Crear contraseñas simples, reutilizarlas, o incluso compartirlas con terceros, son algunos de los errores más comunes que se deben evitar al administrar los accesos a sus cuentas.
“Escribir una contraseña para acceder a una de las decenas de servicios que utilizamos se ha convertido en una parte tan cotidiana de nuestras vidas que rara vez pensamos en ello. Procuramos que nuestras contraseñas sean simples y fáciles de recordar para poder pasar rápidamente por el proceso de iniciar sesión y seguir con lo que estamos haciendo. Este es uno de los muchos errores que cometemos cuando se trata de algo en lo que confiamos para asegurar una parte de nuestra identidad digital.”, señala Fabiana Ramirez, Investigadora de Seguridad Informática de ESET Latinoamérica.
Estos son los errores más comunes en los que se cae al momento de crear una contraseña:
1. Reutilizar las contraseñas: uno de los errores más frecuentes es, la reutilización de contraseñas. Según una encuesta realizada en 2019 por Google, el 52% reutiliza la misma contraseña en varias de sus cuentas, mientras que un sorprendente 13% usa la misma contraseña para todas sus cuentas.
El problema más grave con la reutilización de contraseñas es que los usuarios quedan expuestos a lo que se conoce como credential stuffing. Una forma de robo de credenciales, a través de la que se busca tomar el control de las cuentas de los usuarios y utiliza bots que intentan iniciar sesión utilizando credenciales de acceso que fueron filtradas en brechas de datos antiguas que sufrieron otros sitios; hasta que logran dar con la combinación correcta de un nuevo sitio en el cual se utilizaron las mismas credenciales de acceso que se filtraron.
2. Crear contraseñas simples: las contraseñas simples suelen ser las más utilizadas. Anualmente se publica una lista de las contraseñas más utilizadas con “12345” y “password” frecuentemente entre las primeras del ranking. Además de patrones simples y palabras obvias, un error frecuente que se puede estar cometiendo al crear contraseñas es utilizar datos personales como parte de estas, lo que las convierte en fáciles de adivinar o de encontrar. De acuerdo a la encuesta de Google, seis de cada diez adultos han incorporado un nombre (el de ellos, el de su cónyuge, el de sus hijos o su mascota) o una fecha de cumpleaños a sus contraseñas.
Lo ideal es utilizar como contraseña una frase. Además, el doble factor de autenticación (2FA, por sus siglas en inglés) también debe activarse, ya que agrega una capa de seguridad adicional contra varios tipos de ataques que intentan revelar credenciales de inicio de sesión.
3. Almacenar las contraseñas en texto plano: otro error frecuente es escribir las contraseñas en papel o notas adhesivas, o guardadas en hojas de cálculo o documentos de texto en la computadora o teléfono.
En el primero de los casos, si se optara por esta forma, las anotaciones deberían ser más bien pistas que ayuden a recordarlas, y deberían almacenarse en un lugar protegido de los ojos curiosos. En el segundo caso, si se almacenan las claves en algún dispositivo, se queda expuesto si un atacante obtiene acceso al dispositivo y hurga en él. Con poco esfuerzo tendrá acceso a una gran cantidad de credenciales.
4. Compartir contraseñas: el 43% de los participantes de una encuesta en Estados Unidos admitió haber compartido sus contraseñas con otra persona. Más de la mitad de los encuestados dijo haber compartido su contraseña con sus seres queridos, entre ellas contraseñas para servicios de streaming, cuentas de correo electrónico, cuentas de redes sociales e incluso para acceder a cuentas para realizar compras en línea. Si bien compartir la contraseña para acceder a una cuenta de un servicio de streaming es un fenómeno generalizado, es menos peligroso que el resto de las opciones mencionadas.
5. Cambiar las contraseñas periódicamente (sin pensarlo demasiado): cambiar la clave regularmente, sin evidencia de que su contraseña haya sido filtrada en una brecha, no hace que la cuenta sea más segura.
Investigadores de la Universidad de Carolina del Norte (UNC), de los Estados Unidos, descubrieron que los usuarios se inclinan hacia la creación de contraseñas que siguen patrones predecibles y consisten en hacer cambios pequeños: sustituir una letra por un símbolo similar, agregar o eliminar un carácter especial, o cambiarles el orden a uno o dos caracteres. Esto hace que sea bastante fácil para los atacantes hacer su trabajo, ya que, los cibercriminales si conocen una contraseña pueden adivinar estas transformaciones con poco esfuerzo. Hay que agregar también que una vez que los ciberdelincuentes obtienen acceso a su dispositivo, pueden instalar un keylogger para realizar un seguimiento de las contraseñas cada vez que las cambies. Contar con una solución de seguridad instalada en su dispositivo, aumentará posibilidades de que el keylogger sea detectado y desactivado.