Cómo Crear, Gestionar y Almacenar Contraseñas de Forma Segura
Reconozcámoslo: estar al tanto de tu vida digital puede ser una pesadilla en estos días. La persona promedio tiene más de 90 cuentas en línea para administrar, según las cifras más recientes. Para 2020, se espera que este número llegue a más de 200.
Tener sólidas credenciales de inicio de sesión es esencial para proteger su identidad y garantizar que sus datos permanezcan fuera de las manos de los malos. Sin embargo, simplemente no hay forma de hacer un seguimiento mental de todas estas contraseñas (especialmente si usted es un buen ciudadano digital y utiliza combinaciones alfanuméricas únicas para cada contraseña).
¿Cual es la solución?
En este artículo, hemos reunido todo lo que necesita saber como usuario comercial o doméstico para administrar sus contraseñas de forma segura.
¿Por Qué es tan Importante tener una Buena Contraseña?
Es importante tener una buena contraseña por una razón muy simple: evita el acceso no autorizado a sus dispositivos físicos y cuentas en línea. Si su contraseña es fácil de descifrar, un cibercriminal puede tener acceso a su banco, redes sociales, correo electrónico y otras cuentas privadas, lo que podría tener un efecto devastador en su vida.
La importancia de tener contraseñas robustas es particularmente pronunciada para las pequeñas empresas. Los propietarios de empresas no solo deben garantizar que sus datos de misión crítica sean seguros para minimizar el tiempo de inactividad de la empresa, sino que también deben hacer todo lo posible para proteger la información personal de sus clientes, que puede almacenarse en el sistema de la empresa. Las pequeñas empresas a menudo se encuentran en la mira de los hackers, debido al hecho de que generalmente no tienen los recursos para soportar un equipo dedicado de seguridad de TI. Los ciberdelincuentes son muy conscientes de esto: en 2016, aproximadamente la mitad de todas las pequeñas y medianas empresas en los EE. UU. Experimentaron una infracción, según las cifras recopiladas por Keeper Security.
Por supuesto, nada de esto debería ser una noticia impactante. De hecho, probablemente esté cansado de que los expertos en seguridad le digan que mejore la seguridad de su contraseña. Sin embargo, parece que una gran parte de la población aún no ha recibido la nota, ya que demasiadas personas siguen confiando en contraseñas que son tan seguras como una bolsa de papel húmeda (léase: en absoluto). Como SplashData informó, las dos contraseñas más populares (es decir, las peores) de 2017 fueron, por cuarto año consecutivo, '123456' y 'contraseña'. Otras menciones notables incluyen 'qwerty' (entrando en # 4), 'iloveyou' (# 10) y 'starwars' (# 16).
Cómo los Hackers Roban tus Contraseñas
Por lo tanto, tener una contraseña segura hace que sea menos probable que un cibercriminal obtenga sus credenciales de inicio de sesión. Pero, ¿cómo exactamente los piratas informáticos roban sus contraseñas en primer lugar?
1. Fugas de contraseña
De vez en cuando se piratea una empresa importante (Yahoo, Dropbox y Gmail, por nombrar solo tres), lo que provoca la filtración de millones de contraseñas en la web. Esto no solo significa que un delincuente puede obtener acceso a su cuenta filtrada, sino que también puede usar la información filtrada para iniciar sesión en sus otras cuentas.
¿Cómo?
Bueno, si usted es uno de los 87 por ciento de las personas que reutilizan sus contraseñas, un hacker simplemente puede usar su contraseña filtrada e intentar iniciar sesión en sus otras cuentas privadas. Se puede intentar el reciclaje de credenciales con las contraseñas recopiladas por cualquier medio (no solo las pérdidas de contraseña), lo que resalta el hecho de que nunca debe volver a utilizar la misma contraseña.
2. Ataques de fuerza bruta
Un ataque de fuerza bruta es un ataque en el que los ciberdelincuentes intentan iniciar sesión metódicamente en su cuenta con todas las combinaciones posibles de caracteres hasta que obtienen la contraseña correcta. Como se puede imaginar, esto sería imposible de hacer manualmente, por lo que los piratas informáticos usan herramientas específicas que son capaces (si se ejecutan en el hardware correcto) de procesar millones de intentos por segundo. Cuanto más corta sea la contraseña, más rápido un ataque de fuerza bruta podrá robarla.
3. Registradores de Teclas
Un keylogger es una cierta clase de malware que se esconde en el fondo de su computadora. Si se le permite pasar desapercibido, un registrador de pulsaciones de teclas puede rastrear cada tecla que presione en su teclado y transmitir esta información a una parte maliciosa, lo que permite a los delincuentes robar sus credenciales de inicio de sesión. Un producto efectivo anti-malware es esencial para mantener sus contraseñas seguras, proteger su computadora contra el malware y garantizar que su sistema no tenga registradores de pulsaciones.
