3. Crear y mantener contraseñas seguras

Tabla de contenido

...Loading Table of Contents...

    Muchos de los servicios seguros que nos permiten sentirnos cómodos utilizando la tecnología digital para conducir negocios importantes, desde ingresar a nuestras computadoras y enviar correos electrónicos hasta cifrar y esconder datos sensibles, requieren que recordemos una contraseña. Estas palabras secretas, frases o secuencias a menudo proporcionan la primera, y a veces la única, barrera entre tu información y cualquiera que pudiera leerla, copiarla, modificarla o destruirla sin permiso. Existen muchas maneras por las cuales alguien puede descubrir tus contraseñas, pero puedes defenderte de la mayoría de ellos aplicando unas cuantas tácticas y por medio de una herramienta de base de datos de contraseñas seguras, tales como el KeePass.

    Contexto

    Mansour y Magda son dos hermanos, en un país de habla árabe, quiénes mantienen una bitácora (blog) en la cual anónimamente hacen difusión sobre abusos de los derechos humanos y hacen campañas para un cambio político. Magda recientemente trató de conectarse a su cuenta de correo con interfaz web y se encontró con que su contraseña había sido modificada. Después de reestablecer la contraseña, ella fue capaz de conectarse, pero cuando abrió su buzón encontró que muchos mensajes nuevos fueron marcados como leídos. Ella sospecha que alguien afiliado a una organización de adversarios políticos pudiera haber descubierto o adivinado su contraseña, la cual utiliza para prácticamente todas sus cuentas web. Ella se reúne con Mansour, que tiene menor experiencia con computadoras, para explicarle la situación y expresarle su preocupación.

    ¿Qué puedes aprender de este capítulo?

    • Los elementos de una contraseña segura
    • Unos cuantos trucos para recordar contraseñas largas y complicadas
    • Cómo utilizar la base de datos de contraseñas seguras del KeePass para almacenar contraseñas en vez de recordarlas

    Seleccionar y mantener contraseñas seguras

    En general, cuando deseas proteger algo, lo cierras con una llave. Las cerraduras de las casas, automóviles y bicicletas tienen llaves físicas; los archivos protegidos tienen llaves de cifrado; las tarjetas bancarias tienen números PIN; y las cuentas de correo electrónico tienen contraseñas. Todas estas llaves, en forma literal y metafórica, tienen una cosa en común: abren sus respectivas cerraduras con la misma eficacia en manos de otra persona. Puedes instalar cortafuegos avanzados, cuentas de correo electrónico seguras, y discos cifrados, pero si tu contraseña es muy débil, o si permites que caiga en las manos equivocadas, las consecuencias pueden ser fatales.

    Elementos de una contraseña sólida

    Una contraseña debe ser difícil de adivinar para un programa de computadora.

    • Debe ser larga: Cuanto más larga es la contraseña es menos probable que sea adivinada por un programa de computadora en un tiempo razonable. Debes tratar de crear contraseñas que incluyan diez o más caracteres. Algunas personas utilizan contraseñas que contienen más de una palabra, con o sin espacios, las cuales son a menudo llamadas frases contraseña. Esta es una buena idea, en la medida que el programa o servicio que utilices te permita elegir contraseñas lo suficientemente largas.
    • Debe ser compleja: Además de ser extensa, la complejidad de una contraseña también ayuda a evitar que el software automático de 'descifrado de contraseñas' adivine la correcta combinación de caracteres. Donde sea posible, siempre debes incluir en tu contraseña letras en mayúsculas, en minúsculas, números, y símbolos tales como signos de puntuación.

    Una contraseña debe ser difícil de descifrar para otros.

