Crear y mantener contraseñas seguras
Actualizado28 March 2024
Tabla de contenido
... Cargando Tabla de Contenido...Las contraseñas son herramientas importantes para mantener seguros tus datos y tu identidad. Desafortunadamente, quienes atacan son conscientes de esto y tienen muchos trucos que pueden utilizar para descubrir tus contraseñas.
Pero puedes defenderte contra esos trucos aplicando algunas herramientas y tácticas importantes.
Protege tus contraseñas
- Utiliza siempre un dispositivo seguro, actualizado, protegido y de confianza para acceder a tus cuentas y gestionar tu información sensible, incluidas las contraseñas. Lee las guías sobre Teléfonos y ordenadores para saber cómo asegurarte de que tu dispositivo es seguro.
- Utiliza un gestor de contraseñas. Ningún cerebro humano es lo suficientemente potente como para desarrollar y recordar contraseñas lo suficientemente largas, aleatorias y únicas como para mantener seguros todos tus dispositivos y cuentas. Un gestor de contraseñas genera y almacena estas contraseñas por ti, protegiéndolas con cifrado. Obtenga más información sobre qué gestores de contraseñas puede utilizar y cómo utilizarlos en nuestra guía sobre gestores de contraseñas.
- Utiliza la autenticación de dos factores (2FA o MFA). La autenticación de dos factores (2FA), también llamada autenticación multifactor (MFA), añade un segundo factor de autenticación a tu sistema de inicio de sesión. Utilizando 2FA, puedes asegurarte de que aunque alguien consiga adivinar tu contraseña, no pueda iniciar sesión porque sigue necesitando un segundo factor más difícil de conseguir. Para aprender a utilizar 2FA de la forma más segura, lee nuestra guía sobre autenticación de dos factores.
Lee las siguientes secciones para saber más sobre cómo proteger tus contraseñas y cuentas de los ataques más comunes.
Crear una contraseña más segura
En resumen, te sugerimos que crees todas las contraseñas que necesites con un gestor de contraseñas offline y que sólo tengas unas pocas frases de contraseña más largas que puedas recordar para desbloquear el dispositivo donde has instalado tu gestor de contraseñas y la base de datos del gestor de contraseñas.
Si prefieres crear todas tus contraseñas manualmente, esto es lo mínimo que debes hacer para asegurarte de que tu contraseña es lo suficientemente segura:
- Crea una contraseña larga: 12 caracteres es el mínimo al que deberías aspirar. 14 es incluso mejor.
- Usa letras, números y símbolos.
- Ten en cuenta que las siguientes estrategias, por sí solas, NO hacen que
tus contraseñas sean seguras. Sin embargo, puedes añadirlas a una
contraseña segura para hacerla más compleja.
- Sustituir letras por símbolos o números similares (por ejemplo, «a» por «@» o «e» por «3»). Se trata de una vieja estrategia muy conocida por quienes saben cómo descifrar una contraseña.
- Añadir signos de exclamación, números u otros signos de puntuación al final: esta es también una estrategia conocida que puede ser adivinada por alguien que intente descifrar tu contraseña.
- Comenzar cada palabra con letras mayúsculas: esta es también una estrategia conocida que se incluirá en los intentos de descifrar sus contraseñas.
Recuerda también las siguientes recomendaciones:
- No utilices ni una sola palabra incluida en algún diccionario.
- No utilices frases comunes, como citas célebres o frases de letras de canciones y poemas.
- No utilices palabras o números relacionados contigo o con personas y
organizaciones de tu entorno, como:
- nombres de personas, mascotas u organizaciones,
- fechas de nacimiento, aniversarios importantes o vacaciones,
- números de teléfono o direcciones,
- o cualquier otra cosa que una persona pueda averiguar investigándote a ti y a la gente de tu entorno.
- Recuerda que no es necesario cambiar las contraseñas con frecuencia. Para decidir cuándo cambiar una contraseña, lee Cuándo cambiar tu contraseña.
