En el marco de un nuevo día internacional de las contraseñas, Eset, reconocida empresa de ciberseguridad, subraya que la creación de contraseñas o passwords simples, reciclables y/o compartidas con terceros (como la familia), son unos de los mayores errores que comenten las personas. Hacen un llamado a evitar este tipo de errores.
Fabiana Ramírez, Investigadora de Seguridad Informática de ESET Latinoamérica, describe lo que significa no cuidar o hacer un buen tratamiento de nuestras contraseñas:
“Escribir una contraseña para acceder a una de las decenas de servicios que utilizamos se ha convertido en una parte tan cotidiana de nuestras vidas que rara vez pensamos en ello. Procuramos que nuestras contraseñas sean simples y fáciles de recordar para poder pasar rápidamente por el proceso de iniciar sesión y seguir con lo que estamos haciendo. Este es uno de los muchos errores que cometemos cuando se trata de algo en lo que confiamos para asegurar una parte de nuestra identidad digital”.
Por lo anterior, y para disminuir los problemas que podría traer el uso indebido de nuestras contraseñas, la firma destaca 5 puntos comunes en que comúnmente se comenten estos errores:
- Reutilizar las contraseñas.
- Crear contraseñas fáciles de recordar.
- Guardar las contraseñas en un word o una nota de texto.
- Compartir las contraseñas con terceros.
- Cambiar contraseñas muy seguido, no hará que tu cuenta sea más segura.
Reutilizar las contraseñas
La reutilización de las pass, probablemente es uno de los errores más comunes de todos los mencionados. Eset describe que según una survey realizado por Google en 2019, arrojó que:
"...[] el 52% reutiliza la misma contraseña en varias de sus cuentas, mientras que un sorprendente 13% usa la misma contraseña para todas sus cuentas".
Esto genera el problema conocido como credential stuffing, es decir, que si en el pasado usaste algún servicio que se filtraron todos los datos de usuarios, pueden intentar usar estos datos (la contraseña), para intentar ingresar en otras plataformas, y lo lograrán si usas la misma clave. Por lo tanto, diversificar las contraseñas es la mejor opción.
Creación de Contraseñas simples.
Contraseñas clásicas como 12345, pass, password, y sus derivados, su uso es más común de lo que te puedas imaginar. De hecho, hay encuestas, incluso ranking como el de NordPass, donde aparece el listado de contraseñas más usadas:
Eset destaca que, además de las clásicas, hay situaciones en que se usan datos personales:
“Además de patrones simples y palabras obvias, un error frecuente que se puede estar cometiendo al crear contraseñas es utilizar datos personales como parte de estas, lo que las convierte en fáciles de adivinar o de encontrar”.
En la misma encuesta de Google antes señalada por la firma, destacan también que:
“...[] seis de cada diez adultos en los Estados Unidos han incorporado un nombre (el de ellos, el de su cónyuge, el de sus hijos o su mascota) o una fecha de cumpleaños a sus contraseñas”.
La firma de ciberseguridad recomienda que se usen contraseñas con frases, que incorporen números, quizás símbolos, y por supuesto autentificación de doble factor (2FA).
Guardar las claves en archivos de texto o word
Este es el tercer tipo de error que comenta la firma, incluso no solo en documentos, sino también en papel, post-it, etc.
Al guardar las contraseñas en archivos, quedas expuesto a que si hackean tu computador, incluso a ojos de usuarios que tengan acceso al PC o teléfono, podrán ver el archivo y copiar tus pass, permitiéndoles conocer tus credenciales para otros tipos de servicios. En el caso de escribirlas en papel, se recomienda tener un lugar seguro para estas notas.
"...[] si el dispositivo se ve comprometido por un malware que copia los datos y los envía a un servidor remoto, un actor malicioso podrá acceder a todas las cuentas de manera inmediata".
Compartir las contraseñas con terceros
Eset señala que esta situación es muy frecuente, y usa como referencia una encuesta de USA:
"...[] el 43% de los participantes de una encuesta admitió haber compartido sus contraseñas con otra persona. ...[] más de la mitad de los encuestados dijo haber compartido su contraseña con sus seres queridos, entre ellas contraseñas para servicios de streaming, cuentas de correo electrónico, cuentas de redes sociales e incluso para acceder a cuentas para realizar compras en línea".
El compartir las credenciales para servicios de streaming con Netflix, Prime Video, etc., es muy usual entre familias. Sin embargo, el riesgo de filtración de esa contraseña, que por lo general es algo conocido para el núcleo familiar, y además, es raro que se usen en otros servicios, tiende a ser menos dañino en caso de que se filtre.
En el caso de que se compartan las contraseñas en servicios de e-commerce como Amazon o Aliexpress, al exponerse los datos, los atacantes tendrán acceso a los diferentes medios de pagos, incluso a realizar pedidos a otras direcciones.
Cambiar las contraseñas periódicamente (sin pensarlo demasiado)
Probablemente, puede que este punto sea contradictorio a ojos de muchos. Pues, es frecuente que las grandes empresas recomienden cambiar seguido las pass, así como también, tienen sistemas de control interno que te obligan a cambiar cada 6 meses.
Eset subraya que: “Cambiar la clave regularmente, sin evidencia de que su contraseña haya sido filtrada en una brecha, no hace que la cuenta sea más segura.”
Y lo anterior lo argumenta con base en un estudio por de la Universidad de Carolina del Norte en USA, que señala lo siguiente:
...[] descubrieron que los usuarios se inclinan hacia la creación de contraseñas que siguen patrones predecibles y consisten en hacer cambios pequeños: sustituir una letra por un símbolo similar, agregar o eliminar un carácter especial, o cambiarles el orden a uno o dos caracteres. Esto hace que sea bastante fácil para los atacantes hacer su trabajo, ya que, los cibercriminales si conocen una contraseña pueden adivinar estas transformaciones con poco esfuerzo.
También se resalta que, independientemente de que cambies seguido la pass, si el atacante ya tiene acceso a tu dispositivo, pudo instalar un keylogger para hacer seguimiento de las credenciales de los diferentes servicios.
En el sitio web de WeliveSecurity de Eset, hay un artículo que te indica cómo revisar si tus contraseñas han sido expuestas en los diferentes hackeos de las plataformas más conocidas en la red.
Recomendaciones de ESET para contraseñas más seguras:
Una contraseña que cumpla con todas las condiciones puede parecer una tarea desalentadora, pero hay varias formas de crearlas sin que se convierta en una tarea tan compleja:
- Utilizar una frase, por ejemplo, es preferible a una contraseña simple
- Agregar una capa adicional de seguridad activando el doble factor de autenticación en cada servicio que esté disponible debería ser la norma.
- Si resulta tedioso recordar todas las contraseñas, un administrador de contraseñas podría ser la respuesta.