    • Debe ser práctica: Si has escrito tu contraseña debido a que no puedes recordarla, podrías terminar afrontando una completamente nueva categoría de amenazas que te podría dejar vulnerable ante cualquiera con una clara vista de tu escritorio o acceso temporal a tu domicilio, tu billetera, o incluso el bote de basura fuera de tu oficina. Si eres incapaz de pensar en una contraseña que sea larga y compleja pero a la vez factible de ser recordada, la sección Recordar y registrar contraseñas seguras, que viene a continuación, podría ser de ayuda. Sino, debes todavía escoger algo seguro, pero necesitas registrarla utilizando una base de datos de contraseñas seguras tal como KeePass. Otros tipos de archivos protegidos por contraseña, incluyendo documentos de Microsoft Word, no debe ser confiados para este propósito, debido a que muchos de ellos pueden ser descifrados en segundos utilizando herramientas que son de libre acceso en Internet.
    • No debe ser personal: Tu contraseña no debe estar relacionada a ti de manera personal. No elijas una palabra o frase que se origina de información como tu nombre, número de seguridad social, número de teléfono, nombre de tu hijo(a), nombre de tu mascota, fecha de nacimiento, o cualquier otra cosa que una persona podría descubrir haciendo una pequeña investigación sobre ti.
    • Debe mantenerse secreta: No compartas tu contraseña con nadie a menos que sea absolutamente necesario. Y, si debes compartir una contraseña con un amigo, miembro de la familia o colega, debes cambiarla a una contraseña temporal primero, compartir esta, luego cambiarla nuevamente cuando la persona haya terminado de utilizarla. A menudo, existen alternativas para compartir una contraseña, tal como crear una cuenta separada para cada miembro que necesite acceso. El mantener tu contraseña secreta también implica poner atención a quién podría estar fisgoneándote cuando la ingresas o buscas en una base de datos de contraseñas seguras.

    Una contraseña debe ser escogida de modo que se minimice el daño si alguien la descubre.

    • Hazla única: Evita usar la misma contraseña para más de una cuenta. De otro modo, cualquiera que descubra dicha contraseña tendrá acceso a incluso mayor información sensible. Esto es particularmente cierto debido a que ciertos servicios hacen relativamente simple descifrar tu contraseña. Si utilizas, por ejemplo, la misma contraseña para tu cuenta de usuario de Windows y para tu cuenta de Gmail, alguien con acceso físico a tu computadora puede descifrar la primera y utilizarla para acceder a la segunda. Por razones similares, es una mala idea el rotar contraseñas intercambiándolas entre diferentes cuentas.
    • Mantenla siempre nueva: Cambia tu contraseña de manera regular, de manera preferente una vez cada tres meses. Algunas personas son muy apegadas a una contraseña en particular y nunca la cambian. Esta es una mala idea. Cuanto más tiempo mantienes una contraseña, existe mayor oportunidad de que otros la descubran. Además, si alguien es capaz de utilizar tu contraseña (robada) para acceder a tu información y servicios sin que lo sepas, está continuará haciéndolo hasta que la cambias.

    Mansour: ¿Qué ocurre en el caso que confíe en una persona? Está bien si te confío mi contraseña, ¿cierto?

    Magda: Bueno, en primer lugar, solo porque confíes en alguien para darle tu contraseña no significa que confíes en esa persona para cuidar de ella, ¿cierto? Aunque yo no haría nada malo con tu contraseña, podría escribirla y perderla o cualquier otra cosa. Después de todo, ¡esa podría ser la forma como me metí en este problema! Además, no todo es cuestión de confianza. Si tú eres la única persona que conoce la contraseña, entonces no tienes que perder el tiempo preocupándote de a quién culpar si alguien entró sin autorización a tu cuenta. En este momento, por ejemplo, en vez de estar interrogándolos, estoy casi seguro que alguien en realidad adivinó o 'descifró' mi contraseña.

    Recordar y registrar contraseñas seguras

    Examinando la lista de sugerencias dada anteriormente, te preguntarás cómo puede alguien sin memoria fotográfica estar al tanto de contraseñas que son largas, complejas y sin sentido, si es que no las escribe. La importancia de utilizar diferentes contraseñas para cada cuenta lo hace aún más difícil. Sin embargo, existen algunos trucos que pueden ayudarte a crear contraseñas que son fáciles de recordar pero extremadamente difíciles de adivinar, incluso para una persona inteligente utilizando un programa avanzado de 'descifrado de contraseñas'. También tienes la opción de registrar tus contraseñas utilizando una de las bases de datos de contraseñas seguras, tal como el KeePass, que fue específicamente creado para este propósito.

