IV.

Cómo hacer que tus contraseñas sean seguras

Al elegir contraseña, lo más importante es que sea larga. Se suele recomendar que tenga 15 caracteres como mínimo. Además, no se debe utilizar una misma contraseña en diferentes sitios. Si lo haces y alguien filtra o averigua esa contraseña, ¿cómo podrías impedir que los atacantes iniciaran sesión en otros sitios web con la misma contraseña?

Note

Puedes registrarte en https://haveibeenpwned.com/ para recibir notificaciones sobre la filtración de datos de acceso. Así, si se detecta una filtración en Internet que afecte a tu dirección de correo electrónico, es muy probable que recibas una notificación y puedas cambiar tu contraseña antes de que se haga un mal uso de ella.

Cómo usar diferentes contraseñas y recordarlas más fácilmente

Si usas muchas contraseñas distintas, es difícil que te acuerdes de todas. Lo habitual es registrarlas en notas, ya sea en formato digital, en un cuaderno o en un papel. Pero, si alguien obtuviera acceso a esas notas, podría entrar en todos los sitios web que tienes apuntados. ¿Cómo puedes evitarlo?

Gestores de contraseñas

Los gestores de contraseñas son programas que recuerdan tus contraseñas y otros secretos. Suelen cifrar todos los datos que guardas en ellos y solo te permiten a ti utilizar la información almacenada. La seguridad de los gestores de contraseñas, como veremos más adelante, depende de la clave y no del algoritmo utilizado. Es decir, si perdieras el acceso a la base de datos que contiene todas tus contraseñas cifradas, nadie podría acceder a ellas sin la clave.

En el caso de los gestores de contraseñas, esa clave es muy larga, imposible de memorizar. Por eso, se usa una contraseña maestra para descifrar la propia clave, que luego se utiliza para descifrar los datos. Básicamente, la clave es tan segura como tu contraseña maestra. De esta manera, se sacrifica un poco la seguridad para ofrecer usabilidad. Una contraseña maestra es más fácil de recordar que una clave muy larga formada por bits aleatorios. Sin embargo, la contraseña maestra debe ser muy segura, por lo que debe ser larga y difícil, si no imposible, de adivinar. Algunos gestores de contraseñas ofrecen otros medios de recuperar tu cuenta, pero ten cuidado si esa información de recuperación se almacena en algún lugar que no controles tú, ya que eso significa que cualquiera que tenga acceso a esos datos de recuperación podrá descifrar tus contraseñas.

Los gestores de contraseñas también incluyen funciones que generan contraseñas seguras para que las utilices. También hay muchos gestores que te muestran la seguridad relativa de tus contraseñas utilizando algo similar al cálculo de la entropía que vimos antes. Casi todos los gestores de contraseñas disponen de complementos que puedes instalar en el navegador y que rellenan automáticamente los datos para iniciar sesión en los sitios web que visitas. Además, dado que la mayoría son multiplataforma, puedes utilizar la misma aplicación en todos tus ordenadores, tabletas y teléfonos móviles.

Algunos gestores de contraseñas ofrecen otra función muy útil: la de avisarte en caso de que se produzcan filtraciones de contraseñas en los sitios web que usas. Cuando recibes esa notificación, el propio gestor de contraseñas puede ayudarte a cambiar la contraseña por una nueva, para impedir que los atacantes inicien sesión con esas credenciales, que pueden haberse filtrado.

A elegir un gestor de contraseñas, debes fijarte en dónde y cómo se almacenan la base de datos de las contraseñas y las claves de cifrado. Algunos gestores te permiten almacenar las contraseñas en una base de datos local. De esta manera, te aseguras de que nadie más pueda acceder al archivo de la base de datos. Dependiendo del software, tal vez puedas sincronizar la base de datos entre tus ordenadores y otros dispositivos a través de diferentes servicios, como Dropbox o iCloud. Hay gestores de contraseñas que guardan la base de datos en sus servidores. En ese caso, lo más importante es entender cómo se gestionan el cifrado y las claves de cifrado. Algunos servicios necesitan almacenar la clave maestra de cifrado en sus servidores, pero esto también les permite descifrar la base de datos de contraseñas. Otros, como 1Password, guardan la base de datos de contraseñas en la ubicación que tú elijas (versión independiente) o en sus servidores (versión de suscripción). En cualquier caso, solo tú tienes la clave maestra de cifrado.

