Contraseñas a prueba de ‘hackers’... ¡y fáciles de recordar!

Olvídate de esos caracteres especiales y de las lindas pistas personales que, según crees, solo tú puedes descifrar. Mejor atiende las siguientes técnicas científicas para crear contraseñas.

ÚLTIMAMENTE, los casos de vulnerabilidad en seguridad cibernética parecen ocurrir cada semana. En países como Estados Unidos, por ejemplo, más de 14 millones de personas al año son víctimas de robo de identidad, según cálculos recientes. Pero los consumidores continúan presentándose vulnerables frente a defraudadores ansiosos de hacerse de su información personal. El culpable: las contraseñas altamente predecibles, los NIP y otras formas de inicio de sesión que usan en sus cuentas en línea.

Ello representa un error muy costoso. Cada vez más personas son víctimas del fraude de los ladrones de información, y las cantidades de dinero que pierden también aumenta vertiginosamente. En total, 3.3 millones de estadounidenses tienen algún tipo de carga financiera por un fraude perpetrado en sus cuentas durante 2018 (el año más reciente en que la información estuvo disponible). Mientras tanto, la cantidad que pagaron los individuos aumentó más del doble, a 1,700 millones de dólares durante el mismo periodo, según un estudio del año pasado de Javelin Strategy & Research.

Claro, tanto Visa como MasterCard tienen políticas de cero responsabilidad, las cuales dicen que no se harán responsables por cargos no autorizados a tu tarjeta siempre y cuando reportes el fraude con rapidez. Pero las letras pequeñas añaden una advertencia: para calificar, el tarjetahabiente debe preocuparse de proteger su tarjeta.

¿Una contraseña que es fácil de adivinar violaría estas normas? Este año, en Canadá, un banco reportó que hizo responsable a una estudiante de unos 6,800 dólares en cargos fraudulentos hechos después de que perdió su tarjeta de débito. El banco dijo que el joven, de 20 años, usó los últimos cuatro dígitos de su teléfono celular, una secuencia fácil de descifrar, al igual que la de su número de identificación personal.

Los expertos en seguridad cibernética dijeron a Newsweek que nunca habían oído de un caso similar en Estados Unidos y piensan que el riesgo para los consumidores estadounidenses es próximo a nulo gracias a las protecciones federales que limitan la responsabilidad bajo las Leyes de Facturación Crediticia Justa y Transferencia Electrónica de Fondos. Pero, aun cuando la ley ayudará a protegerte si hackean tu tarjeta de débito o crédito, una cantidad cada vez mayor de defraudadores está viendo más allá de estos canales clásicos para atacar hipotecas, préstamos estudiantiles, préstamos automotrices y otros tipos de cuentas financieras, según descubrió Javelin.

Y estas cuentas carecen de las mismas protecciones al consumidor que tienen las tarjetas de débito y crédito, lo que lleva a las compañías a determinar la responsabilidad caso por caso, dice Adam Levin, un experto en seguridad cibernética e identificación de fraude y autor de Swiped: How to Protect Yourself in a World Full of Scammers, Phishers, and Identity Thieves.

Ahora bien, ¿cómo saber si tus contraseñas o NIP son lo bastante fuertes para evitar que los hackers accedan a tus cuentas, lo cual podría dejarte con un desastre que consuma tiempo y sea potencialmente costoso de limpiar?

No uses la palabra “contraseña” como contraseña y mejor sigue estas siete reglas.

“Una frase formada con los dos primeros versos de la canción ‘Hey Jude’, de los Beatles, les tomaría adivinarla a los hackers 119 milenios, nueve siglos y casi cinco décadas”. Ilustración: Paul Dudikov

Piensa en memorable, no en complejo

Por años, el consejo estándar para crear contraseñas seguras fue incluir una mezcla de letras en mayúscula y minúscula, números y caracteres especiales (como &, %, $ y *). Pero ese consejo solo funciona si seleccionas y ordenas al azar esos caracteres, algo que la mayoría de la gente evita porque provoca que la contraseña sea demasiado difícil de recordar. Incluso la gente que opta por contraseñas que a otros les es más difícil discernir, a menudo toma atajos para ayudarse a recordarlas, como añadir “123” al final, lo cual lleva, irónicamente, a patrones fácilmente predecibles que hacen menos seguros esos accesos.

Por ello, el Instituto Nacional de Ciencia y Tecnología (NIST, por sus siglas en inglés) ha retirado el consejo de tener una mezcla compleja de caracteres de sus guías de seguridad. Su recomendación más reciente, más bien, es pensar en una contraseña que sea una frase completa, dice Curtis Dukes, vicepresidente ejecutivo del Centro de Seguridad de Internet.

