la semana. La repetición te ayudará a memorizar estas contraseñas.
    Aprende por qué recomendamos esto

    Habrá algunas contraseñas que debas memorizar, incluyendo la contraseña maestra de tu gestor de contraseñas. Existen estrategias que pueden ayudarte a crear contraseñas que sean fáciles de recordar pero extremadamente difíciles de adivinar, incluso para un atacante hábil con software de "cracking" de contraseñas.

    Si hay contraseñas o códigos de respaldo que necesitas mantener fuera de tu gestor de contraseñas

    • Si debes escribir contraseñas en papel, guárdalas en un lugar seguro y cerrado, como una caja fuerte o un cajón de escritorio.
      • Es importante que tus contraseñas no sean visibles para quienes pasen por allí ni fáciles de encontrar y copiar.
      • No las guardes en tu billetera.
    • Destruye minuciosamente cualquier copia en papel de contraseñas o códigos de respaldo tan pronto como ya no los necesites.
    • Alternativamente, puedes mantener esas contraseñas en otro dispositivo. Puedes ocultarlas entre otras notas sin explicación ni descripción.
    Aprende por qué recomendamos esto

    Las contraseñas largas pueden ser difíciles de recordar, ciertamente. Para contraseñas que quizás no puedas guardar en tu gestor de contraseñas (como las que desbloquean tus dispositivos), considera escribirlas y protegerlas con un candado físico.

    Si decides utilizar un gestor de contraseñas en línea

    • Evita almacenar información de cuentas altamente sensibles (como accesos a cuentas financieras o de recuperación) en la base de datos en línea.
    • Protege el acceso a tu base de datos en línea con autenticación de dos factores.
    • Recomendamos Bitwarden como un gestor de contraseñas en línea.
    Aprende por qué recomendamos esto

    Los gestores de contraseñas que se sincronizan automáticamente entre dispositivos en línea pueden ser más fáciles de usar. Almacenan tu base de datos de contraseñas cifrada en servidores. Sin embargo, los gestores de contraseñas en línea presentan un riesgo adicional de que una persona atacante pueda descifrar tu base de datos y acceder a tus contraseñas sin que lo sepas.

    Recomendamos KeePassXC, KeePassDX y StrongBox porque no almacenan tus contraseñas en línea. Si decides utilizar un gestor de contraseñas en línea, recomendamos seguir estos pasos para una protección adicional de contraseñas.

    Si necesitas compartir contraseñas

    • Evita compartir contraseñas siempre que sea posible:
      • Si debes compartir una contraseña con un amigo, familiar o colega, cámbiala a algo temporal y comparte esa contraseña. Cámbiala nuevamente a algo seguro cuando terminen de usarla.
      • Considera crear cuentas separadas para cada persona que necesita acceso; muchos servicios permiten hacerlo. Puedes limitar las acciones que estas cuentas pueden realizar y lo que pueden ver. Consulta las guías de seguridad básica para Android, iOS, Linux, Mac y Windows para obtener instrucciones sobre cómo hacerlo.
      • Configura tu gestor de contraseñas para poder utilizarlo de manera colaborativa. KeePassXC permite hacerlo
    Aprende por qué recomendamos esto

    Cada vez que compartes una contraseña, es como si hubieras hecho una copia adicional de tu llave y la hubieras regalado, o como si hubieras dejado puertas y ventanas abiertas a los ladrones. De hecho, es más arriesgado que eso, porque muchas de tus "puertas" y "ventanas" pueden ser fácilmente accedidas por dispositivos a distancia sin que lo notes. Reduce esta "superficie de ataque" de puertas abiertas evitando compartir contraseñas siempre que sea posible.

    No proporciones tu contraseña cuando alguien te envíe un correo electrónico, te llame o te envíe un mensaje

    • Ve a la aplicación o sitio web del servicio que supuestamente te envió el mensaje para verificar la solicitud.
    • Si parece que la persona u oficina que te envió el mensaje es alguien que conoces, contáctalos a través de otro medio para verificar si hicieron la solicitud.
      • Por ejemplo, si el mensaje fue un correo electrónico, llámalos.
      • No hagas clic en los enlaces del correo electrónico ni respondas.
    • Ten cuidado cuando un mensaje intente asustarte, despertar tu curiosidad, hacerte sentir que te perderás una oportunidad o de alguna otra manera te inste a actuar rápidamente y sin pensar. Detente, mantén la calma y busca otras formas de verificar mensajes como estos.
    Aprende por qué recomendamos esto

    Quienes atacan a menudo pretenden ser alguien que no son, como un banco o un representante de soporte técnico, para convencernos de que les proporcionemos información sensible. También suelen jugar con nuestras emociones y la naturaleza humana para hacer que les demos contraseñas cuando no deberíamos hacerlo.

