El 35 % de los ciberataques siguen debiéndose hoy en día a filtraciones de contraseñas. El uso de credenciales perdidas o robadas sigue siendo, de hecho, una de las principales tácticas de ataque de los ciberdelincuentes para cometer fraudes y violaciones de distinta naturaleza.
En este último año, en el que se han ido alternando las actividades laborales entre el hogar y la oficina, la seguridad de las contraseñas ha cobrado aún más importancia. El «smart working» ha ampliado, sin duda, la superficie de ataque, poniendo de manifiesto la importancia de su buen uso para poder disponer de una defensa sólida contra las ciberamenazas.
En los últimos años, nos hemos acostumbrado a aplicar algunas normas, sugeridas por muchas prácticas recomendadas y útiles para generar contraseñas seguras. Son normas que indican que debemos prestar atención a su singularidad y complejidad, además de, obviamente, actualizarlas con regularidad. Por desgracia, estos consejos, aunque son fundamentales, han llevado a muchos usuarios a crear contraseñas menos seguras en vez de más al intentar gestionar con unos pocos caracteres la singularidad, la complejidad y las actualizaciones frecuentes.
Vistos los elevados porcentajes de filtración, el Instituto Nacional de Estándares y Tecnología (NIST) ha llevado a cabo una nueva publicación con el fin de superar estas cuestiones críticas. NIST Special Publication 800-63B (Directrices de la identidad digital: Autenticación y gestión del ciclo de vida) proporciona consejos útiles, adecuados y capaces de ofrecer una rápida respuesta contra las nuevas amenazas.
Con el fin de proporcionar indicaciones útiles al respecto, también Microsoft y el National Cyber Security Centre (NCSC) han publicado nuevas directrices sobre la gestión y la seguridad de las contraseñas.
¿Cuáles son las principales recomendaciones para hacer que nuestras contraseñas sean aún más seguras?
Recomendaciones prácticas para usar contraseñas seguras
Siempre que sea posible, usa contraseñas largas… y reduce su complejidad
Crear contraseñas complejas sigue siendo un elemento determinante para garantizar su seguridad. Sin embargo, ante la existencia de esta práctica recomendada, se ha generado el mal hábito de reutilizar varias veces la misma contraseña únicamente con pequeñas modificaciones. Según el National Cyber Security Council, la gente tiende a usar modelos previsibles para poder satisfacer los criterios de complejidad requeridos (como sustituir la letra «o» con un cero, la «a» con @ o la «i» con !). Por desgracia, los piratas informáticos conocen de sobra estas estrategias y las usan para optimizar sus ataques. Por ello, la longitud de las contraseñas se está convirtiendo en un factor de gran importancia para hacer que sean seguras. Estadísticamente, es más difícil descifrar las contraseñas más largas. Por esta razón, el NIST recomienda que las organizaciones establezcan que la longitud máxima de las contraseñas sea de 64 caracteres. Así es posible usar frases de contraseña únicas y personales. Esto ayuda a los usuarios a memorizar contraseñas más largas, pero más fáciles de recordar y mucho más difíciles de adivinar.
Crea una contraseña distinta para cada cuenta… difícil de adivinar
La reutilización de contraseñas es un problema habitual y, según una encuesta de Google, el 52 % de las personas tiende a reutilizar la misma contraseña en varias cuentas. Esto ha permitido a los piratas informáticos llevar a cabo sus ataques cada vez con más frecuencia basándose exclusivamente en la adquisición en la internet oscura de listas de contraseñas que se han visto comprometidas. Gracias a las listas de credenciales robadas, los piratas informáticos tratan de acceder a las cuentas usando las contraseñas que contienen.
Por tanto, para evitar ser víctimas de un ciberdelito, es fundamental no usar nunca la misma contraseña en distintas cuentas, además de evitar utilizar como contraseña palabras sacadas del diccionario, cadenas repetitivas o secuenciales, contraseñas que ya se hayan empleado, frases de contraseña de uso habitual u otras palabras y patrones que los piratas informáticos puedan adivinar fácilmente.
Actualiza tus contraseñas con regularidad… pero sin usar patrones fáciles de descifrar
Cambiar con frecuencia las contraseñas es una buena práctica que hay que seguir. Muchas organizaciones piden a sus empleados que lo hagan cada cierto tiempo. Sin embargo, esta práctica puede ser contraproducente y empeorar la seguridad si se utilizan patrones comportamentales previsibles, como elegir una nueva contraseña que tan solo varíe un poco con respecto a la anterior. Cambiar un solo carácter o añadir un símbolo que se parezca a una letra (como ! en vez de l) no bastará para evitar ningún ciberataque si la contraseña se ve comprometida.
Por consiguiente, el NIST recomienda a las organizaciones suprimir este requisito con el fin de garantizar que al usuario le resulte más fácil usar contraseñas seguras. Se parte de la idea de que, si una contraseña no se ve comprometida, no es necesario hacer que caduque, y de que, por el contrario, si la roban, no tiene sentido esperar a que caduque para cambiarla.