Por ejemplo, trata de juntar cuatro o cinco palabras no asociadas como “granizo mangosta hule abuelita” para crear una serie única de caracteres que te sea fácil de recordar, pero difícil de adivinar para alguien más, dice Levin. El caricaturista Randall Munroe, creador del popular webcómic xkcd, el cual explora tecnología, matemáticas y otros temas, ilustró la idea en una entrega popular, en la cual señaló que la contraseña “Tr0ub4dor&3” puede ser hackeada en menos de tres días porque contiene mayúsculas predecibles, colocación de caracteres especiales y sustituciones de letras por números, pero una contraseña como “correct horse battery staple” tomaría 550 años.

Si memorizar una lista de palabras al azar parece un reto muy grande, trata de usar la primera letra de cada palabra en un verso o dos de tu canción o cita favorita. Digamos, por ejemplo, que eres fan del éxito musical del año pasado “Old Town Road”, de Lil Nas X, la cual empieza: “Sí, voy a llevar mi caballo al viejo camino vecinal. Voy a montar hasta que no pueda más”. Usar la primera letra de cada palabra de estos dos versos de la canción resulta en una contraseña que se ve así: svalmcavcvvamhqnpm. Parece imposible de recordar al principio, pero canta la canción en tu mente y la contraseña te vendrá con facilidad.

No la hagas demasiado personal

Una de las maneras más sencillas de recordar una contraseña es relacionarla con algo que te es importante. Los hackers saben esto y cuentan con ello, a menudo usando registros públicos, perfiles de redes sociales y otra información filtrada para conocer fechas significativas (cumpleaños, aniversarios), nombres (mascotas, cónyuge, niños, apellido de soltera) y números (teléfono, direcciones, Seguridad Social) que podrían aparecer en tus contraseñas. “Tu contraseña no debería tener relación alguna con algo en tu vida”, dice Levin.

Más grande sí es mejor

Busca tener una contraseña que tenga 12 caracteres o más, dice James Lee, director ejecutivo del Centro de Recursos de Robo de Identidad. La razón es sencilla: las contraseñas más largas son más difíciles de adivinar.

Una contraseña de siete caracteres le puede requerir a un software de hackeo tan poco como 0.29 milisegundos para descifrarla, pero una contraseña de 12 caracteres podría tardar casi dos siglos, según la investigación del consultor en software y tecnología BetterBuys, con base en información de Intel y herramientas para adivinar contraseñas. Súbela a 24 caracteres y a los hackers les tomará más de 18 millones de años, según información de la Universidad de Wisconsin.

Para probar con cuánta rapidez se puede adivinar tu contraseña, puedes usar la herramienta interactiva de BetterBuys, “Calcular tiempos para adivinar contraseñas”, en su sitio web.

Cámbiala solo cuando sea necesario

En vez de crear una contraseña nueva cada 30, 60 o 90 días, NIST ahora te recomienda que evites cambios frecuentes. Quédate con la misma contraseña, a menos de que pienses que ha sido comprometida.

“Cambiar contraseñas de manera frecuente es demasiado difícil para la gente”, dice Dukes. “La mayoría escribía la nueva contraseña, usaba contraseñas fáciles de recordar o solo le añadía números a su contraseña. Esto no añadía algún valor de seguridad”.

Más bien, recomienda que revises el sitio web Have I Been Pwned (haveibeenpwned.com) con regularidad para saber si tienes una cuenta que ha sido comprometida en una filtración de datos. De ser así, crea contraseñas nuevas solo para las cuentas afectadas. Y cada vez que oigas de un ataque cibernético a una compañía con la que haces negocios, esa es una señal de alterar tu contraseña, dice Levin. También puedes revisar si alguna de tus contraseñas existentes ha sido hackeada usando la herramienta interactiva de contraseñas del mismo sitio, la cual contiene una base de datos con más de 500 millones de contraseñas que han sido filtradas después de varios ataques cibernéticos. Si están en esa base de datos, es hora de cambiarlas.

Nunca repitas tus contraseñas

Hoy la gente puede tener hasta 90 cuentas en línea; crear una contraseña única para cada una de ellas es un fastidio enorme. Razón por la cual la mayoría de la gente no lo hace. Por ejemplo, un sondeo de McAfee halló que los encuestados tenían, en promedio, 23 cuentas en línea que requieren una contraseña, pero solo usaban 13 contraseñas únicas para acceder a esas cuentas. Alrededor de la tercera parte de los consumidores solo usa dos o tres contraseñas para todas sus cuentas.