Note

Puede que te hayas dado cuenta de que usar un gestor de contraseñas es como poner «todos los huevos en la misma cesta». Si un atacante consigue acceder a tu base de datos de contraseñas y descifrarla, pierdes todas las contraseñas a la vez. A pesar de esto, utilizar un gestor de contraseñas suele tener muchas ventajas, que compensan el riesgo de perder todas las contraseñas al mismo tiempo. Permite guardar a buen recaudo numerosas contraseñas largas y distintas entre sí, que serían casi imposibles de recordar. Aunque hackeen un sitio web y obtengan una de tus contraseñas, eso no supondrá ningún riesgo para las demás credenciales, ya que cada contraseña es diferente. Eso sí: para proteger tu base de datos, elige una buena contraseña maestra, que sea lo suficientemente larga. Incluso puedes utilizar una frase como contraseña (o una serie de varias palabras no relacionadas), para que sea aún más larga.

Si te preocupa que alguien consiga tus datos de acceso, en muchos casos puedes utilizar una medida de protección adicional, como la autenticación multifactor.

Imágenes de un móvil, una persona pensando y una huella dactilar
Imágenes de un móvil, una persona pensando y una huella dactilar

Autenticación multifactor

La autenticación multifactor o MFA (de multi-factor authentication) consiste en identificarse ante un servicio utilizando varios factores. Los factores suelen ser los siguientes:

  • Algo que sabes (un conocimiento, como una contraseña).

  • Algo que tienes (una posesión, como el teléfono móvil u otro objeto físico).

  • Algo que eres (la llamada inherencia, como tu huella dactilar o tu retina).

El tipo de autenticación multifactor más habitual se denomina autenticación de dos factores. Un ejemplo de autenticación de dos factores, o 2FA (del inglés 2-factor authentication), son los pagos con tarjeta de crédito. Al pagar con tarjeta, usas algo que tienes (la tarjeta de crédito) y algo que sabes (tu código PIN) para autorizar el pago.

Note

El conjunto del nombre de usuario y la contraseña se considera un solo factor. Ambos se incluyen en la categoría de «algo que sabes». Algunos sitios web siguen utilizando las preguntas de seguridad como factor adicional, especialmente para recuperar contraseñas olvidadas, pero no dejan de ser un componente más del mismo conjunto. Y, lo que es peor, las respuestas a esas preguntas de seguridad suelen ser muy fáciles de encontrar en Internet.

La autenticación multifactor se usa para añadir seguridad a la manera de identificarte (o autenticarte). Es posible que alguna vez te hayas enterado de que un sitio web que utilizas ha sufrido un ataque y se han filtrado los nombres de usuario y las contraseñas en Internet. Si no empleas la autenticación multifactor o su variante más común, la autenticación de dos factores (2FA), cualquier persona con acceso a esas credenciales puede utilizarlas para acceder a la cuenta. Si has usado la misma contraseña en varios servicios, cualquiera que tenga acceso a las credenciales puede introducirla en todos ellos. Sin embargo, si has habilitado la 2FA en los servicios que utilizas, el atacante también tendría que acceder al segundo factor para poder entrar en tu cuenta.

Los segundos factores más habituales son los siguientes:

  • SMS (es necesario tener acceso al teléfono para poder iniciar sesión).

  • Contraseñas de un solo uso (OTP, de one-time password), ya sea mediante una aplicación o un token físico como una llave RSA (un pequeño dispositivo que genera contraseñas de un solo uso).

  • Llaves de seguridad, como YubiKey o Titan de Google.

  • Notificaciones push (por ejemplo, las que se envían a través de la aplicación de Google o Microsoft Authenticator).

  • Reconocimiento facial o de huellas dactilares.

Note

Cuidado con los SMS

Aunque el SMS sigue siendo el factor adicional más utilizado, se puede interceptar. Las medidas de seguridad que ofrecen los SMS se pueden sortear con muchos tipos de ataques. Además, los delincuentes pueden usar trucos para engañar a los usuarios y que introduzcan su contraseña de un solo uso al responder a solicitudes inesperadas, lo que les permite utilizar ese código en sus ataques.

Este tipo de ataque de ingeniería social puede consistir en un SMS en el que se te indica que tu cuenta está sufriendo un ataque y que debes introducir la contraseña de un solo uso para que el servicio compruebe que no eres el atacante. Otra estrategia bastante frecuente es llamar por teléfono fingiendo ser un empleado de tu banco o de otra institución en la que confías, para pedirte que confirmes tu identidad facilitando tu contraseña de un solo uso. En ese momento, el delincuente intenta acceder a tu cuenta y te pide la contraseña de un solo uso. El atacante puede parecer alguien en quien confiar y advertirte de que no des tus credenciales a nadie (¡cuando él ya la tiene!). Recuerda que los bancos, Gobiernos e instituciones oficiales que son legítimos nunca te pedirán tu contraseña ni tu PIN.

