Crear y mantener contraseñas fuertes

Actualizado22 March 2018

Tabla de contenido

...Loading Table of Contents...

    Muchas aplicaciones y servicios requieren una contraseña. Las contraseñas permiten que nos sintamos seguros al usar tecnología digital para hacer cosas que solamente nosotros deberíamos poder hacer: iniciar sesión en nuestras computadoras y enviar correo electrónico, por ejemplo, o encriptar datos delicados. Estas palabras, frases o secuencias secretas de galimatías a menudo son la única barrera entre nuestra información y quienes quieren leerla, copiarla, modificarla o destruirla sin nuestra autorización. También dependemos de contraseñas para impedir que otros se hagan pasar por nosotros en medios sociales y otras plataformas en línea. Los atacantes usan diversos trucos cuando tratan de saber nuestras contraseñas, pero podemos defendernos de gran parte si aplicamos algunas tácticas específicas y si usamos un administrador seguro de contraseñas.

    Qué puedes aprender de esta guía

    • Elementos de una contraseña segura
    • Algunos trucos para recordar contraseñas largas y complicadas
    • Razones por las que deberías usar un administrador seguro de contraseñas en lugar de recordarlas
    • Lo que puedes hacer, además de elegir una contraseña fuerte, para proteger tus cuentas y tu información

    Elegir y mantener contraseñas seguras

    Cuando quieres proteger algo, los guardas con un candado. Los candados de bicicletas tienen llaves físicas, las tarjetas bancarias tienen números de clave, las cuentas de correo electrónico tienen contraseñas y los archivos protegidos tienen claves de encriptación. Ya sean físicas o virtuales, todas estas claves tienen algo en común: abren sus respectivas cerraduras de manera igualmente efectiva si están en manos de otra persona. Puedes evitar el malware, encriptar tus archivos, comunicarte de manera segura y ocultar tu tráfico en línea, pero nada funcionará bien si tu contraseña es débil o si cae en las manos equivocadas.

    Elementos de una contraseña fuerte

    Una contraseña debe ser difícil de adivinar para un programa de computadora.

    • Que sea larga: Cuanto más larga es una contraseña, es menos probable que un programa de computadora pueda adivinarla en un periodo razonable. Algunas personas usan como contraseñas frases que contienen varias palabras, con o sin espacios. Las frases como contraseñas son una excelente idea para servicios que permiten contraseñas largas.

    • Que sea complicada: Además de longitud, la complejidad de una contraseña también evita que un software automático para 'descrifrar contraseñas' adivine la combinación correcta de caracteres. Cuando sea posible, debes incluir mayúsculas, minúsculas, números y símbolos en tu contraseña. Ver la sección Matemática de contraseñas más abajo para saber más al respecto.

    Una contraseña debe ser tan difícil que no se pueda deducir.

    • Que no sea personal: Tu contraseña no se debe relacionar contigo personalmente. No elijas una palabra o frase que se base en información como tu nombre, fecha de nacimiento, número de teléfono, nombre de tus hijos, nombre de tu mascota ni nada similar que alguien puede averiguar si te investiga un poco. Es también buena idea brindar respuestas falsas a las "preguntas de seguridad" que algunos servicios usan para verificar tu identidad si olvidas tu contraseña. Esto impide que otros busquen tu información en línea y se hagan pasar por ti. Los administradores seguros de contraseñas son útiles para registrar esas respuestas falsas.

    • Que sea secreta: No compartas tu contraseña con otros a menos que sea absolutamente necesario. Si debes compartir una contraseña con un amigo, familiar o colega, primero debes cambiarla a una contraseña temporal y comparte esa, luego cámbiala de nuevo cuando ya no se use más. A menudo, hay alternativas para compartir una contraseña, como crear una cuenta separada para cada persona que necesite acceso. Mantener tu contraseña secreta también significa prestar atención a quién puede estar leyendo sobre tus hombros cuando la estés escribiendo.

