1. CONTRASEÑAS SEGURAS EN INTERNET
Práctica colaborativa con Google Apps del taller: “Internet: mucho más que navegar”
Urbalab, Gandía.Febrero 2013
Por José Ignacio Donet Donet y Elvira Fabuel Mira
Índice Páginas
1. Introducción 1
2. Recomendaciones para crear contraseñas seguras 3
3. Gestores de contraseñas 6
4. Futuribles 7
5. Conclusiones y valoración de la práctica colaborativa 7
6. Páginas web consultadas 8
1. Introducción
Hoy en dia creamos cuentas en una gran cantidad de servicios web y redes
sociales, por lo que no es seguro utilizar la misma contraseña para todos estos servicios,
pero también al utilizar una diferente en cada cuenta es probable que se nos olvide más
de una.
Según revelan diversos estudios, "1234" es la clave más frecuente que la mayoría
de usuarios escriben para proteger sus servicios on line, donde guardan datos privados
de gran importancia e, incluso, los números de sus cuentas bancarias. Esto significa que
cualquier "hacker" puede entrar en gran cantidad de cuentas privadas de plataformas de
Internet en pocos segundos.
El robo de contraseñas es uno de los cibercrímenes más comunes: casi a diario
aparecen noticias acerca de los daños causados por estas acciones. Correo, cuentas
bancarias, páginas en redes sociales... Las contraseñas son la llave para acceder a una
parte cada vez más importante de nuestras vidas.
A pesar de todo, usar contraseñas seguras y diferentes en los servicios on line
que utilizan los usuarios es una medida que tampoco garantiza la seguridad total. Una
1
2. contraseña no puede certificar la seguridad de la vida digital de los usuarios. Así lo ha
asegurado el director técnico de Panda Labs, Luis Corrons, en un documento en el que
ha abordado la seguridad de las claves que utilizan los usuarios cuando se sumergen en
el universo Internet.
La elección de una clave es responsabilidad, en última instancia, del usuario, no
haciéndose nadie más responsable de las consecuencias de su uso.
Esto no quiere decir que las contraseñas no sirvan para nada .Es la primera capa
de seguridad y, como tal, es importante. Hoy día es la única forma de autentificarse en la
mayoría de los sitios. Actualmente hay servicios que ofrecen una doble autenticación a
partir de dos factores de autenticación. Pero ese tema no es el objeto de nuestro
trabajo.
La mayoría de usuarios aún emplean la misma contraseña para todos los
servicios on line Facebook, Twitter, PayPal, eBay, Amazon, Google. Incluso, muchos de
ellos, componen una clave a partir de información personal o eligen unos caracteres
sencillos para recordarla fácilmente.
Según un curioso estudio realizado por Harris Interactive, preferimos hacer una y
mil cosas antes que dedicar cinco minutos a pensar una nueva contraseña que garantice
nuestra seguridad en Internet, poniéndole más difícil a los ciberdelincuentes acceder a
nuestras cuentas, servicios de correo, perfiles en redes sociales, etc.
Según el mismo estudio, el 38% de los internautas considera que es más fácil
“resolver la paz mundial” que pensar una nueva contraseña que luego no les cueste
recordar.
SplashData, una compañía de desarrollo de herramientas de seguridad de
contraseñas de teléfonos móviles, ha publicado una lista con las contraseñas más
inseguras que han encontrado a lo largo de 2012. El criterio para elegirlas ha sido muy
sencillo: se trata de aquellas contraseñas más fáciles de romper, o incluso de adivinar
por pura suerte.
1. password
2. 123456
3. 12345678
4. 1234
5. qwerty
6. 12345
7. dragon
8. pussy
2
3. 9. baseball
10. football
11. letmein
12. monkey
13. 696969
14. abc123
15. mustang
16. michael
17. shadow
18. master
19. jennifer
20. 111111
21. 2000
22. jordan
23. superman
24. harley
25. 1234567
Cuando se quiere elaborar un poco más las claves, el usuario se basa, hasta de
modo inconsciente, en referencias simbólicas como su cumpleaños, los de sus hijos o la
fecha de su boda. También de esta forma uno se lo pone fácil a los hackers, pues les
basta con entrar en sitios como Facebook, ver alguno de estos datos y, a partir de ellos,
buscar la combinación de entrada a los servicios personales.
2. Recomendaciones para crear contraseñas seguras
Lo mejor después de escribir la contraseña es revisar que no contenga pistas
personales.