4. Phishing
El phishing es una forma de ingeniería social que se aprovecha de la naturaleza humana. Básicamente, el phishing consiste en engañar a los usuarios para que divulguen voluntariamente información sensible (como credenciales de inicio de sesión, detalles de tarjetas de crédito, etc.) al disfrazar sitios web y aplicaciones maliciosos como servicios legítimos. Cuando ingresas tu información en el sitio web falso, estás enviando los datos directamente a los delincuentes, quienes luego pueden asumir tu identidad libremente e iniciar sesión en tus cuentas privadas. El phishing sigue siendo increíblemente frecuente, presumiblemente porque se ha demostrado una y otra vez que es un vector de ataque efectivo. Algunos informes indican que más de 3 de cada 4 empresas se vieron afectadas por el phishing en 2017.
5. Herramientas post-explotación
Otra forma en que los delincuentes suelen robar contraseñas es mediante el uso de herramientas posteriores a la explotación. Como su nombre lo indica, los atacantes usan estas herramientas en sistemas que ya han explotado con éxito para obtener un mejor control del dispositivo o red. La herramienta Mimikatz ampliamente utilizada, por ejemplo, se puede usar, entre otras cosas, para recolectar rápidamente información que puede ser valiosa, incluidas todas las contraseñas existentes en el sistema comprometido.
6. Mesa Arcoíris
Incluso si usted, como consumidor, diseña una gran contraseña, aún podría ser robada si el servicio para el que está utilizando utiliza prácticas de cifrado de contraseña deficiente. La mayoría de los vendedores hoy en día conocen los peligros de almacenar contraseñas en texto plano (más sobre esto más adelante), y en su lugar almacenan sus contraseñas como hash. Un algoritmo hash criptográfico es un algoritmo matemático que se puede usar para producir una suma de comprobación (un valor típicamente utilizado para detectar errores de datos). Con un algoritmo hash criptográfico, es posible que un proveedor verifique que la contraseña es correcta mediante una verificación cruzada de su suma de comprobación con la suma de comprobación en la base de datos. Todo el proceso se lleva a cabo sin que el proveedor sepa qué contraseña es en realidad.
Si bien esto puede parecer una forma muy segura de almacenar contraseñas, los hash sí tienen sus fallas. Los hashes más comúnmente utilizados (MD5 y SHA-1) tienen un número conocido de hashes totales posibles, lo que significa que pueden (y han sido) precalculados. Estos valores precalculados se almacenan en una lista conocida como tabla de arcoiris que los delincuentes utilizan con frecuencia mediante simples búsquedas para revertir las contraseñas hash. Una vez que han robado el hash y descifrado la contraseña utilizando la tabla rainbow, los hackers pueden usar las credenciales de inicio de sesión en otros sitios web donde sospechan que el usuario ha reutilizado la contraseña. En este escenario, la longitud de la contraseña es totalmente irrelevante, ya que la tabla solo tiene en cuenta el hash.
Para contrarrestar este problema, los vendedores buscan cada vez más los hash salados, que incorporan la aleatoriedad en cada contraseña almacenada para ofuscar aún más la contraseña. Con un hash salado, cada contraseña individual requiere su propia tabla arcoíris para crackear, por lo que resulta poco práctico desde el punto de vista informático para los delincuentes.
¿Le preocupa que sus credenciales de inicio de sesión hayan sido robadas sin su conocimiento? Use haveibeenpwned para tranquilizar su mente. Simplemente ingrese su dirección de correo electrónico y el sitio lo comparará con cientos de los hacks más grandes de la historia reciente y le informará si está en riesgo. También puede usar la herramienta para enviarle una alerta si encuentra su dirección de correo electrónico en cualquier fuga futura de datos.
Cómo Crear una Contraseña Buena y Segura
Entonces, una buena contraseña es una parte importante de su sistema de defensa, pero ¿qué significa esto en términos prácticos? Bueno, en cuanto a las mejores prácticas de contraseñas, las cosas han cambiado bastante en los últimos años.
"A través de 20 años de esfuerzo, hemos entrenado exitosamente a todos para usar contraseñas que son difíciles de recordar para los humanos, pero fáciles de adivinar para las computadoras" - XKCD.
En el pasado, la regla general era que su contraseña debería ser lo más compleja posible. Como un usuario de Internet diligente, se aseguró de que su contraseña incluyera números, símbolos y letras mayúsculas y minúsculas, y la contraseña resultante podría haberse visto así:
3s+zqyKW
Sin embargo, nos alejamos constantemente de este enfoque. El gobierno de los EE. UU. Recientemente actualizó sus recomendaciones de contraseñas para reflejar la versión moderna de contraseñas e incluso Bill Burr, autor de NIST Special Publication 800-63 Apéndice A (uno de los primeros recursos para alentar a las personas a incorporar caracteres oscuros en sus contraseñas) admitió recientemente The Wall Street Journal que hubo algunos defectos en su trabajo original. Simplemente, todos se han dado cuenta finalmente de algo: las computadoras no son humanos.