    • Que sea práctica: Si debes escribir tu contraseña porque no puedes recordarla, tal vez termines enfrentando una nueva categoría de amenazas que te dejan vulnerable ante cualquier persona con una visión clara de tu escritorio o acceso temporal a tu casa, tu cartera o el basurero afuera de tu oficina. Si no puedes pensar en una contraseña que sea larga y compleja, pero a la vez memorable, echa un vistazo a la sección Recordar contraseñas seguras más abajo. Como alternativa, puedes elegir una contraseña fuerte, registrarla en un administrador seguro de contraseñas como KeePassX o KeePassXC y deja de memorizarla. Los administradores de contraseñas están diseñados específicamente con este fin. No debes guardar tus contraseñas en un archivo común y corriente, ni siquiera uno que diga que está encriptado.

    Se debe elegir una contraseña para minimizar el perjuicio si alguien la averigua.

    • Que sea única: Evita usar la misma contraseña para más de una cuenta. De otro modo, cualquier persona que averigüe tu contraseña tendrá acceso a servicios adicionales y a la información que contienen. Por las mismas razones, es mala idea rotar contraseñas e intercambiarlas entre diferentes cuentas. Que sea única es particularmente importante en estos días, pues más y más sitios web están en riesgo y tienen sus bases de datos de contraseñas expuestas en línea. Echa un vistazo al sitio web del investigador de seguridad Troy Hunt Have I Been Pwned? (¿Me han derrotado?) para ver ejemplos específicos y para ver si tus contraseñas han sido filtradas (pero ten en cuenta que muchos fallos en las cuentas no se descubren, así que de todas maneras debes mejorar tus contraseñas débiles aunque no aparezca ninguna cuenta tuya).

    • Que sea nueva: Cambia tus contraseñas importantes de vez en cuando. Cuanto más tiempo mantengas una contraseña, más oportunidades tendrán otros de averiguarla. Si alguien puede usar una contraseña robada sin tu conocimiento, seguirá usándola hasta que la cambies. Mientras tus contraseñas sean fuertes de manera diferente a las que se describen aquí, no tienes que hacer esto con frecuencia, pero sigue siendo buena idea cambiar tus contraseñas cada año más o menos.

    Recordar y registrar contraseñas seguras

    Si revisas las recomendaciones en la sección anterior, te puedes preguntar cómo alguien que no tenga una memoria fotográfica puede seguir la pista a contraseñas tan largas, complicadas y sin significado sin tener que anotarlas. La importancia de usar una contraseña diferente para cada cuenta hace que esto sea todavía más difícil. No obstante, hay trucos que te pueden ayudar a crear contraseñas que sean fáciles de recordar, pero extremadamente difíciles de adivinar, incluso para un atacante astuto con un poderoso software para 'descifrar contraseñas'. También tienes la opción de registrar tus contraseñas con una herramienta como KeePassX o KeePassXC, que fue diseñada específicamente para este fin.

    Recordar contraseñas seguras

    Nos es considerablemente más fácil recordar palabras que secuencias de caracteres aleatorios, pero las contraseñas basadas en una sola palabra son extremadamente fáciles de adivinar. Las computadoras pueden probar todas las palabras conocidas de un diccionario en un tiempo muy breve. Trabajando fuera de línea, una computadora promedio puede probar (aproximadamente)10,000 palabras en inglés en cuestión de segundos. Incluso en línea — sometidos a una demora de unos cinco segundos entre suposiciones — encontrar la contraseña correcta tomará apenas unas horas en promedio.

    Y, lamentablemente, incluir algunas letras en mayúsculas, reemplazar la "a" con "@" y poner un signo de exclamación al final no ayuda mucho. Los atacantes conocen esas técnicas, y los diccionarios para descifrar contraseñas incluyen todas estas variaciones. Puede aumentar el tiempo requerido para descifrar tu contraseña de uno a diez segundos, pero no está ni cerca de ser suficiente (y sí, estos diccionarios existen para todos los idiomas).

    Una técnica mejor es usar al menos seis palabras elegidas al azar para crear una frase como contraseña que sea segura y fácil de recordar. A esto se le conoce comúnmente como "diceware" (literalmente, software de dado) porque al comienzo se recomendaba a las personas que lanzaran un dado para elegir palabras de una lista formateada especialmente. Esto es importante porque los humanos somos malos para pensar las cosas aleatoriamente, y esos diccionarios para descifrar contraseñas también contienen frases famosas, letras de canciones, poemas y frases comunes.