Recuerda algunas contraseñas seguras
Incluso utilizando un gestor de contraseñas, necesitarás memorizar unas cuantas contraseñas seguras para desbloquear el dispositivo donde has instalado tu gestor de contraseñas y para desbloquear la base de datos del gestor de contraseñas donde guardas tus contraseñas fuertes y únicas.
- Utiliza el método diceware para generar
contraseñas seguras que puedas recordar:
- Consigue una lista de palabras numeradas y 5 dados.
- Tira los 5 dados para obtener un número de cinco cifras (por ejemplo, 6,2,5,1,1).
- Utiliza la palabra de la lista que corresponde al número obtenido.
- Repítelo seis veces. Utiliza las seis palabras como "frase de
contraseña".
- No reutilices esta frase de contraseña en ningún otro lugar.
- A continuación, crea una imagen mental utilizando las palabras de tu frase de contraseña, en orden. Esto te ayudará a recordar la frase.
- Practica introducir estas contraseñas regularmente, diariamente al principio y luego al menos una vez a la semana. La repetición te ayudará a memorizar estas contraseñas.
- Si no tienes dados y necesitas generar una contraseña que puedas recordar puedes generarla con KeePassXC.
- Como alternativa, puedes utilizar el "método del libro":
- Escoge un libro al azar, posiblemente no relacionado con tu actividad principal.
- Abre el libro en una página aleatoria.
- Mantén tus ojos cerrados, por tu dedo en la página abierta para elegir una palabra al azar.
- Repite este proceso 6 veces para obtener una frase de contraseña que
consista en 6 palabras aleatorias.
- Ten en cuenta que este método es menos seguro, especialmente si usas un libro que está en tu oficina, ya que crea frases de contraseña menos aleatorias. Pero si no quieres instalar software y utilizas un libro o una revista al azar, puede ser una buena alternativa para generar una frase de contraseña larga que puedas recordar.
Aprende por qué lo recomendamos
Habrá unas cuantas contraseñas que deberás memorizar, incluida la contraseña para iniciar sesión en el dispositivo donde hayas instalado tu gestor de contraseñas y la contraseña maestra de tu gestor de contraseñas. El método diceware puede ayudarte a crear frases de contraseña que sean fáciles de recordar pero extremadamente difíciles de adivinar, incluso para un atacante que disponga de mucho tiempo y habilidades y sepa utilizar software de «descifrado de contraseñas».
Si necesitas compartir contraseñas
- Evita compartir contraseñas siempre que sea posible:
- Si debes compartir una contraseña con un amigo, familiar o colega, cámbiala a algo temporal y comparte esa contraseña. Cámbiala nuevamente a algo seguro cuando terminen de usarla.
- Considera la posibilidad de crear cuentas separadas para cada persona que necesite acceder a un servicio; muchos servicios lo hacen posible. Puedes limitar las acciones que estas cuentas pueden realizar y lo que pueden ver.
- Si necesitas compartir el acceso a tu dispositivo, considera la
posibilidad de crear una cuenta separada para ese
dispositivo. Consulta las guías básicas de seguridad para
Android,
Linux,
[macOS](.
./../phones-and-computers/mac/#make-separate-user-accounts-on-your-devices),
y
Windows
para obtener instrucciones sobre cómo hacerlo.
- En los dispositivos iOS esta opción no está disponible, a menos que esté utilizando un iPad. Consulte Visión general del iPad compartido para saber cómo funciona.
- Si realmente quieres compartir contraseñas con otros, puedes configurar tu KeePassXC para que puedas utilizarlo de manera colaborativa. Consulta la documentación de KeePassXC para aprender cómo hacerlo.
Aprende por qué lo recomendamos
Cada vez que compartes una contraseña, es casi como si hubieras hecho una copia extra de la llave de tu casa y la hubieras regalado: existe un riesgo adicional de que otra persona pierda esa llave. De hecho, es más arriesgado que eso, porque entonces se puede acceder fácilmente a tu "casa" desde dispositivos lejanos sin que te des cuenta. Reduce esta "superficie de ataque" evitando compartir contraseñas siempre que sea posible.