Si bien la contraseña anterior sería innegablemente difícil de adivinar para un humano, para una computadora no es más segura que cualquier otra combinación de ocho caracteres como 'revista' o 'princesa' o 'paraguas'.
La buena noticia es que crear una contraseña robusta no tiene que ser difícil. Aquí hay tres reglas básicas cuando se trata de crear una contraseña segura en 2018:
1. La Longitud es el Nuevo Rey
La piedra angular de hacer una buena contraseña ha cambiado de complejidad a longitud. Cada personaje adicional hace que tu contraseña sea exponencialmente más resistente a los ataques de fuerza bruta. Como tal, se puede crear una gran contraseña simplemente combinando un grupo de palabras aleatorias en una frase larga, como por ejemplo:
vagantgerontogenousnidifugousyorkkelpielongloquence
Cuanto más tiempo, mejor. Recomendamos apuntar a un mínimo de 16 caracteres.
2. Mantenerlo Unico
Como mencionamos anteriormente, reutilizar la misma contraseña para varios sitios web, aplicaciones o dispositivos lo expone a todo tipo de riesgos innecesarios. Sí, puede tener docenas o incluso cientos de cuentas para realizar un seguimiento, pero eso no justifica el reciclaje de sus credenciales. Haga que cada contraseña sea única y segura, incluso si se trata de un servicio que solo va a utilizar una o dos veces. Siempre existe la posibilidad, sin importar lo delgado que sea, de que algún día le dé a estos 'servicios menores' los datos de su tarjeta de crédito y es muy probable que olvide fortalecer su contraseña cuando llegue ese momento.
3. Hazlo al Azar
Además de la longitud, es importante que su contraseña también sea aleatoria. Si optas por usar una cadena de palabras aleatorias como se describió anteriormente, no confíes en tu cerebro para conjurar algunas palabras aparentemente "aleatorias" porque hay muchas posibilidades de que estas palabras sean más fáciles de adivinar de lo que piensas. En su lugar, utilice un generador de contraseñas de confianza para producir combinaciones de caracteres verdaderamente aleatorias. Del mismo modo, evite usar frases comunes, citas y referencias de culturas populares, y contraseñas significativas como cumpleaños, aniversarios, nombres de mascotas, etc. Esto último aumenta el riesgo de ser pirateado manualmente por un criminal particularmente estudioso que puede buscar en su presencia en línea pistas de contraseñas. .
Los Mejores Administradores de Contraseñas de 2018
No almacene sus credenciales de inicio de sesión en un archivo de texto. Almacenar todas sus contraseñas en un archivo de texto plano significa que un pirata informático puede simplemente robar toda la lista de contraseñas de una sola vez y realmente causar estragos en su vida digital. Si usted es dueño de una empresa, el almacenamiento de contraseñas en texto sin formato también aumenta el riesgo de un problema de seguridad interna ya que los empleados pueden acceder libremente a las credenciales de inicio de sesión. Simplemente no lo hagas.
Al mismo tiempo, recordar docenas de largas combinaciones de personajes únicos y aleatorios es más o menos imposible. La forma más segura de almacenar contraseñas en 2018 es usar un administrador de contraseñas dedicado.
1. KeePass
Lo que le falta a KeePass en las llamativas interfaces de usuario, lo compensa con creces por su funcionalidad sin problemas. El software gratuito de código abierto tiene una instalación portátil, lo que significa que puede ejecutarlo directamente desde USB. Es compatible con una impresionante cantidad de funciones de seguridad, que incluyen un generador de contraseñas, notas seguras y una amplia gama de opciones de ingreso de contraseñas. No hay una aplicación oficial de navegador o Android, aunque hay una serie de opciones no oficiales.
Las credenciales de inicio de sesión se almacenan localmente, lo que significa que está menos integrado que algunas soluciones basadas en la nube (lo que lo hace más adecuado para las personas que quieren una solución de dispositivo único), pero también hay menos riesgo de que se filtren sus contraseñas. Al igual que con todos los software de código abierto, es más que bienvenido inspeccionar el funcionamiento interno de KeePass, que ofrece a los usuarios con una visión técnica la oportunidad de buscar fallas potenciales en el código.
Precio: Gratis
2. Dashlane
Dashlane es muy fácil de usar y viene repleto de características diseñadas para mantener sus contraseñas seguras. Además de almacenar sus credenciales de inicio de sesión y rellenarlas automáticamente cada vez que las necesite, Dashlane también cuenta con un robusto generador de contraseñas y una billetera digital que gestiona la información de su tarjeta de crédito de forma segura, lo que le permite realizar compras en línea rápidamente.
