Este mes se celebró el «Día mundial de la contraseña» (4 de mayo), por lo que conversamos con Mario Micucci, especialista en ciberseguridad de ESET Latam, quien nos habla de una serie de aspectos relacionados a la seguridad y nuestras contraseñas, así como algunos consejos importantes para mantenerlos seguros:
1- ¿Qué tan conscientes son las personas respecto de los riesgos vinculados a no tener contraseñas seguras? ¿Existe algún estudio al respecto?
La conciencia de las personas con respecto a los riesgos asociados con contraseñas no seguras puede variar ampliamente. Algunas personas pueden estar bien informadas y conscientes de los riesgos, mientras que otras pueden tener menos conocimiento sobre el tema.
En general, hay una creciente conciencia sobre la importancia de tener contraseñas seguras debido a los numerosos casos de violaciones de datos y ataques cibernéticos que se han producido en los últimos años. Organizaciones y empresas suelen realizar campañas de concientización sobre la seguridad de las contraseñas y brindar pautas para la creación de contraseñas robustas. Aunque es importante tener en cuenta que la conciencia por sí sola no siempre se traduce en comportamientos seguros. A pesar de ser conscientes de los riesgos, algunas personas pueden seguir utilizando contraseñas débiles por comodidad o falta de comprensión completa de las implicaciones de seguridad. Esto destaca la importancia de la educación continua sobre seguridad cibernética y la promoción de mejores prácticas en el manejo de contraseñas.
2- ¿Cuáles son las prácticas más inseguras respecto a las contraseñas?
Hay varias prácticas comunes que son consideradas inseguras en cuanto al manejo de contraseñas:
Contraseñas débiles: El uso de contraseñas débiles es una de las prácticas más inseguras. Esto incluye contraseñas cortas, predecibles o fácilmente adivinables, como «123456» o «contraseña». También incluye el uso de información personal fácilmente accesible, como nombres de familiares o fechas de cumpleaños.
Reutilización de contraseñas: Utilizar la misma contraseña para múltiples cuentas es un riesgo importante. Si un sitio web o servicio es comprometido y las contraseñas se ven afectadas, un atacante podría intentar usar esas mismas credenciales en otros servicios para acceder a más cuentas.
No cambiar las contraseñas regularmente: No actualizar las contraseñas con regularidad aumenta el riesgo de que sean comprometidas y utilizadas por personas no autorizadas. Es importante cambiar las contraseñas periódicamente, especialmente en cuentas sensibles o críticas.
Compartir contraseñas: Compartir contraseñas con otras personas, ya sea a través de mensajes de texto, correo electrónico o incluso verbalmente, es una práctica insegura. Esto puede conducir a una pérdida de control sobre las cuentas y dejarlas vulnerables a accesos no autorizados.
Almacenamiento inseguro de contraseñas: Guardar las contraseñas en lugares inseguros, como notas adhesivas, archivos sin protección o en el navegador web, es una práctica riesgosa. Si alguien tiene acceso físico o remoto a esos dispositivos, podría obtener fácilmente las contraseñas.
No utilizar autenticación de dos factores (2FA): La autenticación de dos factores proporciona una capa adicional de seguridad al requerir un segundo factor, como un código generado o enviado a un dispositivo móvil, además de la contraseña. No utilizar esta función cuando está disponible deja las cuentas más vulnerables a ataques.
Y estas son solo algunas de las prácticas inseguras más comunes. Es importante adoptar medidas para crear y mantener contraseñas seguras, así como utilizar prácticas adecuadas de gestión de contraseñas para proteger nuestras cuentas en línea.
3- ¿Cuáles son las contraseñas inseguras más usadas por las personas? ¿Esto ha variado en los últimos años? Por ejemplo, veía que la contraseña “123456” ha estado entre las dos contraseñas más usadas en los últimos 3 o 4 años.
