Cómo crear tus contraseñas y defenderte de los ataques para robártelas, según los expertos en ciberseguridad

«El año pasado el 80% de las infracciones comenzaron con ataques de fuerza bruta o con la pérdida o el robo de credenciales. Los atacantes añaden cada día millones de nuevos nombres de usuario y contraseñas a los miles de millones ya disponibles en la dark web. Esta ha sido la tendencia desde hace años, así que hasta cierto punto tenemos que preguntarnos si los titulares diarios sobre las últimas brechas de seguridad y los hackeos no son una señal suficiente para practicar una buena higiene de las contraseñas», explica en declaraciones remitidas a ABC Corey Nachreiner, director de tecnología de la firma de ciberseguridad WatchGuard, a propósito del Día Mundial de la Contraseña, que se celebra hoy.

Un cibercriminal puede robar las contraseñas de un usuario de varias formas. La más popular es el empleo del 'phishing', que es como se conoce a los ataques en los que el delincuente suplanta a un tercero para engañar a la víctima y conseguir que se las revele. De acuerdo con el reciente estudio 'Civismo, seguridad e interacciones online-2020' , elaborado por Microsoft, España es uno de los países que más lo sufren a nivel global.

Normalmente el engaño llega a través de un correo electrónico en el que se invita al internauta a actuar con urgencia. Sin embargo, también hay casos en los que se emplean otras plataformas, como redes sociales, mensajes de SMS o WhatsApp . En ellos, los criminales suelen hacerse pasar por servicios de confianza (como bancos, compañías de energía etc.). En muchos casos, estos mensajes van acompañados de hipervínculos que redirigen a la víctima a páginas que copian a la original de la empresa e institución a la que suplantan . Dentro recogen unos campos para que el internauta rellene la información solicitada.

«Nuestra sugerencia para protegerse de estas amenazas es que los individuos permanezcan atentos y examinen todos los enlaces que reciben en los correos electrónicos antes de abrirlos. Esto también debería estar respaldado por soluciones de ciberseguridad, como el filtrado de correo electrónico, protección antivirus y políticas de contraseñas sólidas», destaca a este diario Nick Emanuel, director de producto de la firma de ciberseguridad Webroot.

Los cibercriminales también pueden intentar robar nuestras contraseñas mediante el empleo de ataques de fuerza bruta . Consisten en intentar descifrar una contraseña mediante la repetición, literalmente a base de ensayo y error. Prueban distintas combinaciones al azar, conjugando nombres, letras y números, hasta que dan con el patrón correcto. «Realizar un ataque de fuerza bruta es algo muy sencillo. Si una contraseña está basada en un código numérico solo tienes que hacer todas las combinaciones posibles para acabar dando con la correcta y, de este modo, acceder a la red social», explica a este periódico Eusebio Nieva, director técnico de la empresa de ciberseguridad Check Point para España y Portugal.

También tenemos un problema con los Keyloggers, que es como se conocen los programas maliciosos capaces de registrar cada tecleo que se realiza en un ordenador e incluso lo que se ve en la pantalla para, a continuación, enviar toda la información registrada (contraseñas incluidas) a un servidor externo. Estos ciberataques suelen producirse por la presenceia de un virus informático en el equipo. Lo peor es que muchas personas suelen utilizar la misma clave y usuario para diferentes cuentas, y una vez vulnerado uno, el ciberdelincuente llega a tener acceso a todos los que tienen la misma.

«Para frenarlos es fundamental usar una única opción en cada uno de distintos perfiles. Para ello, se puede emplear un gestor de contraseñas, que permiten tanto administrar como generar diferentes combinaciones de acceso robustas para cada servicio basadas en las pautas decididas», destacan a este respecto desde Check Point.

Todos los expertos en ciberseguridad alertan sobre los riesgos de repetir claves en varias plataformas digitales ; ya que, en caso de que alguna quede al descubierto en una filtración, o caigamos en una de las trampas de los ciberdelincuentes, estos contarán con acceso a varios de los servicios que empleamos. Y no es lo mismo que te roben el correo electrónico que, por el camino, también pierdas el acceso a Instagram, Facebook, Spotify y Netflix . Asimismo, es conveniente que tengamos activada la autenticación en dos pasos , que puede ayudarnos a evitar perder el control en caso de que nuestra contraseña caiga en malas manos.

«La autenticación multifactor debería ser el primer paso para habilitar la defensa de la autenticación de los usuarios. Añade una capa de seguridad a los inicios de sesión más allá de un simple nombre de usuario y contraseña y ayuda a garantizar que los cibercriminales no puedan acceder a sus sistemas incluso si una de las contraseñas de sus empleados se ve comprometida», señala Sam Manjarres, directora de producto en la empresa de ciberseguridad WatchGuard.

Más allá de no repetir claves, y tener activada la autenticación en dos pasos, siempre que el servicio lo permita, hay que construir una contraseña de forma que resulte lo más complicado posible de descifrar .

«Para proteger de un ataque de este tipo, lo más importante es utilizar una clave nemotécnica a la hora de crear la contraseña. Por un lado, puedes optar por tener un 'password' difícil, incluso, de recordar. En esos casos se debe recurrir a un gestor o emplear técnicas para recordarlas, como, por ejemplo, usar el título o una frase de un libro insertando entre medias números y símbolos y mayúsculas. Otra opción es utilizar una frase lo más larga posible e ir sustiyendo las vocales por números», apunta Nieva.

Asimismo, se debe cambiar cada contraseña con cierta regularidad. Algo que, de acuerdo un reciente estudio de la firma de ciberseguridad S21 Sec, no hacen nunca el 56% de los internautas. Lo ideal es realizar un cambio al menos una vez cada seis meses .

En la red hay herramientas que nos permiten saber si alguna de nuestras contraseñas se ha filtrado. Una de las mejores es la página web Have been i pawned , un sitio creado por expertos en ciberseguridad. Lo único que hace falta es entrar en el sitio y escribir la cuenta de correo que queremos comprobar . Tras pulsar el botón en el que pone 'pwned?', los resultados aparecerán en la parte baja de la pantalla. Si te aparece un mensaje verde, significa que tus datos no están en ninguna de las filtraciones recogidas por la página.

En cambio, si el mensaje es de color rojo, tu cuenta se ha visto comprometida. Algo más abajo te indicará los casos exactos en los que tu correo electrónico se ha visto envuelto en una filtración y la información concreta que se ha publicado (emails, contraseñas, nombres, fecha de nacimiento...). La recomendación a partir de aquí es que entres en cada una de esas páginas y cambies la contraseña, incluso si no las utilizas .