Otro proveedor de tokens (los tokens son elementos para autenticarse) que se suele usar son las aplicaciones de autenticación. Hay varias aplicaciones que ofrecen este servicio, así que puedes elegir la que prefieras. La mayoría son multiplataforma, de modo que son compatibles con la mayor parte de los teléfonos móviles y ordenadores. Las aplicaciones de autenticación más utilizadas son Google Authenticator, Authy y Microsoft Authenticator, pero hay muchas otras. A menudo, la aplicación de autenticación tiene que obtener del servidor un valor de seed (un código) para poder generar la contraseña de un solo uso. La forma más habitual, hoy en día, es escanear un código QR con la cámara del móvil. El código seed suele cambiar cada 30 segundos, aunque se suele aplicar un margen de tiempo (en general, de un minuto aproximadamente) durante el cual sigue siendo válido.

Llaves de seguridad

De los factores que hemos mencionado antes, al hablar de la autenticación multifactor, el más seguro es la llave de seguridad. Su uso es un poco más complicado que el de una aplicación de autenticación, pero ofrece un mayor grado de protección. Si pierdes el móvil donde tienes la aplicación de autenticación, puedes perder toda la información que protege tus cuentas. En cambio, la llave de seguridad es un dispositivo físico independiente que se necesita además de las credenciales. Así, aunque pierdas solamente el dispositivo que contiene las contraseñas, eso no significa que alguien pueda iniciar sesión en tu cuenta. Es recomendable guardar un duplicado de la llave de seguridad en un lugar bien protegido, por si la llave principal se pierde o se rompe. Estas llaves suelen incluir un paso adicional para proteger los datos que contienen. Normalmente, hay que pulsar un botón para poder utilizar el secreto. Esto evita que el malware de tu ordenador lea el token de seguridad, a menos que alguien accione el mecanismo en persona.

Un smartphone con reconocimiento facial y otro con escaneo de huellas dactilares
Un smartphone con reconocimiento facial y otro con escaneo de huellas dactilares

Inicio de sesión sin contraseña

El uso de contraseñas presenta muchos puntos débiles. Por ejemplo, los usuarios prefieren las contraseñas menos seguras pero fáciles de recordar y tienen que guardarlas en algún lugar, que no suele estar bien protegido. Cuando se filtran datos de inicio de sesión, esa información se puede utilizar con malas intenciones, incluso en otros sitios, si comparten la misma contraseña. Las tablas arcoíris y la fuerza bruta serán más útiles en el futuro, a medida que los ordenadores sean más rápidos y que avancen la comprensión de los algoritmos y la computación cuántica. Los sistemas para iniciar sesión sin contraseña tratan de evitarlo utilizando cifrado con claves públicas y privadas. Con este método, la clave privada no se transfiere al servidor y, aunque se pierda la clave pública almacenada en el servidor, solo el propietario de la clave privada puede acceder a la cuenta del usuario. La autenticación Windows Hello de Microsoft es un ejemplo de inicio de sesión sin contraseña.

Windows Hello admite diferentes métodos, desde un código PIN hasta la huella dactilar o incluso el reconocimiento facial. La autenticación inicial se realiza localmente, en tu ordenador, y en ningún momento se transfiere al servidor. Mientras tanto, se utiliza el código PIN o la huella dactilar para autorizar un intercambio criptográfico entre el ordenador y el servidor que, al completarse, te permite acceder al ordenador.

Note

¿Autenticación sin contraseña o multifactor?

El inicio de sesión sin contraseña puede confundirse con la autenticación multifactor, ya que el procedimiento puede ser bastante similar para el usuario. Con la autenticación sin contraseña, el sistema suele pedir algunos datos de identificación, como el nombre de usuario o una dirección de correo electrónico. La autenticación sin contraseña puede realizarse a través de diferentes factores, que también se usan en la autenticación multifactor. La diferencia es que la autenticación sin contraseña no requiere que recuerdes un secreto compartido con el servidor, como una contraseña. Y, aunque uses un código PIN (que, como contraseña, sería terrible), ese código no se transmite al servidor, sino que se utiliza para habilitar la autenticación criptográfica localmente, en el ordenador.

Part summary

Al finalizar el capítulo 2, deberías ser capaz de:

  • Entender qué tipos de datos se deben proteger y qué puedes dejar desprotegido.

  • Explicar dónde y cómo dejas rastros de datos y para qué se utilizan.

  • Comprender cómo informarte sobre tus derechos y responsabilidades en relación con el uso de datos.

  • Entender los conceptos básicos de cómo crear una buena contraseña y reforzar la seguridad al iniciar sesión en cualquiera de tus cuentas de Internet.

You reached the end of Chapter 2

Correct answers

0%

Exercises completed

0/0

Next Chapter
3. Protección de las comunicaciones