Un sistema te pide que crees una contraseña. Escribes C4rlo5S0uZa123! *. Tiene números, caracteres especiales, letras minúsculas y mayúsculas. Parece segura, ¿verdad?
No necesariamente.
Durante décadas, a las personas se les ha enseñado que la mejor manera de protegerse en línea es creando códigos complejos y confusos. ¿El problema? Los métodos de invasión se han vuelto más sofisticados, pero nuestra memoria no.
Terminamos creando contraseñas que son difíciles de recordar para las personas, pero fáciles de descifrar para las máquinas.
Como ingeniero jefe de Nubank y especialista en seguridad de la información, parte de mi trabajo es asegurar la defensa y conservación de los datos de nuestros clientes. Pero me he dado cuenta, a lo largo de mi carrera, de que la mayoría de la gente no sabe cómo protegerse de ataques comunes y fácilmente evitables.
La mayoría de estos casos se pueden prevenir con algo tan simple como una buena contraseña. En este texto, explico cómo se realizan los ataques más frecuentes y doy consejos sobre cómo crear una contraseña segura para combatirlos.
Después de todo, ¿qué es una contraseña segura?
Volviendo al ejemplo de la contraseña C4rlo5S0uZa123! *: Es cierto que probablemente podría resistir varios ataques de software destinados a descifrarla. Pero las posibilidades de que te confundas y no recuerde dónde sustituiste la letra por el número, por ejemplo, son altas.
Para evitar esto, muchas personas terminan escribiendo sus contraseñas en papel o en una hoja de cálculo, lo cual puede crear una brecha de seguridad muy grave, ya que puede dar el acceso las contraseñas a personas malintencionadas.
Ver más: Cómo no caer en las estafas usando el nombre Nubank
Lo que hace que una contraseña sea segura no es qué tan compleja es, ni cuánto tiempo ni con qué frecuencia se cambia. La verdadera seguridad proviene de ser único.
Tener una contraseña única significa que ningún otro sistema o persona usa el mismo código que tú y que tú tampoco usas el mismo código en diferentes lugares.
¿Cómo crear una contraseña segura?
Puede resultar difícil recordar contraseñas complejas. Recordar frases, por otro lado, es más fácil.
Hoy en día, la comunidad de seguridad advierte que es preferible usar contraseñas largas para las contraseñas que aprenderás de memoria, preferiblemente una combinación de palabras aparentemente sin sentido.
Puedes, por ejemplo, juntar una fruta, una calle, una actividad física, un objeto y un número que no tiene nada que ver contigo (no un cumpleaños, por ejemplo) y llegar a algo como piñacamisetaspuerta81.
Y no es necesario que te limites a los ejemplos anteriores. Cuanto más diferentes sean las fuentes de las palabras, más segura será tu contraseña. En algunos sistemas, incluso puedes incluir espacios entre palabras.
Recordando siempre la importancia de que la contraseña sea única; por lo tanto, nunca utilices extractos de películas y música, por ejemplo.
Sin embargo, no es posible aplicar esta táctica sólo a contraseñas numéricas. La recomendación, en este caso, es evitar siempre cadenas identificables, como fechas especiales o 1234. Cuanto más aleatorio sea el número, mejor.
Consejo adicional: administradores
El uso de un administrador de contraseñas ayuda a mejorar aún más esta capa de protección. Estas herramientas agregan, en forma encriptada, todas las contraseñas de otros sistemas en línea. Por lo tanto, el usuario necesita recordar solo un código (siempre muy seguro y único), que almacena todos los demás.
Algunos ejemplos de administradores son LastPass y 1Password.
Después de todo, ¿por qué son tan importantes las contraseñas?
El acceso no autorizado a un dispositivo (como una computadora, teléfono celular, tableta …) o una cuenta es un problema potencialmente grave para cualquier persona. Dependiendo de lo que se acceda, es posible obtener información confidencial y tomar acciones en nombre de la otra persona.
La contraseña es el primer frente de defensa contra un intento de invasión. Es una de las formas de validar que un cliente o usuario es él mismo.
En el caso de productos como la tarjeta y la app de Nu esta es una capa de protección muy importante para ayudar a proteger la información de los clientes, una clave para su ecosistema de información personal. Por lo tanto, hacerlo lo más seguro posible es muy importante.
¿Cómo se realizan los ataques a contraseñas?
¿Alguna vez has oído hablar de contraseñas filtradas? Esto sucede cuando un ciberdelincuente puede ingresar al sistema de un servicio (un sitio de compras o juegos, por ejemplo) y acceder a los datos del usuario o del cliente. En esta invasión, puede obtener información tan variada como nombres, números de tarjetas y la contraseña utilizada en esa plataforma.
Ahí es donde radica el problema: como muchas personas usan la misma contraseña en varios lugares (como correo electrónico, redes sociales e incluso bancos), la contraseña utilizada se vuelve totalmente vulnerable.
Los delincuentes comparten y venden estas contraseñas en línea para que se puedan llevar a cabo otros ataques. Funciona a prueba y error: una computadora toma la lista de información comprometida y, en muy poco tiempo, logra probar millones de combinaciones en Internet.
Un ejemplo: en 2019, un caso de fuga de datos , que se conoció como Colección # 1, violó más de 21 millones de contraseñas.
La filtración se informó a Troy Hunt, un investigador de seguridad de la información muy respetado y propietario del sitio web Have I Been Pwned, quien revela si una contraseña ya ha sido comprometida y cuántas veces: cualquiera que tenga curiosidad puede ingresar a la suya (y probablemente se asuste ).
Otros métodos descifradores de contraseñas son :
1. Ataque de fuerza bruta
El nombre es prácticamente autoexplicativo. En esta táctica, el software automatizado prueba tantas combinaciones como sea posible (incluidos números, símbolos y letras) a una velocidad muy alta hasta que se rompe la contraseña.
2. Diccionario
A diferencia del ataque de fuerza bruta, este tipo de táctica utiliza palabras comunes. Por lo tanto, las contraseñas que utilizan palabras comunes son vulnerables a este método.
En 2009, un hacker de 18 años logró ingresar a las cuentas de las redes sociales de celebridades como Selena Gomez y Miley Cyrus.
3. Ataque de phishing
Una de las estafas más comunes en Internet, el phishing busca engañar a las personas para que entreguen información voluntariamente o hagan clic en algún tipo de archivo que facilite el robo de datos.
A menudo, esto se hace enviando un enlace; las estafas pueden ser tan sofisticadas que la página abierta es idéntica a la marca real.
En el caso del phishing, la contraseña segura no se resuelve, ya que implica que el usuario entregue voluntariamente su información. Sin embargo, para los dos primeros, una contraseña segura dificulta mucho el trabajo del software malintencionado.
En resumen: qué tener en cuenta al crear una contraseña
- Evite siempre las fechas o palabras simples;
- Asegúrese de que la contraseña sea larga, memorable y única para usted;
- Las oraciones completas son mejores que las palabras o las sustituciones numéricas;
- Nunca, bajo ninguna circunstancia, escriba su contraseña;
- Nunca proporcione su contraseña después de hacer clic en un enlace enviado; en caso de duda, abra la aplicación o el sitio web en una página separada;
- Tenga un administrador de contraseñas para agregar una capa de protección.