Es cierto que ciertas contraseñas inseguras, como «123456», han sido consistentemente utilizadas por muchas personas a lo largo de los años. Estas contraseñas comunes y predecibles son extremadamente vulnerables a ataques de fuerza bruta y diccionario.
Según diversos informes de seguridad y estudios sobre violaciones de datos, algunas de las contraseñas inseguras más utilizadas incluyen:
123456
password
1234567890
qwerty
abc123
111111
Estas contraseñas son ejemplos de elecciones débiles y predecibles que los atacantes pueden probar fácilmente para acceder a cuentas. El hecho de que estas contraseñas sigan siendo populares y utilizadas por muchas personas resalta la falta de conciencia y las malas prácticas de seguridad en relación con las contraseñas.
Sin embargo, es importante tener en cuenta que la lista de contraseñas inseguras más utilizadas puede variar con el tiempo, ya que las recomendaciones de seguridad y las políticas de contraseñas pueden evolucionar. Es fundamental seguir las mejores prácticas actuales para crear contraseñas seguras, como utilizar una combinación de letras mayúsculas y minúsculas, números y caracteres especiales, evitar información personal fácilmente accesible y utilizar contraseñas únicas para cada cuenta.
4- ¿A qué tipos de ataques o riesgos estamos expuestos al usar contraseñas no seguras o en general al tener malas prácticas respecto a las contraseñas?
El uso de contraseñas no seguras o tener malas prácticas respecto a las contraseñas puede exponer a los usuarios a una serie de riesgos y ataques cibernéticos. Algunos de los principales riesgos y ataques asociados incluyen:
Fuerza bruta y ataques de diccionario: Los atacantes pueden utilizar software automatizado para probar una gran cantidad de contraseñas comunes o palabras del diccionario en un intento de adivinar la contraseña correcta. Si se utiliza una contraseña débil o común, es mucho más probable que el atacante tenga éxito.
Ataques de reutilización de contraseñas: Si una contraseña se utiliza en múltiples cuentas y una de ellas se ve comprometida, los atacantes pueden intentar usar las mismas credenciales en otras cuentas para obtener acceso no autorizado. Esto puede llevar a la violación de la privacidad, el robo de datos sensibles o la suplantación de identidad.
Robo de identidad: Si las contraseñas son fáciles de adivinar o se obtienen de manera no autorizada, los atacantes pueden acceder a las cuentas de las personas y robar su identidad. Esto puede llevar al acceso no autorizado a información personal, como datos financieros, datos médicos o información confidencial.
Desde luego estos son solo algunos ejemplos de los riesgos y ataques asociados con contraseñas no seguras o malas prácticas en el manejo de contraseñas. Es fundamental utilizar contraseñas seguras, únicas y seguir las mejores prácticas de seguridad para proteger nuestras cuentas y datos personales en línea.
5- ¿Cuáles serían los consejos básicos para tener contraseñas seguras?
Entre algunos consejos básicos para crear y mantener contraseñas seguras a continuación podemos destacar los siguientes:
Longitud: Elige contraseñas con al menos 12 caracteres. Cuanto más larga sea la contraseña, más difícil será de adivinar o descifrar.
Combinación de caracteres: Utiliza una combinación de letras (mayúsculas y minúsculas), números y caracteres especiales (@, #, $, %, etc.). Cuantas más variedades de caracteres uses, más segura será tu contraseña.
Evita información personal: Evita usar información personal fácilmente accesible o relacionada contigo, como nombres de familiares, fechas de nacimiento o nombres de mascotas. Estos datos son fáciles de obtener a través de redes sociales o búsquedas en línea.
Evita secuencias o patrones: No utilices secuencias numéricas o teclado como «123456» o «qwerty». También evita patrones obvios en el teclado, como «asdfgh» o «qwertyuiop».
No reutilices contraseñas: Utiliza contraseñas únicas para cada cuenta que tengas. Si una contraseña es comprometida, no quieres que el atacante pueda acceder a todas tus cuentas.