Respecto al nombre de usuario, los "profesionales de romper claves" saben que
casi todo el mundo utiliza el mismo que tiene en su dirección de correo electrónico.
Conviene, por lo tanto, ser mucho más inteligentes y blindar lo que ahora se tiene casi
como un libro abierto.
Consejos a tener en cuenta:
1. Buscar siempre claves que tengan más de 10 dígitos. Cuantos menos
caracteres tenga una clave, más fácil es romperla para un pirata informático,
puesto que el número de combinaciones posibles son menos. Se consideran
3
4. "débiles" las combinaciones menores de diez dígitos, que pueden identificarse con
programas generadores de combinaciones aleatorias (llamados robots), lo que se
conoce como "la fuerza bruta". Cuanto mayor sea la longitud de la clave, más
segura será.
2. Nunca utilizar solo números. Aunque se pongan claves de diez o más dígitos, si
se usan solo números, es cuestión de tiempo que un robot encuentre la contraseña
y entre en las páginas de la persona.
3. Tampoco usar solo letras ni palabras. Las letras se pueden combinar con
robots hasta dar con la clave. Respecto a las palabras, siempre tienen una
conexión simbólica con el subconsciente, por lo que alguien que conozca un poco
al usuario puede adivinar las claves si piensa en el nombre de su pareja, sus hijos
o sus mascotas.
4. Optar siempre por combinaciones alfanuméricas. Mezclar letras y números es
la solución más segura porque se juntan dos sistemas de clasificación, lo cual
amplia mucho las combinaciones. De todos modos, un "hacker" que tenga algunos
datos personales sobre el usuario y mucha psicología puede adivinar las claves si
no ha habido esmero en confeccionarlas. Hay que ser conscientes de que, de
modo automático, siempre se buscan combinaciones fáciles de recordar y
relacionadas con personas y fechas importantes. Por lo tanto, lo mejor después de
escribir la contraseña es revisar que no contenga pistas personales.
5. Intercalar signos de teclado. Un truco que permitirá usar letras y números
relacionados con la vida del usuario sin peligro es intercalar símbolos como "#",
"$", "&" o "%" entre los caracteres de la contraseña. La presencia de estos
caracteres es mucho más difícil de descubrir para piratas informáticos y robots.
6. Lo mejor son las claves aleatorias. Si se puede usar un programa generador de
claves aleatorias, se estará mucho mejor protegido.
7. No utilizar la misma contraseña para todo. Parece una obviedad, pero es lo
que hace la mayoría. Hay que tener una contraseña distinta para cada servicio.
También es recomendable cambiarlas cada cierto tiempo.
8. Guardar las claves en un documento de texto. Como las claves seguras son
muy difíciles, por no decir imposibles, de recordar, lo lógico es tenerlas escritas en
un documento de texto, que se utilizará para almacenar las contraseñas de todos
4
5. los servicios personales. Cada vez que se entre a un servicio, se tendrá que
recurrir a este documento. Puede que sea pesado, pero es más seguro.
9. Conservar el documento en un lugar seguro. Hay varias opciones para
guardar el documento con las claves del usuario. La primera es usar una memoria
USB separada físicamente del ordenador y que solo se enchufa cuando se quiere
abrir el documento con la contraseña. Hay que ser conciente de que se puede
tener el ordenador monitorizado por algún software malicioso (ocurre con mucha
más frecuencia de la que se cree) o que alguien puede acceder a través de la
conexión wifi si esta no es lo bastante segura. La segunda alternativa es archivar el
documento en una copia de seguridad en un servidor de la red, con protocolos de
cifrado de 128 bits o más. Se puede guardar en plataformas diseñadas para tales
usos, tal y como luego comentaremos. Bastará con abrir este servicio y acceder al
documento. Eso sí, la contraseña de acceso a dichos servicios tiene que ser
altamente compleja, se debe tener escrita en una libreta, meter en un cajón y saber
que si se pierde también se extraviará el resto de claves. Lo más recomendable
sería memorizarla.
10. Cerrar la sesión de los servicios a diario. Cuando se apaga el ordenador por la
noche, o al salir de casa, la mejor opción es salir de todos los servicios de uso
habitual, ya sean el correo electrónico, las distintas redes sociales donde se
participa o las plataformas donde se guardan documentos para sincronizarlos, etc.
Si alguien encendiera el ordenador y el usuario no lo hubiera cerrado, el extraño
podría acceder fácilmente a tales servicios, ya que el navegador guarda las
contraseñas si no se le apunta lo contrario. Por lo tanto, hay que indicar en el
apartado de "Seguridad" del navegador que no recuerde ninguna contraseña. Al
volver a usar el ordenador habrá que introducir todas las claves, para evitar
disgustos.