    A continuación, algunos ejemplos de contraseñas de diceware:

    • pastel bruta tragedia remoto escarchado salón de juegos
    • AtractivamenteFrescaResilienteTormentaDeNieveRevisarAnormal
    • M!stificarTormentaDeNieveDesordenAjedrezRevertirPortal

    Por conveniencia, muchas personas usan generadores aleatorios de diceware, como el que viene incluido en KeePassXC. Pero la manera antigua funciona bastante bien si tienes cinco dados de seis caras a la mano.

    Registrar contraseñas de manera segura

    Con algo de imaginación y un poco de práctica, deberías poder recordar algunas contraseñas de diceware. Pero dada la gran cantidad de contraseñas que debemos tener en cuenta en estos días, tal vez debas evaluar usar también un administrador de contraseñas. Los administradores de contraseñas como KeePassX y KeePassXC te permiten generar contraseñas realmente aleatorias para la mayoría de tus cuentas y guardarlas en una base de datos portátil, encriptada para que no tengas que memorizarlas.

    Manos a la obra: empieza a usar KeePassX - administrador seguro de contraseñas [Windows] [Mac] [Linux]

    Cada vez que debas ingresar una contraseña para una cuenta específica, la puedes copiar y pegar de tu base de datos solamente con tu frase de seguridad maestra. Esto hace que sea más fácil seguir todas las recomendaciones en la sección anterior. KeePassX y KeePassXC también son portátiles, lo que significa que puedes poner tu base de datos en una unidad de memoria USB en caso que debas ingresar una contraseña cuando estés lejos de tu computadora principal. Dicho esto, solamente debes acceder a tu base de datos en computadoras en las que confíes. Si lo haces desde un dispositivo infectado con malware, todas tus contraseñas pueden quedar expuestas.

    Además, aunque probablemente es la solución más efectiva para quien debe tener una gran cantidad de cuentas, estos administradores de contraseñas también tienen inconvenientes.

    Primero, si extravías o borras la única copia de tu base de datos de contraseñas, perderás acceso a cualquier cuenta que administrabas. A diferencia de otros administradores de contraseñas, KeePassX y KeePassXC no guardan copia de tus datos en línea. Esto es una ventaja en términos de seguridad, pero también hace que sea extremadamente importante que hagas copias de respaldo a tu base de datos de contraseñas. Echa un vistazo a nuestra guía sobre cómo proteger los archivos delicados en tu computadora para mayor información. Afortunadamente, el hecho de que tu base de datos esté encriptada significa que no debes asustarte si pierdes una unidad de memoria USB o una unidad de respaldo en la que la hayas copiado. Debes cambiar tus contraseñas, por si acaso, pero en la medida en que hayas configurado una frase de contraseña maestra fuerte, deben estar a salvo mucho tiempo.

    Segundo, si te olvidas de tu frase de contraseña maestra, no hay manera de recuperarla ni el contenido de tu base de datos. Así que asegúrate de elegir frase de contraseña maestra que sea segura y fácil de recordar!

    Por último, es importante que protejas tu base de datos con una frase de contraseña maestra muy fuerte. Si alguien averigua esa frase y obtiene una copia de tu base de datos, podrá acceder a todas tus contraseñas en esa base de datos. Esto puede ocurrir si te obligan a entregar esta información o si tu computadora se infecta con malware (pero, por supuesto, el malware también puede registrar tus contraseñas mientras las tipeas). Algunas personas crean una base de datos de contraseñas separada para su información más delicada y toman precauciones adicionales. Nuestra guía de cómo proteger archivos delicados en tu computadora incluye algunas sugerencias al respecto.

    Aprovechar tus contraseñas al máximo

    En las secciones anteriores, analizamos contraseñas sobre todo en el contexto de cuenta en líneas. En realidad, las contraseñas se usan para controlar el acceso en muchas situaciones diferentes, hasta algunas que no incluyen "cuentas" en el sentido habitual. Los ejemplos incluyen acceder a tus dispositivos, encriptar tus datos y conectarte a redes inalámbricas. En algunos casos, estas contraseñas son opcionales. En otros casos, están configuradas a valores por defecto que pueden ser bastante débiles.

    • El software que inicia el sistema operativo en tu computadora se llama sistema básico de entrada-salida (BIOS, por su nombre en inglés). Puedes configurar una contraseña BIOS que sea diferente a tu cuenta normal de usuario. Hacerlo así causa que sea más difícil para alguien con acceso físico a tu computadora instalar software malicioso.