Descubre si tus contraseñas han sido comprometidas
- Busca en el sitio web ';--have i been
pwned? para ver si tus cuentas están
reportadas como comprometidas.
- Cambia inmediatamente las contraseñas de las cuentas que encuentres allí, siguiendo las instrucciones de uso de un gestor de contraseñas.
- Aunque ninguna de tus cuentas aparezca aquí, deberías seguir las instrucciones de esta guía, ya que muchas violaciones de cuentas no se denuncian.
Aprende por qué lo recomendamos
Los atacantes buscan contraseñas que ya hayan sido violadas y estén disponibles en Internet. Prueban las contraseñas de sus cuentas hasta que encuentran la correcta para entrar. Reutilizar la misma contraseña es especialmente arriesgado. Echa un vistazo a ';--have i been pwned? para ver si tus contraseñas están en alguna de las listas que utilizan los atacantes.
Sé consciente de cómo quienes buscan atacarte pueden adivinar tus contraseñas
Éstas son las formas más comunes como atacantes pueden encontrar tus contraseñas:
- Pueden adivinar tu contraseña:
- Utilizando tus datos personales, como fechas o nombres importantes, o también citas célebres, canciones o autores que te gustan,
- Usando un diccionario,
- Cambiando ligeramente las contraseñas que has utilizado anteriormente,
- Utilizando software para probar todas las combinaciones posibles para desbloquear tu cuenta.
- Pueden buscar:
- Dónde están escritas tus contraseñas (como notas alrededor de tu escritorio),
- Lo que escribes cuando introduces tu contraseña,
- Contraseñas que ya han sido violadas y están disponibles en Internet.
- Pueden engañarte para:
- Instalar una aplicación maliciosa para grabar tu contraseña,
- Hacer que escriba su contraseña en una página de inicio de sesión falsa a través de phishing,
- Proporcionar sus contraseñas u otra información haciéndose pasar por una persona de apoyo o alguien conocido (también conocido como ingeniería social).
- Lea más sobre cómo reconocer los intentos de presionarle para que actúe rápidamente o apele a sus emociones en nuestra guía sobre malware.
- Pueden explotar vulnerabilidades:
- Hackear el sitio web donde quieren entrar con tu contraseña,
- Robar tu contraseña si está almacenada en tu navegador,
- Robar tu contraseña de las aplicaciones que utilizas en tu teléfono.
No proporciones tu contraseña cuando alguien te envíe un correo electrónico, te llame o te envíe un mensaje
- Ve a la aplicación o sitio web del servicio que supuestamente te envió el
mensaje para verificar la solicitud.
- Consulta nuestras guías sobre [cómo protegerse y proteger tus datos al utilizar las redes sociales] (../../communication/social-media/) para encontrar los registros de alertas que los distintos servicios pueden haberte enviado.
- Si parece que la persona u oficina que te envió el mensaje es alguien que
conoces, contáctalos a través de otro medio para verificar si hicieron la
solicitud.
- Por ejemplo, si el mensaje fue un correo electrónico, llámalos.
- No hagas clic en los enlaces del correo electrónico ni respondas.
- Ten en cuenta que cuando un mensaje intenta asustarte, despertar tu curiosidad, hacerte sentir que vas a perder una oportunidad o, de algún otro modo, hacerte actuar rápidamente y sin pensar, podría tratarse de un intento de phishing. Haz una pausa, mantén la calma y busca otras formas de verificar este tipo de mensajes.
Aprende por qué lo recomendamos
Quienes atacan a menudo pretenden ser alguien que no son, como un banco o un representante de soporte técnico, para convencernos de que les proporcionemos información sensible. También suelen jugar con nuestras emociones y la naturaleza humana para hacer que les demos contraseñas cuando no deberíamos hacerlo.
