Blog

Refuerza tu seguridad en la red: Contraseñas fuertes y autenticación en dos pasos.

Las contraseñas, por sí solas, no son suficientemente seguras para proteger la información y documentos que consideramos importantes.

Esta afirmación puede resultar sorprendente dado que las contraseñas son el método más utilizado para asegurar el acceso a nuestras cuentas e identidad online. Es cierto que si hacemos caso a las recomendaciones para la creación de contraseñas fuertes estamos dificultando el acceso, pero ello no significa, por sí solo, que la confidencialidad e inviolabilidad de nuestra información esté garantizada.

La experiencia demuestra que no se suelen utilizar las contraseñas de manera segura. Utilizamos contraseñas para el acceso a infinidad de sitios en internet y, por norma general, esto conlleva que no siempre cumplamos a rajatabla las recomendaciones de los expertos a la hora de escoger una contraseña segura. No obstante, a modo de recordatorio vamos a enumerar algunas de esas recomendaciones más importantes:

1. Nunca utilizar contraseñas triviales o fáciles de recordar. En los últimos incidentes de hacking en Internet (el conocido CelebGate, en el que han salido a la luz innumerables fotografías íntimas de celebridades), un sorprendente gran número de cuentas han resultado tener muy débiles contraseñas, tales como “123456”, “password” o “00000”. Este tipo de contraseñas son las primeras que comprobaría un ciberdelincuente en sus intentos de ataque.

2. Nunca utilizar contraseñas que, de algún modo, estén vinculadas a uno mismo. Una simple búsqueda en Google o Facebook puede revelar una sorprendente cantidad de información acerca de nosotros, por lo que utilizar como contraseña nuestra fecha de nacimiento, de boda, nombre de los niños, de la pareja o matrícula del coche no es, realmente, una idea muy recomendable.

3. Utilizar contraseñas largas. Hoy en día, cualquier ordenador moderno es lo suficientemente potente como para comprobar todas las combinaciones posibles de letras de menos de 8 caracteres en menos de lo que tardaríamos cualquiera en tomar un café. Según los resultados de las pruebas realizadas por McAfee, un pirata informático tardaría cero segundos en averiguar una contraseña formada por “123456″, y el mismo tiempo tardaría en descubrir una palabra formada por seis letras minúsculas. Si se añaden dos números al final de ese término apenas habría diferencia, un ciberdelincuente podría tardar 0,002 segundos en dar con la combinación. Sin embargo, utilizando una contraseña de al menos 11 caracteres que incluya una mayúscula y un número resistiría un ataque de ese tipo durante 4 años, tiempo que podría tardarse en descifrar todas las combinaciones. Por esta razón, siempre se recomienda utilizar contraseñas alfanuméricas y realizar cambios periódicos de nuestras contraseñas de acceso.

4. No repetir contraseñas. Si utilizamos una misma contraseña en varios sitios web nos arriesgamos a perder la información de todos ellos si sufrimos un ataque en tan solo uno. Luego, a mayor número de repeticiones, mayor probabilidad de que podamos ser víctimas de un ataque.

5. En caso de repetir alguna contraseña, la recomendación es asegurarnos de que la del correo electrónico sea única. Si nos hackean el mail, obtendrán acceso a cualquier otro lugar que tengamos con acceso a dicho mail utilizando el servicio de recordar contraseña que tendremos asociado a esa cuenta hackeada.

En realidad, no hay una manera 100% fiable de conseguir contraseñas indescrifrables para todos nuestros sitios web. Sencillamente, no parece estar siendo posible. Por ello, debemos tratar de maximizar nuestra seguridad utilizando alguna medida adicional. Una de las posibilidades que tenemos a nuestro alcance actualmente y que ya está implementada en los principales servicios web es la verificación en dos pasos o segundo factor de autenticación (Two Factor Authentication o 2FA).

¿Cómo funciona la verificación en 2 pasos?

Este método conlleva la exigencia al usuario on line de introducción de dos contraseñas separadas antes de ser autorizado para iniciar sesión en una cuenta.

La primera contraseña es la contraseña de la cuenta principal del usuario, que no cambia salvo que el usuario la cambie voluntariamente. La segunda contraseña se envía normalmente a una ubicación separada como un token de seguridad único y sensible al tiempo, que caduca en un período muy corto de tiempo (por ejemplo, 30 segundos). Esto hace que a un atacante que esté “a la escucha”, mediante un ataque man-in-the-middle, le sea prácticamente imposible detectar el segundo factor de autenticación a menos que tenga físicamente el dispositivo al que se envía el código de verificación.

Esta segunda clave es conocida en la industria como un One-Time Password (OTP), y se envía a menudo a través de SMS al dispositivo móvil personal del usuario justo tras introducir la contraseña de acceso y como requisito para el mismo. Cuando la verificación en dos pasos está activada, cada vez que el usuario intenta iniciar sesión en su cuenta (por primera vez en cualquier dispositivo; o siempre, si así lo elige el usuario en su configuración de la verificación a dos pasos), se le pedirán ambas contraseñas: la principal y su OTP, el código que justo acabará de recibir de forma instantánea en el dispositivo que active al efecto y con duración limitada en el tiempo.

Es mucho menos probable que un atacante pueda tener acceso a la contraseña de la cuenta y al código de autenticación. Pero incluso si un atacante es capaz de encontrar la manera de espiar en nuestra “segura” conexión OpenSSL, el atacante podrá acceder a nuestra cuenta pero no sin que dejar un rastro que permita identificarle.

Las grandes compañías de Internet como Google, Microsoft y Facebook ya  están ofreciendo esta posibilidad a sus usuarios. El hecho de que estas empresas estén migrando a este sistema es un indicio más de la necesidad de incremento de los niveles de seguridad de los inicios de sesión y de que utilizar sólo contraseñas ya no es suficiente, máxime tras los últimos ataques publicados o la proliferación de virus como HeartBleed.

Quizás pensemos que dar un paso más en nuestro ritmo de vértigo del día a día sea un inconveniente añadido que no compense; o quizás no creamos que nuestras cuentas puedan ser interesantes. Sin embargo, si en la vida real protegemos nuestras casas cerrando con llave y cerraduras de seguridad a nuestras casas, ¿Por qué no también reforzar la seguridad de nuestra vida online y los datos que debemos proteger de terceros?

Susana González Ruisánchez.