Asegúrese que no tiene una contraseña débil o comprometida

20/7/2021 | Mgr. Marta Castro Aguila

El mal uso de su contraseña le puede complicar mucho la vida. Por lo tanto es recomendable prestar la atención al nivel de sus contraseñas y cambiarlas con regularidad, o a más tardar, en caso de un eventual comprometimiento. En este artículo vamos a ver cómo revisar las contraseñas, descubrir a tiempo aquellas que han sido reveladas y prevenir complicaciones.

¿Cómo alguien puede revelar mi contraseña?

Una contraseña revelada les permite a personas no autorizadas acceder a sus cuentas. En la mayoría de los casos, usted no tiene la culpa del comprometimiento de la contraseña; no suele hacerse mal uso de los datos de forma directa en un ordenador concreto. No hay que suponer automáticamente que el atacante ha conseguido acceso a su ordenador o lo ha hackeado y sigue viéndolo (hay que preocuparse sólo si se entera de que han sido reveladas varias contraseñas en un tiempo relativamente corto).

La causa más frecuente suelen ser los robos de datos personales de los usuarios de diferentes servicios. Los puede imaginar de manera que los atacantes logran "hackear" y conseguir una base de datos de los usuarios de un servicio (así llamado Breach) y luego la publican. Así su contraseña queda comprometida y la puede leer todo el mundo. Además, las contraseñas sencillas son fáciles de revelar.

Controlar el mal uso

Su contraseña la puede revisar fácilmente online. Vamos a ver cuáles son las herramientas disponibles públicamente que saben hacerlo. La mayoría de ellas funciona automáticamente y sabe avisarle, después de que introduzca su correo electrónico, de incidentes encontrados (que contienen el correo o contraseña en cuestión).

La herramienta de control más conocida es have i been pwned. Cuando introduzca su correo electrónico podrá ver qué servicios o proveedores han sido hackeados y qué cuentas de cliente han sido comprometidas. Si aparece su cuenta conviene considerar la contraseña como revelada y cambiarla. Usted la conoce así que está claro de qué contraseña se trata, aunque no es posible verla.

En la herramienta Pwned Passwords puede introducir directamente la contraseña (en vez de buscar el correspondiente correo electrónico). El resultado es una notificación sobre si la contraseña figura en el robo de datos (Breach) y cuántas veces ha pasado. La base de datos contiene más de 613 millones de contraseñas comprometidas que evidentemente han sido robadas antes.

Más servicios para controlar el comprometimiento de la contraseña (haga clic en el enlace):

Las contraseñas débiles y repetidas las puede descubrir en el administrador o en el llavero

El control del comprometimiento de la contraseña o un aviso de su insuficiencia debería estar disponible en cualquier buen administrador de las contraseñas (password manager). Ya hemos tratado sobre el tema en nuestra revista y los administradores más conocidos los encontrará en la sección independiente Administradores de las contraseñas.

El conocido administrador de las contraseñas Lastpass les permite a los usuarios que pagan el servicio no solo evaluar la fuerza de la contraseña sino también comprobar un robo y una publicación de la contraseña (Breach anteriormente mencionado). Sin embargo, existen suficientes variantes gratuitas online.

En algunos sistemas las contraseñas se guardan en los llaveros que admiten las funciones arriba mencionadas; por ejemplo el llavero en iOS (iPhone) y macOS le avisará de una contraseña débil o repetida en varios servicios. Desde la versión iOS 14 y macOS Big Sur el llavero sabe descubrir incluso las contraseñas comprometidas (véase la fuente). Si junto a su contraseña guardada hay un icono de signo de exclamación seguramente debería cambiarla.

Keychain upozorňuje na komrpomitované heslo
Keychain avisa de una contraseña comprometida. Haga clic para aumentar.

Por supuesto, descubrir las contraseñas débiles y comprometidas en la lista es más rápido y práctico que probar cada una de las contraseñas.

Utilice también el administrador de las contraseñas o del llavero

Un usuario de Internet normal suele utilizar tantos servicios y aplicaciones que si tuviera que utilizar contraseñas únicas por todas partes no sería capaz de recordarlas. Por lo tanto, si no quiere olvidarse totalmente de su seguridad y utilizar una sola contraseña recomendamos utilizar el administradosr de las contraseñas y utilizar su propia contraseña para cada servicio. Los administradores de las contraseñas incluso saben diseñar una contraseña fuerte, lo cual es muy lógico. Las contraseñas diseñadas están integradas también en algunos navegadores o esta funcionalidad la permiten los complementos de los administradores de las contraseñas. La inteligencia artificial sabe evaluar mejor que un usuario cuál es una contraseña adecuada y fuerte.

Lo común para los administradores de las contraseñas en la nube es un acceso mediante 2FA. Si utiliza los administradores de las contraseñas en su teléfono normalmente dispone de la biometría: la huella dactilar o la percepción facial. Es un nivel más de la seguridad del acceso a las contraseñas. No tiene sentido tener guardadas las contraseñas en un servicio seguro sino bajo una contraseña débil...

Una defensa eficaz contra el descifrado de contraseña es 2FA

En nuestra revista nos dedicamos a la autenticación de dos factores (2FA) con regularidad, por lo tanto, seguramente no se encuentra por primera vez con este término. Simplemente dicho, 2FA añade una protección adicional al proceso del acceso y así una simple contraseña no es suficiente para iniciar la sesión. Además tiene que introducir una contraseña única (OTP) para acceder, que se genera de forma independiente en el dispositivo que maneja solo usted. Típicamente se trata de una aplicación en el teléfono inteligente, que para cada servicio "emparejado" enseña la contraseña OTP con una validez muy corta (cambia automáticamente).

Por lo tanto, recomendamos activar 2FA en todos los servicios donde es posible.

 

Para terminar, me gustaría desearle mucha suerte en Internet, sin accidentes de seguridad.


Mgr. Marta Castro Aguila
Especialista en los certificados SSL de seguridad
DigiCert TLS/SSL Professional 
e-mail: marta.castro-aguila(at)zoner.com