Si recibes una llamada, un correo electrónico o un mensaje solicitándote tu contraseña u otra información confidencial, o si un correo electrónico o un texto incluye un enlace y te pide que hagas clic en él para facilitar esa información, es muy probable que alguien esté intentando engañarte.
Lea más sobre cómo reconocer los intentos de presionarle para que actúe rápidamente o apele a sus emociones en nuestra guía sobre malware.
Obtén más información sobre el phishing en la Guía de autodefensa de vigilancia sobre cómo evitar ataques de phishing.
Cuándo cambiar tu contraseña
Cambia tus contraseñas inmediatamente cuando:
- Parece que tu cuenta, dispositivos o compañeros y personas de tu entorno han sido víctimas de una brecha.
- Los servicios que utilizas te avisan de forma creíble de que se ha
intentado iniciar sesión desde un dispositivo o ubicación no autorizados.
- Busca noticias sobre compromiso de datos.
- Si recibes un correo electrónico o una alerta, vuelve a comprobar en el propio sitio web del proveedor de servicios que ha enviado la alerta.
- Has introducido tu contraseña en un dispositivo no fiable, compartido o público (podría tener instalado un código malicioso).
- Te preocupa que alguien te haya visto teclear tu contraseña.
Minimiza los daños avisando a otras personas que también puedan haberse visto afectadas.
Consulta nuestra guía sobre redes sociales y las guías básicas de seguridad para Android, iOS, [Linux](../.. /phones-and-computers/linux/#set-your-screen-to-sleep-and-lock), macOS y Windows para obtener instrucciones sobre cómo cambiar la contraseña de tu dispositivo.
Aprende por qué lo recomendamos
Las investigaciones demuestran que cambiar la contraseña repetidamente no mejora necesariamente la seguridad. Cuando se exige a las personas usuarias que cambien sus contraseñas con frecuencia, tienden a hacer sólo pequeños cambios en la contraseña, en lugar de crear una contraseña completamente nueva. Más información sobre esta investigación en el post de Bruce Schneier sobre por qué cambiar las contraseñas con frecuencia es una mala idea de seguridad.
Es más importante cambiar las contraseñas cuando se produce una filtración de datos. Dado que no siempre sabemos cuándo se han filtrado los datos, recomendamos cambiar las contraseñas, especialmente las de los servicios en línea, cada pocos meses o un año, o inmediatamente cuando haya motivos para creer que pueden estar en peligro.
Cuidado con dónde estás y quién puede verte tecleando una contraseña
- Si estás en un espacio público y tecleas tu contraseña, ten en cuenta si te pueden ver o grabar a tus espaldas.
- Verifica si alguien está observando tu teclado o teléfono mientras escribes tus contraseñas.
- Utiliza una pantalla protectora de privacidad para dificultar la visualización de lo que estás escribiendo.
Aprende por qué lo recomendamos
Quienes quieren dañarte pueden vigilarte y grabarte cuando introduces una contraseña. El teléfono móvil de una activista fue confiscado bajo una falsa acusación de sedición. Su dispositivo móvil estaba bloqueado con una contraseña que ella se negó a facilitar, pero los fiscales consiguieron desbloquear su teléfono y acceder a sus datos estudiando sus rutinas diarias. Observaron un circuito cerrado de televisión en el ascensor del edificio donde vive y pudieron obtener un vídeo de ella tecleando la contraseña para desbloquear su dispositivo.
Evita el desbloqueo mediante huella digital o reconocimiento facial (biometría)
- Si tu dispositivo está configurado para desbloquearse mediante reconocimiento facial o huella digital, cambia la configuración para utilizar el desbloqueo por contraseña en su lugar.
- Consulta las guías básicas de seguridad para Android, iOS, [Linux](../.. /phones-and-computers/linux/#set-your-screen-to-sleep-and-lock), macOS y Windows para obtener instrucciones sobre cómo hacerlo.
