El uso de contraseñas ya se ha vuelto prácticamente indispensable para el uso de internet, ya que nos permite tener la confidencialidad de nuestros datos que se alojan en múltiples sitios de internet, tales como redes sociales, bancos, correo electrónico, blogs, etc. Todos ellos tienen información personal nuestra y es importante que nos fijemos en la seguridad que nos ofrecen estos sitios.
Hemos querido dedicar un artículo a un tema tan importante, pero que muchas veces no tomamos en cuenta, ya que pueden ocurrir efectos indeseables, tales como fuga de información personal, tales como fotos, mensajes, conversaciones e incluso dinero.
Por tanto como primera instancia, debemos entender que las contraseñas NO deben ser compartidas con ninguna otra persona, ya que nunca podemos saber las consecuencias de los actos de terceros con nuestra información. Como lo dicen en todos los sitios de bancos, "la contraseña debe ser personal e INTRANSFERIBLE".
En este artículo revisamos los siguientes puntos:
Usuario y contraseña
Estos datos, son los más habituales para iniciar sesión en cualquier sitio web, por lo que si bien nuestro usuario es público (no es secreto), la contraseña sí debe serlo, ya que manteniéndolo secreto, evitaremos que cualquiera pueda entrar a obtener nuestra información.
Sin embargo, aunque nunca difundamos nuestra contraseña, algún desconocido puede obtenerla fácilmente si no cumple con requisitos básicos para evitar que puedan adivinarla:
- Mínimo 8 caracteres: La mayoría de los sitios requieren que las contraseñas tengan por lo menos 8 caracteres, aunque nosotros aconsejamos que sean al menos 10.
- Uso de mayúsculas: Las contraseñas diferencian entre las mayúsculas y las minúsculas, por lo que añadir algún caracter en mayúsculas, disminuye la posibilidad de ser adivinada.
- Uso de números y caracteres especiales: Las herramientas para descubrir contraseñas, lo hacen de muchas formas, las más habituales son con palabras de diccionario o mezclando otros atributos conocidos, como fechas de nacimiento, nombres relacionados, usuarios, etc, por lo que adicionalmente recomendamos que usen caracteres especiales (!"#$%&) y números para mejorar la seguridad de nuestra contraseña.
Es totalmente válido crear una contraseña nosotros mismos, mientras cumplan con las recomendaciones anteriores, pero de todos modos, podemos utilizar herramientas online como clavesegura.org u otros generadores de contraseñas, para crearlas fácilmente.
Autenticación en dos pasos
Ahora bien, tenemos una contraseña segura, pero por un descuido alguien la obtiene (por ataque informático, por un papel en el computador, etc), entonces ese sujeto intentará ingresar a nuestra sesión en el sitio al que pertenece la contraseña, lo que representa un gran problema.
Para mejorar la seguridad, en muchos sitios web, se ha implementado un nuevo sistema que se llama "Autenticación en dos pasos" o "tercera clave", que implica que se requiere de un componente adicional para poder ingresar a un sitio, o realizar una transacción, etc. Esto permite que se requiera de un mensaje de texto (o un token de seguridad, o una aplicación como Google Authenticator) que muestra un código aleatorio que debe ser ingresado en el sitio web, el que caduca tras unos minutos, solo es válido una vez y solo en el dispositivo que ingresó con la contraseña correcta, si el atacante no tiene acceso a tu teléfono (o aplicación o token), no sabrá la "tercera clave" por tanto no podrá ingresar aunque ya posea tu contraseña.
Esta configuración de seguridad si bien está disponible, no está habilitada por defecto, ya que requiere un número telefónico o la app instalada. Es necesario buscar entre las configuraciones de seguridad esta opción, habilitarla y configurarla según sus instrucciones para que funcione correctamente.
Así, la próxima vez que te llegue un mensaje (o una notificación) con una "tercera clave", es indicador de que alguien ya posee tu contraseña y está intentando ingresar a tu cuenta. Nuestra recomendación es cambiar la contraseña inmediatamente, para evitar que otros puedan acceder a tu cuenta.
Protección contra ataques de fuerza bruta
Los ataques de fuerza bruta ocurren cuando un atacante utiliza un usuario, e intenta adivinar constantemente nuestra contraseña con distintos métodos hasta conseguirlo. Algunos sitios web han implementado mecanismos para evitar estos ataques bloqueando el acceso al sitio temporalmente a direcciones IP públicas que intenten más de X veces el acceso con una contraseña errónea. Es posible que este sistema produzca falsos positivos, ya que el usuario podría equivocarse involuntariamente, bloqueando su propia cuenta temporalmente, sin embargo, es necesario que estos sistemas existan, para evitar que atacantes obtengan contraseñas de usuarios, incluyendo la tuya. En caso de que tu cuenta sea bloqueada por varios intentos fallidos, quiere decir el sitio web tiene implementada esta protección; lo mejor es contactar a tu proveedor del sitio web, e informarle la situación con detalles para desbloquear tu cuenta.
En un siguiente artículo mencionaremos otros puntos clave a mencionar en seguridad.