    • Cuando configures el router inalámbrico en tu casa u oficina, tal vez necesites una contraseña antes de conectarlo. Esto encripta en parte el tráfico entre tu dispositivo y el router, pero no protegerá ese tráfico de otros que estén usando el mismo router. Afortunadamente, sí impide que quienes no tengan tu contraseña inalámbrica husmeen a usuarios legítimos.

    • Tu enrutador tiene una cuenta de administrador (llamada generalmente "admin") que se puede usar para modificar o inhabilitar muchas configuraciones relacionadas con seguridad. Cada vez que tengas un nuevo enrutador, debes buscar la contraseña por defecto en la documentación, iniciar sesión y cambiar esa contraseña por otra más fuerte. Casi no usarás esta cuenta, así que mejor regístrala en un administrador seguro de contraseñas para que no la olvides.

    Preguntas para recuperar cuentas

    Muchos servicios web te hacen "preguntas de seguridad" cuando creas tu cuenta. Los ejemplos incluyen:

    • Tu fruta favorita
    • Dónde fuiste al colegio
    • El nombre de una calle donde viviste cuando niño
    • El apellido de soltera de tu madre

    Algunos servicios usan estas preguntas para verificar tu identidad si sospechan que otra persona está tratando de acceder a tu cuenta. En muchos casos, las respuestas a tus preguntas de seguridad también se pueden usar para cambiar tu contraseña en el caso que la olvides.

    A veces, esta información está disponible en línea, así que suele ser buena idea proporcionar respuestas falsas a estas preguntas. Sin embargo, deberás estar al tanto de tus respuestas falsas, en el caso en que el servicio decidiera que tu intento de conexión parece sospechoso (o en caso que realmente te olvides de tu contraseña). De nuevo, un administrador seguro de contraseñas es un excelente lugar para guardar estos detalles.

    Autenticación de dos factores

    Después de haber configurado contraseñas fuertes para todas tus cuentas, lo segundo más importante que puedes hacer para proteger esas cuentas es configurar autenticación de dos factores, que a veces tiene un nombre ligeramente menos indescifrable como verificación de dos pasos o abreviado como "2fa”, por su nombre en inglés. Más allá de cómo lo llames, la autenticación de dos factores significa que, además de una contraseña, deberás dar una segunda información para iniciar sesión. Afortunadamente, no debes memorizarla ni guardarla en una base de datos encriptadas.

    Esta segunda información es normalmente un breve código numérico que te puede llegar como mensaje de texto o ser generado por una aplicación en tu teléfono cada vez que tratas de intentar iniciar sesión. También la puede generar un dispositivo de hardware dedicado (a menudo llamado "token" o "llave electrónica"). Muchos de esos dispositivos dependen de una norma abierta llamada Universal 2nd Factor (U2f). De cualquier manera, recibirás un nuevo código cada vez que inicies sesión.

    Una aplicación de código abierta que muchos usan para generar esos códigos de un solo uso se llama FreeOTP. Está disponible para dispositivos iOS y Android (Google tiene su propia aplicación llamada Google Authenticator, pero cabe destacar que FreeOTP se puede usar para iniciar sesión en los servicios de Google también). Cuando estén configuradas para funcionar en tu cuenta, estas aplicaciones no necesitan conexión a internet para generar código válidos de autenticación de dos factores.

    Muchos servicios en línea te darán una lista de códigos de respaldo cuando habilites la autenticación de dos factores para una cuenta determinada. Estos códigos de respaldo son especiales porque nunca expiran. Es importante que los mantengas a salvo pues son tu única manera de regresar a tu cuenta si pierdes acceso a algún dispositivo que normalmente genera tus códigos de un solo uso. Y, por supuesto, quien tenga tu contraseña puede acceder a tu cuenta si la usa. Un administrador seguro de contraseñas es un excelente lugar para guardarlas.

    Una nota sobre uso de mensajes de texto para autenticación de dos factores. Si un servicio admite códigos de autenticación de dos factores en texto y en aplicaciones, debes usar las últimas. Los mensajes de texto no están encriptados, y los atacantes han logrado interceptar estos códigos de un solo uso en su camino al teléfono de destino.