Cambia las contraseñas regularmente: Aunque no es necesario cambiar las contraseñas con demasiada frecuencia, es recomendable actualizarlas periódicamente, especialmente en cuentas importantes o sensibles.
Utiliza autenticación de dos factores (2FA): Habilita la autenticación de dos factores siempre que sea posible. Esto proporciona una capa adicional de seguridad, ya que se requiere un segundo factor, como un código enviado a tu teléfono, además de la contraseña.
Utiliza un administrador de contraseñas: Considera utilizar un administrador de contraseñas confiable. Estas herramientas te permiten almacenar de forma segura y gestionar contraseñas únicas para cada cuenta sin tener que recordarlas todas.
Recuerda que estos son consejos básicos, pero muy importantes para crear contraseñas seguras. Además, es fundamental mantener tus dispositivos y aplicaciones actualizadas, utilizar conexiones seguras al ingresar contraseñas y mantener una actitud vigilante frente a posibles amenazas en línea.
6- ¿Es cierto que es posible un mundo sin contraseñas? ¿Cuáles son las tendencias al respecto? ¿Qué podemos esperar en el corto y mediano plazo?
Es cierto que hay un impulso creciente hacia un mundo sin contraseñas tradicionales. La dependencia exclusiva de las contraseñas presenta varios desafíos, como la dificultad para recordar contraseñas seguras y únicas, el riesgo de violaciones de datos y el aumento de los ataques cibernéticos. Como resultado, hay varias tendencias y avances tecnológicos que buscan reemplazar o complementar las contraseñas convencionales en el corto y mediano plazo. A continuación, se presentan algunas de estas tendencias:
Autenticación basada en biometría: El uso de características biométricas únicas, como huellas dactilares, reconocimiento facial, escaneo de iris o voz, se está volviendo cada vez más popular. Estos métodos pueden proporcionar una forma más segura y conveniente de autenticación, ya que las características biométricas son difíciles de duplicar.
Autenticación multifactorial (MFA): La autenticación multifactorial combina dos o más métodos de autenticación, como una contraseña y un código de verificación enviado a un dispositivo móvil. Esto agrega una capa adicional de seguridad y dificulta el acceso no autorizado.
Autenticación basada en hardware: Los dispositivos físicos, como tokens de seguridad o llaves de seguridad USB, se utilizan para la autenticación. Estos dispositivos generan códigos únicos que se requieren junto con la contraseña para acceder a una cuenta.
Autenticación basada en comportamiento: Este enfoque analiza el comportamiento del usuario, como el estilo de escritura, los patrones de clics o el uso del mouse, para determinar si el acceso es legítimo. El objetivo es identificar cualquier comportamiento anómalo que pueda indicar un intento de acceso no autorizado.
En el corto y mediano plazo, podemos esperar una mayor adopción de estas tecnologías de autenticación alternativas. Sin embargo, también es probable que las contraseñas tradicionales sigan siendo utilizadas en algunos casos, al menos como una capa adicional de seguridad. La transición hacia un mundo sin contraseñas requerirá tiempo y una amplia aceptación de nuevas tecnologías, así como también la implementación de estándares y regulaciones adecuadas para garantizar la seguridad y la privacidad de los usuarios.
7- ¿Qué riesgos o dificultades existen para implementar estas nuevas tendencias?
Si bien las nuevas tendencias en autenticación presentan beneficios potenciales, también hay algunos riesgos y dificultades asociados con su implementación. Algunos de ellos incluyen:
Privacidad y protección de datos: Las tecnologías de autenticación biométrica y comportamental recopilan y almacenan datos personales sensibles. Existe el riesgo de que estos datos sean comprometidos o mal utilizados, lo que plantea preocupaciones en términos de privacidad y protección de datos.
Interoperabilidad: Dado que hay múltiples métodos de autenticación alternativos, es importante asegurarse de que sean compatibles entre diferentes plataformas, sistemas y dispositivos. La falta de interoperabilidad puede dificultar la adopción generalizada y crear una experiencia fragmentada para los usuarios.