“Es igual de importante tener una contraseña fuerte que tener múltiples”, dice Lee. “Necesitas una única para cada cuenta. No repitas. En cuanto los hackers encuentren un inicio de sesión al que puedan acceder, tratarán de usar esa misma contraseña para acceder a todas tus otras cuentas. Solo les facilita las cosas a los hackers”.

Obtén la ayuda correcta

Por supuesto, una razón muy grande de por qué mucha gente depende de una cantidad pequeña de contraseñas para múltiples cuentas es hacerlas más fáciles de recordar, y la memorización es el método principal que la mayoría de la gente usa para registrar sus contraseñas. Los siguientes métodos más populares, según un sondeo del Centro de Investigación Pew: la mitad de los usuarios escribe sus contraseñas en una lista de papel; 24 por ciento las incluye en una nota en su computadora o teléfono móvil, y 18 por ciento las guarda en un navegador de internet.

También podrías colgar un letrero de bienvenida para los defraudadores que diga: “Entren y róbenme”. Todos estos métodos son en gran medida inseguros porque cualquiera que use tu computadora puede iniciar sesión en tus cuentas si las guardas en tu dispositivo o navegador, o toparse con tu lista escrita, si no está guardada apropiadamente bajo llave. Además, los navegadores se pueden hackear fácilmente.

Un mejor enfoque: usa una bóveda o gestor de contraseñas. Estos servicios almacenan con seguridad la información de tu cuenta y contraseñas ya sea en tu disco duro o en la nube. Muchas compañías ofrecen una versión básica gratuita, pero cobran entre 25 y 60 dólares al año por características avanzadas, como acceso de emergencia y apoyo técnico prioritario.

Si usas un programa, como KeePass, el cual opera a través del disco duro de tu computadora, necesitarás copiar y pegar la contraseña en cada sitio web. Pero los programas como LastPass y Dashlane operan a través de la nube, lo cual significa que pueden iniciar sesión automáticamente en los sitios web que visites, cambiar contraseñas por ti y recomendar contraseñas seguras. La conveniencia extra de las conexiones en la nube sí las hace más vulnerables a hackeos de gran escala que aquellas que operan a través del disco duro de tu computadora, dice Lee. Pero el riesgo de saltarse el gestor de contraseñas y mejor usar unas repetitivas es mucho más grande, añade.

Hazlo un poco más complicado

Respalda tu contraseña utilizando autenticación de dos o múltiples factores en cualesquiera cuentas que ofrezcan esta opción. Esto significa que después de ingresar tu contraseña, el sitio requiere que hagas un paso extra de seguridad para obtener acceso, como insertar un código de corta duración enviado a tu teléfono o correo electrónico o tomado de un generador tercero, como Google Authenticator.

Algunos sitios web podrían añadir seguridad adicional en la forma de preguntas personales, como preguntarte el apellido de soltera de tu madre o la marca de tu primer auto. Levin recomienda mentir. “Hay demasiada información nuestra allá afuera, para los hackers es fácil encontrar las respuestas correctas a estas preguntas, así que respóndelas incorrectamente cuando configures la cuenta”, dice Levin. “Solo no seas tan demasiado creativo al escribir tu respuesta errónea que no la puedas recordar. Estos sistemas prueban la consistencia, no la veracidad”.

Finalmente, cambia la identificación de inicio de sesión de tus cuentas para que, en vez de tu correo electrónico o alguna combinación de tu nombre y apellido, sea una serie de palabras o caracteres al azar, más o menos como tu contraseña. Los hackers tendrán el reto de adivinar no solo tu contraseña, sino también el nombre de usuario.

Luego relájate. Después de todo, si has elegido bien —digamos, una frase formada con los primeros dos versos de “Hey Jude”—, posiblemente los hackers tardarán milenios en adivinar tu código (en realidad, 119 milenios, nueve siglos y casi cinco décadas, en el ejemplo de la canción de los Beatles). No solo habrás muerto hace mucho, también la tecnología alrededor de las contraseñas, y tal vez incluso las contraseñas en sí, probablemente también sea obsoleta.

Las 10 peores contraseñas

¿Usas alguna de estas contraseñas? Mal, muy mal. Estas son las contraseñas más comúnmente hackeadas de 2019, con base en un análisis de cinco millones de contraseñas que se filtraron en línea y halladas en filtraciones de datos el año pasado por Splashdata, una compañía gestora de contraseñas.

1. 123456

2. 123456789

3. qwerty

4. password

5. 1234567

6. 12345678

7. 12345

8. iloveyou

9. 111111

10. 123123

—

Kerri Anne Renzulli es una periodista de finanzas personales avecindada en Londres. Ha trabajado para CNBC, la revista Financial Planning y Money.

—

Publicado en cooperación con Newsweek / Published in cooperation with Newsweek