Si usa la función de sincronización, Dashlane almacenará sus datos encriptados en la nube; si desactivas la sincronización, tus datos se eliminarán permanentemente de sus servidores, dejándolos almacenados localmente en tu computadora.
Precio: Gratis para un dispositivo, $ 3.33 / mes para premium.
Otra opción fácil de usar, Sticky Password cuenta con algunas características decentes envueltas en un diseño decididamente limpio, aunque un poco desactualizado. Al igual que con muchos administradores de contraseñas, Sticky Passwords le permite almacenar y administrar de forma segura contraseñas ilimitadas en un solo dispositivo o, si actualiza a premium, sincronizar sus credenciales de inicio de sesión en varias máquinas. A diferencia de algunos administradores de contraseñas, Sticky Password también puede manejar inicios de sesión de aplicaciones, lo cual es una gran noticia si regularmente tiene que usar un software protegido con contraseña.
Ser capaz de elegir entre la sincronización de datos en los servidores Sticky Password o sobre su Wi-Fi local es un toque muy agradable para aquellos que quieren una solución integrada sin comprometer la seguridad.
Precio: Gratis para un dispositivo, $ 29.99 / año para premium.
4. 1Password
1Password podría ser el mejor administrador de contraseñas de Mac del mercado (pero también viene en Windows y en los navegadores). Puede hacer todo lo que se puede esperar de un buen administrador de contraseñas, con algunos otros beneficios que se incluyen en la combinación, como organizar y sincronizar las licencias y los archivos de software. Vale la pena señalar que, a diferencia de cualquier otro administrador de contraseñas, 1Password no utiliza ninguna forma de 2FA y, en cambio, se basa en el cifrado de extremo a extremo y las claves secretas para garantizar que eres quien dices ser.
Precio: $ 2.99 / mes.
5. RoboForm
RoboForm no se preocupa por las funciones de fantasía o una hermosa GUI, y en su lugar centra sus esfuerzos en la gestión de contraseñas estelar. Además del cifrado seguro, RoboForm admite inicio de sesión de aplicaciones, almacenamiento de notas y acceso de emergencia. El generador de contraseñas altamente personalizable es uno de los mejores y la compañía recientemente agregó soporte para inicios de sesión ilimitados en la versión gratuita, por lo que es una gran opción para los usuarios conscientes del presupuesto que necesitan un gran administrador de contraseñas.
Precio: Gratis, $ 19.95 / año por premium.
6. bitwarden
bitwarden es altamente recomendado por los miembros del equipo de laboratorio aquí en Emsisoft, y por muy buenas razones. El software de código abierto presenta 2FA, cifrado de extremo a extremo y, a diferencia de la mayoría de las otras entradas en esta lista, ¡la versión gratuita incluso incluye sincronización ilimitada en todos los dispositivos! bitwarden también incluye un generador de contraseñas competente y es compatible con varios navegadores y sistemas operativos diferentes. La guinda del pastel es que puede elegir alojar la infraestructura bitwarden en la plataforma que elija, lo que significa que no tiene que depender del servicio en la nube de bitwarden si no lo desea.
Todavía no hay una aplicación de escritorio nativa (tiene que ejecutar bitwarden a través de su navegador), pero aparentemente está en proceso y debería llegar pronto.
Precio: Gratis, $ 10 / año por la premium
7. LastPass
LastPass con frecuencia encabeza la lista en cualquier resumen de los mejores administradores de contraseñas. Compatible en una amplia gama de sistemas operativos y con un sólido generador de contraseñas, desafíos de seguridad y 2FA (¡incluso con la versión gratuita!), LastPass ha sido el estándar de oro de los administradores de contraseñas desde hace bastante tiempo. Sin embargo, también vale la pena tener en cuenta que LastPass ha sido pirateado en el pasado, aunque su hashing avanzado significaba que los delincuentes probablemente no podían descifrar las contraseñas robadas.
Precio: Gratis, $ 2 / Mes por premium.
Asegurar Contraseñas: No Más Excusas
Simplemente no es posible hacer un seguimiento manual de todas las contraseñas que forman parte de la vida moderna. La mejor forma de generar y almacenar de forma segura sus contraseñas en 2018 es usar un administrador de contraseñas de confianza. Solo toma unos minutos configurarlo y la inversión de tiempo vale la pena, sabiendo que sus credenciales de inicio de sesión se guardan de manera segura.
Asegúrese de utilizar una solución de seguridad comprobada como Emsisoft Anti-Malware junto con su administrador de contraseñas para garantizar que su sistema esté libre de keyloggers y otro malware que pueda comprometer la seguridad de sus credenciales de inicio de sesión.