3. Gestores de contraseñas
Un gestor de contraseñas es un programa que se utiliza para almacenar una gran
cantidad de parejas usuario/contraseña. La base de datos donde se guarda esta
información está cifrada mediante una única clave (contraseña maestra o en inglés
master password), de forma que el usuario sólo tenga que memorizar una clave para
acceder a todas las demás. Esto facilita la administración de contraseñas y fomenta que
los usuarios escojan claves complejas sin miedo a no ser capaces de recordarlas
posteriormente.
5
6. A menudo los gestores de contraseñas ofrecen la opción de generar una
contraseña automáticamente, lo cual contribuye a evitar que se utilice la misma clave
para acceder a distintos recursos, una práctica muy poco recomendable.
Asimismo, si el usuario opta por elegir su propia contraseña, estos programas
suelen indicar el nivel de robustez de la palabra elegida. Evidentemente es
imprescindible que la contraseña maestra sea lo suficientemente compleja para que sea
difícil de romper.
Algunos de dichos gestores son los siguientes:
http://www.clavesegura.org Ofrece de manera gratuita un generador de claves en el que
se puede escoger tanto la longitud de la contraseña como la cantidad de caracteres
alfanuméricos que se usa.
http://www.passpack.com
https://lastpass.com
http://keepass.info
http://www.passwordmeter.com Ayuda a comprobar el nivel de seguridad de las
contraseñas que se confeccionan
La mayoría de los navegadores de Internet actuales, como Firefox o Internet
Explorer, llevan incorporado un gestor de contraseñas en forma de plugin que
opcionalmente se puede proteger mediante una contraseña maestra. De esta manera
cuando visitamos una página web que requiere autenticación, el navegador escribe
automáticamente el usuario y la clave en los campos correspondientes sin necesidad de
que el usuario intervenga.
4. Futuribles
Un método utilizado como segundo factor de autenticación hardware es el RSA
SecurID y Google está preparando un informe de investigación que propondrá nuevas
formas de mejora de validación del usuario.
Una aproximación podría involucrar la autenticación biométrica reconocimiento
de huellas dactilares, voz o rasgos faciales lo que podría evitar el tener que usar
contraseñas complejas y difíciles de recordar. De hecho, muchos 'smartphones' tienen la
capacidad de reconocer a su dueño a través de este tipo de sistemas.
El futuro dirá sobre estas cuestiones.
6
7. 5. Conclusiones y valoración de la práctica colaborativa
En conclusión y dada la necesidad que tenemos en estos tiempos de registrarnos
en múltiples servicios on line y los riesgos para nuestra privacidad que esto conlleva, los
expertos recomiendan a los usuarios una adecuada gestión de sus claves de acceso para
preservar la privacidad de los datos que estas pretenden custodiar.
Hay múltiples herramientas para hacer esto que ya hemos mencionado en otros
apartados. Si bien siempre nos quedará la típica libreta de anotaciones o el documento
de word, adecuadamente archivado con un nombre que desoriente respecto de su
contenido.
Unos últimos consejos:
“Las contraseñas son como la ropa interior. No puedes dejar que nadie la vea,
debes cambiarla regularmente y no debes compartirlas con extraños”.
“Una contraseña es un secreto que no hay que contar a nadie”.
“Si las llaves de casa no se las dejas a nadie, ¿por qué vas a dejar tus contraseñas
a alguien?”.
“Para evitar que te atraquen por la calle tomas ciertas medidas de seguridad: no
caminas por sitios extraños, llevas bien guardada la cartera, etc. Si quieres evitar que te
roben por Internet información personal, dinero, etc. toma también las medidas de
seguridad necesarias.”
El planteamiento del trabajo era aprender a manejar las herrramientas que Google
ofrece para trabajar en colaboración on line. Pensamos que el objetivo se ha cumplido y
hemos terminado aprendiendo cómo funcionan dichas herramientas, utilizando el tema de
la práctica como pretexto para practicarlas. Si bien también hemos podido aprender más
sobre el uso de las contraseñas en internet, y pensamos que también puede interesar al
resto de compañeros del curso.
6. Páginas web consultadas
http://www.consumer.es/web/es/tecnologia/internet/2011/07/11/201596.php
http://www.trecebits.com/2012/08/24/preferimoslimpiarelbanoantesquecambiarunac
ontrasenaeninternet/
7