    Recordar contraseñas seguras

    Es importante utilizar diferentes tipos de caracteres cuando escojas una contraseña. Esto se puede realizar de distintas maneras:

    • Utilizando mayúsculas y minúsculas, tal como: 'Mi nomBRE NO es SR. MarSter?'
    • Intercalando números y letras, tal como: 'a11 w0Rk 4nD N0 p14Y'
    • Incorporando ciertos símbolos, tal como: 'c@t(heR1nthery3'
    • Utilizando diferentes idiomas, tal como: 'Let Them Eat 1e gateaU du ch()colaT'

    Cualquiera de estos métodos puede ayudarte a incrementar la complejidad de una contraseña. Obviamente, esto no hará fácil de recordar una contraseña normal, pero te permitirá elegir una contraseña más segura sin tener que entregarte completamente a la idea de memorizarla por completo. Algunas de las sustituciones más comunes (tales como utilizar cero en vez de una 'o' o el símbolo '@' en lugar de 'a') fueron hace mucho incorporados en las herramientas de descifrado de contraseñas, pero aún así son todavía una buena idea. Estas incrementan la cantidad de tiempo que dichas herramientas requerirían para descubrir la contraseña y, en las situaciones más comunes en las que herramientas de esta clase no pueden ser utilizadas, estás evitan las afortunadas adivinanzas.

    Las contraseñas pueden también aprovechar las ventajas de códigos nemotécnicos más tradicionales, tales como el uso de acrónimos. Esto permite que largas frases se conviertan en palabras complejas y prácticamente aleatorias:

    • '¿Ser o no ser? Esa es la pregunta' se convierte en 'So-S?ElaP'
    • 'Sostenemos como evidentes por sí mismas dichas verdades: que todos los hombres son creados iguales' se convierte en 'Scepsmdv:q’thsc=s'
    • '¿Estás feliz hoy?' se convierte en 'tas:-)h0y?'

    Estos son sólo unos cuantos ejemplos para ayudarte a desarrollar tu propio método de cifrar palabras y frases para hacerlas simultáneamente complejas y memorables.

    Un poco de esfuerzo para hacer que una contraseña sea mas compleja es muy eficaz. Incrementar la longitud de una contraseña, incluso por unas pocas cifras, hace que sea mucho mas difícil de descifrar. A fin de demostrar, la tabla abajo muestra cuanto más tiempo tardaría un pirata infromatico en descifrar una lista de contraseñas parecidas pero cada vez mas complejas.

    Ejemplo de contraseñaTiempo para descifrar con una computadora normalTiempo para descifrar con una computadora muy rápida
    bananasMenos de 1 díaMenos de 1 día
    bananalemonade2 díasMenos de 1 día
    BananaLemonade3 meses, 14 díasMenos de 1 día
    B4n4n4L3m0n4d33 siglos, 4 décadas1 mes, 26 días
    We Have No Bananas19151466 siglos3990 siglos
    W3 H4v3 N0 B4n4n4520210213722742 siglos4210461192 siglos

    Desde luego, el tiempo que es tardaría para descifrar cualquier de las contraseñas arriba mencionadas variaría mucho, dependiendo de la naturaleza del ataque, y los recursos disponibles al antagonista. Además, nuevos métodos para descifrar contraseñas son descubiertos constantemente. Sin embargo, este ejemplo sí demuestra como las contraseñas llegan a ser mucho más difíciles de descifrar a través de simplemente variar las cifras y utilizar dos palabras o, aún mejor, una frase corta.

    Los datos de la tabla están basados en los cálculos de Passfault. Passfault es un sitio web entre varios otros en los cuales puedes probar la seguridad de tus contraseñas. Mientras tales recursos son útiles para demostrar la eficiencia de diferentes tipos de contraseñas, sin embargo no debes introducir tus verdaderas contraseñas en estas páginas.