Costo y accesibilidad: Algunas de las tecnologías de autenticación alternativas pueden requerir dispositivos o infraestructura adicional, lo que podría aumentar los costos de implementación. Además, puede haber barreras de accesibilidad para personas con discapacidades o aquellos que no tienen acceso a dispositivos compatibles.
Aceptación del usuario: Cambiar los hábitos de autenticación de los usuarios puede ser un desafío. Muchas personas están acostumbradas a las contraseñas y pueden resistirse o encontrar dificultades para adoptar nuevos métodos. La educación y la concienciación sobre los beneficios y la seguridad de las nuevas tecnologías son fundamentales para fomentar la aceptación del usuario.
Ataques avanzados: A medida que se introducen nuevas formas de autenticación, los ciberdelincuentes también desarrollarán métodos avanzados para eludirlos. Es importante estar al tanto de las posibles vulnerabilidades y desafíos de seguridad que podrían surgir con las nuevas tecnologías y tomar medidas adecuadas para mitigar los riesgos.
Estos son solo algunos de los riesgos y dificultades asociados con la implementación de nuevas tendencias en autenticación. A medida que avancen las tecnologías y las regulaciones de seguridad, es probable que se aborden y se desarrollen soluciones para superar estos desafíos.
8- ¿Qué soluciones de software podemos encontrar actualmente para estar protegidos? ¿Son seguras las aplicaciones o sistemas de almacenamiento de contraseñas?
Actualmente, hay varias soluciones de software disponibles para ayudar a proteger nuestras contraseñas y mejorar la seguridad en línea. Algunas de estas soluciones incluyen:
Administradores de contraseñas: Los administradores de contraseñas son aplicaciones que ayudan a almacenar y gestionar contraseñas de manera segura. Estas aplicaciones generan contraseñas fuertes, las almacenan en una bóveda cifrada y las autocompletan en sitios web y aplicaciones cuando sea necesario. Algunos ejemplos populares son LastPass, 1Password y Dashlane.
Autenticación de dos factores (2FA): Muchos servicios en línea, como redes sociales, instituciones financieras y proveedores de correo electrónico, ofrecen la opción de habilitar la autenticación de dos factores. Esto implica que, además de la contraseña, se requiere un segundo factor de autenticación, como un código enviado a un dispositivo móvil, para acceder a la cuenta. La autenticación de dos factores proporciona una capa adicional de seguridad.
Aplicaciones de autenticación: Estas aplicaciones generan códigos de verificación únicos que se utilizan en la autenticación de dos factores. Google Authenticator y Authy son ejemplos comunes de aplicaciones de autenticación.
Soluciones de cifrado de contraseñas: Algunas aplicaciones o sistemas utilizan el cifrado de extremo a extremo para proteger las contraseñas almacenadas. Esto significa que las contraseñas se cifran antes de ser enviadas o almacenadas y solo pueden descifrarse con una clave específica. KeePass y Bitwarden son ejemplos de soluciones de almacenamiento de contraseñas con cifrado.
En cuanto a la seguridad de las aplicaciones o sistemas de almacenamiento de contraseñas, es importante elegir soluciones confiables y bien establecidas. Las aplicaciones y servicios mencionados anteriormente han sido ampliamente adoptados y se han sometido a pruebas de seguridad rigurosas. Sin embargo, es fundamental seguir buenas prácticas de seguridad, como utilizar contraseñas maestras fuertes y mantener el software actualizado.
Además, es esencial tener en cuenta que ninguna solución es 100% infalible. Siempre existe un riesgo inherente asociado con el almacenamiento de contraseñas, y las amenazas cibernéticas están en constante evolución. Por lo tanto, es importante estar alerta, utilizar múltiples capas de seguridad y seguir las recomendaciones de seguridad en línea para proteger nuestras cuentas y datos personales.
