infoALEPH

Una contraseña es tan importante como la información que protege. Con ellas cuidamos que nuestra información privada no se vuelva del dominio público. Todos tenemos información que proteger pero no siempre sabemos hacerlo bien.

Una contraseña es como un candado o como una cerradura. ¿Usaría usted un candado sencillo para cerrar una caja fuerte? ¿Dejaría usted la llave de su casa escondida bajo el tapete de la entrada? A veces somos así de confiados. Sin embargo, tratándose de nuestras contraseñas podemos ser aún más confiados y descuidados.

Crónica de un pequeño ataque

Yo no me considero confiado tratándose de seguridad informática. Siempre mantengo mis equipos libres de virus y spyware, tengo instaladas las últimas actualizaciones de sistemas operativos y aplicaciones, nunca utilizo equipos públicos ni ando navegando por los rincones más oscuros del internet. Y aún así hace algunos meses un anónimo hacker me dio un buen susto. Un día descubrí que alguien había entrado a una de mis cuentas de correo y que una vez adentro envió correos a toda mi lista de contactos para venderles a mi nombre no recuerdo qué producto, para luego finalizar con el borrado de esa lista de contactos a fin -supongo- de que yo no pudiera escribirles para advertirles del engaño.

Fue un ataque básico, casi infantil. Y digo ésto porque el atacante bien pudo haber causado daños mayores: aparte de haber podido borrarlo todo, pudo también haber robado mi identidad secuestrando mi cuenta; sólo tenía que cambiar la contraseña para lograrlo. En el perfil de mi cuenta de correo habían datos personales y entre ellos los nombres de otras cuentas de correo que también usaban la misma contraseña. Luego una búsqueda en Google pudo haberle revelado al atacante en qué redes sociales estoy inscrito. O bien, revisando mis correos recibidos en los que solicité la reposición de alguna contraseña pudieron darle los datos necesarios para saquear mi cuenta de Paypal, etc. El efecto dominó pudo ser devastador. Apenas me di cuenta de lo ocurrido, y de lo que aún podía ocurrir, procedí rápidamente a cambiar todas mis contraseñas.

Malas y buenas prácticas

A pesar de mis precauciones incurrí en varias de las malas prácticas de administración de contraseñas, mismas que listo a continuación:

• Utilizar una misma contraseña para las cuentas de correo, para los perfiles de Facebook y Twitter, para las agendas en línea, etc.
• Dejar contraseñas escritas en un papel bajo el teclado, en un post-it pegado en el monitor, etc.
• Utilizar contraseñas fáciles de adivinar: 1234, la serie Fibonacci, la palabra “password”, los dígitos de la fecha de nacimiento, el nombre de un ser querido, el nombre de alguna mascota, el de nuestro personaje favorito, etc.
• Usar contraseñas con sólo letras minúsculas, o sólo claves numéricas.
• Usar contraseñas cortas de 6 a 8 carácteres.
• Utilizar como contraseña una palabra cualquiera que pueda ser obtenida de un diccionario.
• No cambiar la contraseña en muchos años.

En contraste, las buenas prácticas serían:

• Utilizar una contraseña diferente para cada servicio en línea.
• Cada contraseña debe ser bien creada. Este punto lo explicaré más adelante.
• En vez de anotar cada contraseña en una libreta o en una colección de post-its pegados en nuestro espacio de trabajo, utilice un software administrador de contraseñas. Yo recomiendo uno llamado KeePassX: es libre, trabaja tanto en Linux como en Windows y Mac OS, tiene una versión portable que puedo llevar en una memoria USB; y así sólo necesito recordar una contraseña maestra para acceder a un archivo electrónico de contraseñas guardado en un compacto archivo encriptado.
• Cambiar las contraseñas con regularidad, especialmente las más utilizadas.

Para crear una buena contraseña

A continuación daré algunos consejos para crear contraseñas difíciles de robar aunque relativamente fáciles de recordar.

1. Combine letras mayúsculas con minúsculas.

2. Utilice números junto con las letras.

3. Si el sistema lo permite, utilice símbolos de puntuación como espacios en blanco, _, -, +, *, etc.

4. Utilice la mnemotecnia. La mnemotecnia es una técnica para memorizar usada para recordar un concepto complejo partiendo de uno simple. Por ejemplo, podemos ver una computadora y pensar: “Esta es la computadora de Juan Pérez”. Esta frase, fácil de recordar, podemos usarla para generar una contraseña utilizando las iniciales de la frase. Así de

“Esta es la computadora de Juan Pérez”

podemos obtener

“EelcdJP“.

También podemos usar alguna frase más compleja, algo que tengamos en mente o incluso la letra de alguna canción:

“Soy un fanático de la serie LOST y quiero ver la 5a temporada completa”

“Yo se bien que estoy afuera, pero el día que yo me muera sé que tendrás que llorar” (tomado de la canción mexicana “El Rey”, de José Alfredo Jiménez).

para obtener algo como

“SufdlsLyqvl5tc”

“Ysbqeapedqymmsqtqll”

5. También puede reemplazar algunas letras por números, como:

0 por O y o
1 por l e I
2 por Z
3 por E
4 por A
5 por S
7 por T
9 por e

Así podríamos tomar una palabra o nombre más o menos común para convertirlo en algo más críptico. Por ejemplo,

“Mi nombre críptico”

podría transformarse en

“M1n0mbr3cr1p71c0″.

6. Utilice el máximo de carácteres que el sistema le permita.

7. Combine varios de los anteriores consejos:

“Soy un fanático de la serie LOST y quiero ver la 5a temporada completa”

“Yo se bien que estoy afuera, pero el día que yo me muera sé que tendrás que llorar”

se convertirían en:

“5ufd15Lyqv15tc”

“Y5bq9ap9dqymm5qtq11″

8. Utilice un generador automático de contraseñas. Precisamente KeePassX tiene uno integrado.

Para concluir

Mi esposa cree que le oculto algo cuando le digo que no conozco mi contraseña actual de correo electrónico. Pero es verdad, no la conozco porque fue generada de manera automática, mide como 16 carácteres, y nunca tengo necesidad de verla o teclearla puesto que el administrador de contraseñas la pone por mí en memoria y yo sólo tengo que poner el cursor en el campo de “Contraseña” y presionar las teclas Ctrl+V para ingresar mi clave. Creo que mis contraseñas tienen ahora un nivel aceptable de seguridad, y en tanto ningún hacker demuestre lo contrario lo seguiré creyendo así. Por cierto, creo que la técnica de mnemotecnia también debería usarse para la pregunta de seguridad que algunos sistemas de correo ponen para el caso de que perdamos una contraseña. Así, si me preguntan por el nombre de mi mascota ya sabré que debo escribir “F1ru1a15″ en vez de “Firulais”, cosa que espero el hacker no sepa.

Más información:

• Adivinamos su contraseña: ‘1234′. ElPaís.com.
• Cómo hackear hotmail.
• Contraseñas seguras: Cómo crearlas y utilizarlas.
• Contraseña.com – Generador de Contraseñas Aleatorias.
• KeePassX