    Si recibes una llamada, correo electrónico o mensaje que solicita tu contraseña u otra información sensible, o si un enlace en un correo electrónico o mensaje de texto te pide esta información, es muy probable que alguien esté tratando de engañarte.

    Cuándo cambiar tu contraseña

    Change your password immediately when:

    • it appears your account, devices, or colleagues and people around you have been victims of a breach.
    • you get a credible warning from the services you use that there was an attempt to log in from an unauthorised device or location.
      • Look for news reports about breaches.
      • If you receive an email or alert, double-check on the service provider's own website that they sent the alert.
    • you entered your password on an untrusted, shared, or public device (it might have malicious code installed).
    • you are concerned that someone watched you type your password.

    Minimiza el daño advirtiendo a otras personas que también puedan haber sido afectadas.

    Consulta nuestras guías sobre redes sociales y las guías de seguridad básica para Android, iOS, Linux, Mac y Windows para obtener instrucciones sobre cómo cambiar las contraseñas de tus dispositivos.

    Aprende por qué recomendamos esto

    La investigación demuestra que cambiar tu contraseña repetidamente no necesariamente mejora la seguridad. Cuando se requiere a las personas cambiar sus contraseñas con frecuencia, tienden a realizar cambios pequeños en la contraseña en lugar de crear una contraseña completamente nueva. Puedes obtener más información sobre la investigación aquí.

    Es más importante cambiar tus contraseñas cuando se produce una brecha de datos. Dado que no siempre sabemos cuándo se ha filtrado información, recomendamos cambiar las contraseñas cada pocos meses a un año, o inmediatamente cuando haya motivos para creer que pueden estar comprometidas.

    Ten en cuenta dónde te encuentras y quién puede verte

    • Si estás en un espacio público y escribes tu contraseña, ten en cuenta si puedes ser visto o grabado.
    • Verifica si alguien está observando tu teclado o teléfono mientras escribes tus contraseñas.
    • Utiliza una pantalla protectora de privacidad para dificultar la visualización de lo que estás escribiendo.
    Aprende por qué recomendamos esto

    Los adversarios pueden vigilar y grabarte al introducir una contraseña. A una activista le confiscaron su teléfono móvil bajo una falsa acusación de sedición. Su dispositivo móvil estaba bloqueado con una contraseña que se negó a proporcionar, pero los fiscales lograron desbloquear su teléfono y acceder a sus datos estudiando sus rutinas diarias. Notaron una cámara de seguridad en el ascensor de su edificio y pudieron obtener un video de ella escribiendo las contraseñas.

    Utiliza la autenticación de dos factores (2FA o MFA)

    • Verifica qué servicios ofrecen la autenticación de dos factores (2FA).
    • Es crucial configurar la autenticación de dos factores (2FA) para:
      • tus cuentas bancarias o aplicaciones de dinero
      • cuentas como tu dirección de correo electrónico, redes sociales u otras que necesitas para recuperar otras cuentas
    • Tus opciones de 2FA pueden incluir:
      • Utilizar una aplicación o programa de autenticación como Google Authenticator, Okta o Duo. Recomendamos la aplicación Aegis en Android o la aplicación Raivo OTP en iOS/iPhone.
        • Cuando utilizas esta opción, es importante proteger tu teléfono móvil contra el malware.
      • Utilizar un dispositivo hardware, a menudo llamado token de seguridad, dongle o "llave" USB, que puedes conectar a tu dispositivo o configurar para utilizar NFC (comunicación de campo cercano).
        • Algunos ejemplos son Yubikey, Nitrokey, Google Titan Key y Thetis Key
        • Los dispositivos hardware pueden no ser utilizables en dispositivos móviles.
    • Puedes utilizar una aplicación de autenticación o dispositivo hardware para varios servicios, o configurar diferentes servicios con diferentes formas de 2FA para una protección adicional.
    • Una vez que configures tu dispositivo para la autenticación de dos factores, las dos primeras opciones no requieren una conexión a Internet para generar códigos. El uso del correo electrónico para la autenticación de dos factores requerirá una conexión a Internet.
    • Clasificando las opciones de autenticación de dos factores en orden de seguridad, una aplicación de autenticación o un dispositivo hardware son las más seguras, seguidas por el correo electrónico y luego por los SMS. Además, los SMS pueden no llegar si te encuentras en otro país o sin cobertura.
      • Los mensajes de texto SMS no están cifrados y quienes atacan han interceptado con éxito estos códigos de un solo uso en su camino hacia el teléfono de la víctima.
    • Una vez que hayas configurado la autenticación de dos factores, cuando ingreses tu nombre de usuario y contraseña, también utilizarás esta forma adicional de demostrar que eres quien dices ser, ya sea insertando tu llave, ingresando un código de tu autenticador o introduciendo el código que te envían.
    • No desactives la autenticación de dos factores una vez que la hayas configurado. Algunos servicios pueden ofrecerte la opción de desactivarla temporalmente por conveniencia, pero considera el impacto que esto podría tener en tu seguridad.
    Aprende por qué recomendamos esto