Aprende por qué lo recomendamos
La biometría puede agilizar el acceso a tus dispositivos, utilizando rasgos personales como tu huella dactilar o tu rostro. Sin embargo, suelen ser una forma menos segura de bloquear el dispositivo y la cuenta. A diferencia de una contraseña, no puedes cambiar tu huella dactilar cuando quieras. A muchas personas se les exige que proporcionen información biométrica en aeropuertos, oficinas gubernamentales, etc. Esto crea un riesgo potencial de que alguien pueda acceder a tus cuentas sin tu consentimiento. Si quienes buscan dañarte te retienen físicamente o te fuerzan, les puede resultar más fácil desbloquear tus dispositivos que si los bloqueas con una contraseña.
Considera cómo y cuándo utilizar las claves de acceso
Algunas plataformas en línea pueden sugerirte que utilices una clave de acceso en lugar de su nombre de usuario y contraseña.
Las llaves de paso (passkeys) ofrecen una mayor protección contra el phishing, pero dependen mucho de la biometría y del uso compartido de la nube, que no recomendamos utilizar para información sensible, y mucho menos para las credenciales de acceso a tus cuentas. Sin embargo, si crees que puedes tener grado de exposición a ataques avanzados de phishing, puedes optar por protegerte contra esta amenaza con passkeys y utilizarlas sin datos biométricos ni compartición en la nube.
Lo que necesitarás para activar una passkey es un gestor de contraseñas compatible con passkey o una llave de seguridad o un chip de alta seguridad integrado en tu ordenador o teléfono. En la mayoría de los casos, la gente desbloqueará su passkey utilizando un gestor de contraseñas basado en la nube o el método de bloqueo de su dispositivo, que puede basarse en datos biométricos como su huella dactilar o su rostro.
Pero esto no es realmente necesario: en la mayoría de los casos, puedes almacenar tus claves de acceso de formas más seguras, ya sea en una llave de seguridad física o en el chip de alta seguridad integrado en tu ordenador o teléfono, que recomendamos bloquear con una frase de contraseña en lugar de biometría.
También puedes almacenar claves de acceso con KeePassXC habilitando la integración del navegador con KeePassXC, pero como esta solución depende de tu navegador, puede estar expuesta a ataques basados en el navegador y debe considerarse menos segura que las otras soluciones que dependen de dispositivos de hardware y chips de alta seguridad.
Establece preguntas de recuperación más seguras
Muchos servicios web solicitan "preguntas de seguridad" o "preguntas de recuperación" al crear una cuenta. Para que sea menos probable que alguien las adivine, puedes utilizar las siguientes estrategias:
- Proporcione respuestas falsas y no relacionadas con estas preguntas.
- Incluso puedes utilizar otro código aleatorio y único generado por tu gestor de contraseñas.
- Asegúrate de guardar tus respuestas en tu gestor de contraseñas para no correr el riesgo de olvidar tus preguntas de recuperación y quedarte sin acceso.
Aprende por qué lo recomendamos
Las preguntas de recuperación son importantes para ayudar a los servicios a verificar tu identidad si sospechan que otra persona está intentando acceder a tu cuenta. Estas respuestas te sirven para cambiar tu contraseña en caso de que pierdas el acceso a tu cuenta. Desgraciadamente, tus respuestas a preguntas como «¿En qué ciudad naciste?» o «¿Cómo se llama tu mascota?» pueden encontrarse fácilmente en Internet. Si das respuestas falsas, puedes dificultar que un atacante secuestre tu cuenta.
Lecturas adicionales
Surveillance Self-Defense, "Creación de contraseñas seguras"
Tech Radar, "Los peligros de compartir contraseñas en el trabajo"
El investigador de seguridad Daniel Miessler ha elaborado una lista de las 10.000 contraseñas más comunes. Evita utilizar como contraseña cualquiera de las que aparecen en esta lista.
Wikipedia tiene artículos informativos sobre contraseñas, pautas para reforzar las contraseñas y cómo acceden los atacantes a tus cuentas.