    Matemáticas de contraseña

    Muchas contraseñas fuertes incluyen diferentes tipos de caracteres como letras en mayúscula, números y símbolos. Esto aumenta el "espacio de búsqueda" de posibles combinaciones que se deben probar por ataques de fuerza bruta que tratan de adivinar todas las contraseñas posibles hasta que encuentren una que funcione. Tú puedes expandir ese ámbito de búsqueda si aumentas la longitud de una contraseña con diferentes tipos de caracteres.

    Ataques de fuerza bruta

    Una contraseña compuesta de letras en minúscula, por ejemplo, tiene solamente 26 posibilidades por cada carácter que contiene. Con letras en mayúsculas y minúsculas la cantidad aumenta a 52. Agregar números y símbolos puede elevar el número a 78. Sin embargo, esto no significa que las contraseñas complejas sean tres veces más fuertes que las simples. Dependiendo de la longitud de la contraseña, puede ser miles y hasta millones de veces más fuerte.

    Esto se debe a la aritmética exponencial. En resumen, el espacio total de búsqueda se multiplica por la cantidad de caracteres posibles para cada carácter en la contraseña. Entonces, mientras una contraseña de ocho caracteres que usa solamente letras en minúsculas tiene cerca de 200 mil millones (26^8) de posibles combinaciones, una contraseña más compleja de ocho caracteres puede tener 5.000 veces esa cantidad (78^8 es más de un millón de billones). Esta diferencia aumenta más todavía en contraseñas más largas. Una contraseña compleja de 12 caracteres puede ser 500.000 veces más fuerte que una simple.

    Ataques de diccionario

    Los ataques de diccionario usan palabras (¡y v@r!aci0nes de palabra5!) como un atajo para descifrar contraseñas débiles más rápido. Hay menos de 10 000 palabras comunes en inglés. Hasta una contraseña simple en minúsculas puede ser más fuerte que usar solamente tres caracteres elegidos al azar (26^3 es más de 17,000). De nuevo, la aritmética exponencial nos ayuda con esto. Como se mencionó antes, en el análisis de contraseñas diceware, puedes crear una contraseña fuerte usando palabras en el diccionario en tanto elijas al azar al menos seis (10,000^6 es un trillón de trillones).

    La primera tabla de abajo estima cuánto tiempo le puede tomar a un atacante descifrar una lista de contraseñas diceware cada vez más largas. La segunda tabla muestra un conjunto similar de estimaciones para frases de contraseñas que se "revolvieron" con técnicas comunes. Como se puede ver, los "caracteres especiales" por sí solos no son suficientes para fortalecer una frase de contraseña débil. En realidad, hacen muy poca diferencia, a menos que la frase ya sea bastante larga.

    Frases de contraseña diceware:

    Ejemplo de contraseñaNúmero de combinacionesTiempo para descifrar
    Morada9,000Inmediato
    AlfombraMorada79 millonesMenos de un día
    AlfombraMoradaSalto699 mil millonesMenos de un día
    AlfombraMoradaSaltoGaraje6,000 trillonesCuatro días
    AlfombraMoradaSaltoGarajeTinte55 millones de trillonesCasi un siglo
    AlfombraMoradaSaltoGarajeTinteR4ro488 billones de trillones7,695 siglos

    Frases de contraseña diceware "revueltas":

    Ejemplo de contraseñaNúmero de combinacionesTiempo para descifrar
    M0r4d0177,000Menos de un día
    M0r4d04lf0mbr@47 billonesMenos de un día
    M0r4d04lf0mbr@Salto419 trillonesMenos de un día
    M0r4d04lf0mbr@SaltoG4raje37 millón de trillonesCasi un siglo
    M0r4d04lf0mbr@SaltoG4ragjP!nto3 trillones de trillones52,036 siglos
    M0r4d04lf0mbr@SaltoG4ragjP!ntoR4ro293,000 trillones de trillonesMás de cuatro billones de siglos

    Estas tablas se basan en cálculos de Passfault. Passfault es uno de varios sitios web que te permiten probar la fuerza tus contraseñas. Servicios confiables como este hacen cálculos en tu computadora y no envían nada a sus servidores. Pueden ser útiles para probar la efectividad relativa de diferentes estrategias de contraseñas, pero debes evitar enviar tus contraseñas reales.

    Lectura adicional