No deja de ser curioso que en los últimos años hayamos asistido a hackeos, ataques informáticos y vulnerabilidades de todo tipo y, al mismo tiempo, 123456 encabece la lista de contraseñas más populares en España. Le siguen otras, como las míticas 123456789, 12345, password, tequiero, realmadrid, etc. Contraseñas extremadamente seguras donde las haya, sin duda.
Cierto es que no se puede culpar a nadie. Al fin y al cabo, tenemos infinidad de cuentas y lo más sencillo es usar una contraseña fácil, corta y, seguramente, exactamente la misma que hemos usado en otros servicios. ¿Problema? Vulnerada en un sitio, vulnerada en todos, y lo que ahora sabemos es que un ciberdelincuente con los recursos necesarios puede vulnerar este tipo de contraseñas en un santiamén. Afortunadamente, hay solución.
Hablemos de contraseñas y de cómo gestionarlas
Empecemos por el principio. Hace unas horas NordPass publicaba un estudio en el que mostraba las contraseñas más usadas en nuestro país. El listado, disponible en su web, deja poco lugar a la imaginación. Estamos en 2023 y 123456 encabeza la lista. Mención especial merecen también qwerty, password, holahola, tuputamadre (está la 24ª), princesa o chocolate. El patrón es claro: contraseñas cortas, fáciles de recordar y, en definitiva, carne de cañón.
En segundo lugar, Hive Systems publicó hace unos días otro estudio en el que abordaba el tiempo que un ciberdelincuente tardaría en averiguar nuestra contraseña en un ataque por fuerza bruta. Básicamente, este tipo de ataques consisten en probar una contraseña tras otra con la esperanza de dar con la correcta en cierto momento. Evidentemente, cuanto más sencilla sea la contraseña, menos tiempo se tardaría.
Hay otros métodos para conseguir contraseñas y robar credenciales, como un ataque de phishing bien ejecutado. La miga del estudio de Hive Systems está en cómo las mejoras en GPUs han acelerado muchísimo el tiempo que se tarda en ejecutar un ataque por fuerza bruta (e incluso la posibilidad de hacerlo en la nube), pero nos da una idea de cómo de inseguras pueden llegar a ser nuestras contraseñas. En cualquier caso, no está de más recordar que de nada nos sirve tener una contraseña muy segura si luego la metemos en el primer enlace que nos llega a través de un SMS sospechoso.
Fuente: Hive Systems.
Volviendo al tema, lo que nos indica el estudio de Hive Systems es que un ciberdelincuente tardaría exactamente cero unidades de segundos en vulnerar la contraseña 123456. Password más de lo mismo, al igual que 123456789. Es más, a estas alturas ya no solo basta con poner letras minúsculas, mayúsculas y números. Una contraseña de ese tipo de, por ejemplo, diez caracteres se descifraría en tres semanas, mientras que en 2021 habría llevado siete meses y en 2012, 106 años.
¿Qué nos indican estas cifras? Que, si queremos estar realmente seguros, lo ideal es una contraseña de 16 caracteres con minúsculas, mayúsculas, números y símbolos. Llevaría, teóricamente, 92.000 millones de años descifrar esa contraseña (hoy, veremos en cinco o diez años). Y esto, que a priori es una solución sencilla, para mucha gente no lo es tanto por un motivo: ¿cómo recuerdas 30 contraseñas como estas? Pues no tienes que hacerlo. Basta con recordar una.
Gestores de contraseñas al poder
Si existen aplicaciones para registrar y valorar los sitios en los que hemos hecho de vientre, por supuesto que existen aplicaciones para gestionar contraseñas. Y no solo gestionarlas, sino generarlas, almacenarlas y autocompletar cuando sea necesario en cualquier dispositivo, no solo en el PC. Son los llamados gestores de contraseñas y hay muchísimas opciones. Yo, personalmente, uso Bitwarden.
¿Cómo funciona un gestor de contraseñas? Pues es una bóveda. Un gestor de contraseñas almacena las contraseñas y usuarios de los sitios en los que estés registrado, normalmente cifrados (para mí, este es un punto imprescindible). Si alguno prefiere una solución local, hay opciones como KeePass.
Sin embargo, la función más jugosa y la que puede interesarnos de cara a crear contraseñas seguras es, precisamente, el generador de contraseñas. Gracias al generador, podemos crear una contraseña que cumpla con ciertos requisitos, por ejemplo, que tenga minúsculas y mayúsculas, números y símbolos y que tenga tantos números, símbolos y caracteres como queramos. Por ejemplo, ahora mismo acabo de generar esta contraseña y me ha llevado un segundo: P*CM%wio68^b*%!dRK$B.
¿Cómo recordar esa contraseña? Es prácticamente imposible, pero lo bueno es que no tenemos que hacerlo. ¿Por qué? Porque al gestor de contraseñas se accede con una contraseña maestra, que es la que realmente tenemos que recordar. Puedes usar, por ejemplo, una contraseña fácil de recordar, pero segura, por ejemplo «35t4-5s-m!-c0nTR453ñ4%». Se puede jugar con alguna frase relativamente larga y hacer ese tipo de modificaciones. Luego, en el móvil, es posible que puedas desbloquear el gestor con la huella dactilar o la cara. Sea como fuere, esta es la contraseña que realmente tenemos que proteger y mimar.
¿Vamos a registrarnos en una plataforma? Introducimos nuestro correo, generamos una contraseña segura como s#9Bp7%pnKT2D^&!TrtS, nos registramos y guardamos las credenciales en el gestor de contraseñas. No vamos a volver a introducir esa contraseña a mano jamás porque el gestor de contraseñas puede autocompletarlas cuando sea necesario (en los dispositivos en los que esté disponible el gestor, evidentemente).
Así de fácil es generar una contraseña de 47 caracteres con minúsculas, mayúsculas, números y caracteres especiales.
Luego podemos sumar capas extras (porque los gestores de contraseñas no son infalibles), siendo lo más sencilla la autenticación en dos pasos (2FA) evitando, preferiblemente, recibir el código por SMS. Se pueden usar aplicaciones como Google Authenticator, Authy o, yendo un paso más allá, una llave física como las Yubikey o las Titan Security Key de Google.
Cierto es que esto requiere de trabajo previo por parte del usuario. No basta con usar el gestor de contraseñas y ya. Antes de almacenar las credenciales, conviene cambiar la contraseña débil que hemos usado hasta la fecha por una fuerte generada por el gestor (o por nosotros, si queremos) y, entonces, almacenarla. Es un trabajo que, según la cantidad de cuentas que tengamos, puede resultar más o menos tedioso.