    Registrar contraseñas de forma segura

    Mientras que un poco de creatividad te permitirá recordar todas tus contraseñas, la necesidad de cambiarlas periódicamente significa que muy pronto se te puede acabar la creatividad. Como alternativa, puedes generar contraseñas aleatorias y seguras para la mayoría de tus cuentas y simplemente dedicarte a recordarlas todas. En lugar de ello, puedes registrarlas en una base de datos de contraseñas seguras portátil y cifrada tal como el KeePass.

    Parte Práctica: Empieza con la Guía del KeePass

    Por supuesto, si utilizas este método, se hace especialmente importante que crees y recuerdes una contraseña muy segura para el KeePass, o cualquiera que sea la herramienta que elijas. Cuando sea que necesites ingresar una contraseña para una cuenta específica, puedes encontrarla utilizando sólo tu contraseña maestra, la cual hace más fácil seguir todas las sugerencias que se hicieron anteriormente. El KeePass es también portátil, lo que significa que también puedes colocar tu base de datos en una memoria extraíble USB en caso necesites buscar contraseñas cuando estás alejado de tu computadora principal.

    Aunque es probablemente la mejor opción para cualquiera que tenga que mantener un gran número de cuentas, existen algunos inconvenientes para este método. Primero, si pierdes o accidentalmente borras tu única copia de tu base de datos de contraseñas, no tendrás más acceso a ninguna de tus cuentas de las cuales esta tenía la contraseña. Esto hace extremadamente importante que hagas una copia de seguridad o respaldo de tu base de datos del KeePass. Revisa el capítulo 5. Recuperar información perdida para mayor información sobre estrategias para la copia de seguridad o respaldo. Felizmente, el hecho que tu base de datos esté cifrada significa que no tienes que entrar en pánico si pierdes tu memoria extraíble USB o una unidad de respaldo que contenga una copia de este.

    El segundo gran inconveniente podría ser más importante. Si olvidas tu contraseña maestra del KeePass, no existe un modo de recuperarla o recuperar los contenidos de tu base de datos. Por tanto, ¡asegúrate de escoger una contraseña maestra que sea tanto segura como memorable!

    La fortaleza de este método, en ciertos casos, puede convertirse en su debilidad. Si alguien te obliga a desvelar tu contraseña maestra de base de datos Keepass, ellos tendrán acceso a todas las contraseñas almacenadas en la base de datos Keepass. Si esta es una situación que te puedes encontrar, podrías tratar a tu base de datos Keepass como un archivo sensible, y protegerlo como se describe en el Capítulo 4: Proteger los archivos sensibles en tu computadora. También puedes crear una base de datos Keepass separada para contener las contraseñas que protegen la información más sensible y tomar precauciones adicionales con la base de datos.

    Mansour: Espera un minuto. Si el KeePass utiliza una sola contraseña maestra para proteger todas tus demás contraseñas, ¿cómo es más seguro simplemente utilizar la misma contraseña para todas tus cuentas? Es decir, si una mala persona toma conocimiento de mi contraseña maestra, entonces tendrá acceso a todo, ¿cierto?

    Magda: Es un buen razonamiento, y tienes razón al decir que proteger tu contraseña maestra es en verdad importante, pero existen un par de diferencias claves. En primer lugar, esta 'mala persona' no solo necesitaría tu contraseña, él también necesitaría tu archivo de base de datos del KeePass. Si tú simplemente compartes la misma contraseña con todas tus cuentas, el simplemente necesitaría sólo tu contraseña. Más importante aún, sabemos que el KeePass es extremadamente seguro ¿verdad?. Algunos de los programas son mucho menos seguros que otros, y no quieres que alguien entre a un sitio débil, y luego llevar lo que aprendió para acceder a una cuenta más segura. Y hay otro tema, KeePass hace que sea fácil cambiar tu contraseña maestra si lo crees necesario. ¡Sería tan afortunado! Me pasé todo el día actualizando mis contraseñas.

    Lecturas Adicionales