    Cuando se trata de inicios de sesión, es más seguro tener múltiples capas de protección. Si la primera capa de protección es vulnerada, puedes confiar en la segunda para proteger tus activos digitales. La autenticación multifactor o de dos factores (MFA o 2FA) utilizando otro dispositivo o correo electrónico proporciona estas capas adicionales de protección. Aunque muchas personas encuentran conveniente el uso de mensajes de texto (también conocidos como SMS), es la opción menos segura para 2FA.

    El uso de la autenticación de dos factores (2FA) puede parecer incómodo, pero recuerda: lo que es ligeramente incómodo para ti es mucho más incómodo para los delincuentes y otras personas que puedan intentar acceder a tu cuenta. Tener tus cuentas robadas, secuestradas o vigiladas por personas maliciosas sería un inconveniente mucho mayor a largo plazo.

    Mantén los códigos de respaldo de la autenticación de dos factores (2FA) seguros y separados

    • Si te proporcionan códigos de respaldo cuando configuras la autenticación de dos factores (2FA), almacena estos códigos en un gestor de contraseñas.
    • Idealmente, para mantener estos códigos separados de otra información que podría utilizarse para acceder a tus cuentas, crea una base de datos separada en KeePassXC y guárdala en otro dispositivo.
    Aprende por qué recomendamos esto

    La mayoría de los servicios en línea te proporcionarán una lista de códigos de respaldo cuando habilitas por primera vez la autenticación de dos factores para tu cuenta. Estos códigos son tu forma de volver a tu cuenta si pierdes el acceso al dispositivo que estás utilizando para la autenticación de dos factores. Los códigos no tienen fecha de vencimiento. Es importante mantener los códigos de respaldo seguros, ya que cualquiera que tenga tu contraseña puede acceder a tu cuenta utilizando cualquiera de los códigos.

    Evita el desbloqueo mediante huella digital o reconocimiento facial (biometría)

    • Si tu dispositivo está configurado para desbloquearse mediante reconocimiento facial o huella digital, cambia la configuración para utilizar el desbloqueo por contraseña en su lugar.
    • Consulta las guías de seguridad básica para Android, iOS, Linux, Mac y Windows para obtener instrucciones sobre cómo hacer esto.
    Aprende por qué recomendamos esto

    La biometría puede hacer que el acceso a tus dispositivos sea más rápido, utilizando tus características personales como huellas dactilares o el rostro. Sin embargo, generalmente es una forma menos segura de bloquear tu dispositivo y cuenta. A diferencia de una contraseña, no puedes cambiar tu huella digital cuando quieras. Muchas personas están obligadas a proporcionar información biométrica en aeropuertos, oficinas gubernamentales, etc. Esto crea un riesgo potencial de que alguien pueda acceder a tus cuentas sin tu consentimiento. Si tus adversarios te retienen físicamente o te obligan, puede ser aún más fácil para ellos desbloquear tus dispositivos de lo que sería si bloquearas tu dispositivo con una contraseña.

    Establece preguntas de recuperación más seguras

    Muchos servicios web solicitan "preguntas de seguridad" o "preguntas de recuperación" al crear una cuenta. Para hacer menos probable que alguien pueda adivinar estas preguntas:- Proporciona respuestas falsas y no relacionadas con estas preguntas.- Incluso puedes utilizar otro código aleatorio y único generado por tu gestor de contraseñas.- Guarda tus respuestas y otra información falsa en tu gestor de contraseñas para que no te quedes bloqueado.

    Aprende por qué recomendamos esto

    Recovery questions are important to helping services verify your identity if they suspect someone else is trying to access your account. You use these answers to change your password in case you lose access to your account. Unfortunately, your answers to questions like "What town were you born in?" or "What is your pet's name?" can be easy to find online. By giving fake answers, you can make it harder for an attacker to hijack your account.

    Lecturas adicionales