Cambia tus contraseñas o te arrepentirás

Este jueves se ha celebrado el Día Mundial de las Contraseñas, y por este motivo, el Instituto Nacional de Ciberseguridad (Incibe) ha recordado de nuevo la necesidad de contar con políticas para la gestión de contraseñas en el ámbito empresarial, pero también en el personal.

El tratamiento diario de la información en el seno de cualquier empresa requiere el acceso a servicios, ubicaciones en la red, dispositivos remotos o incluso a servicios cloud. Para llevar a cabo este acceso es necesario poseer unas credenciales de autenticación basadas en un nombre de usuario y una contraseña. Contar con procedimientos a la hora de generar, actualizar o revocar estas credenciales garantizará un acceso más seguro a estos servicios.

La contraseña es la primera barrera de defensa, ya que impide que alguien no autorizado pueda acceder a un servicio, según inciden desde el Incibe. Por ello, es esencial contar con una buena gestión de contraseñas para preservar la seguridad e integridad de la información de una empresa. Esta gestión de contraseñas puede forzar, entre otras cuestiones, utilizar el doble factor en determinados servicios, crear contraseñas robustas y difíciles de adivinar, no utilizar contraseñas por defecto, cambiarlas con frecuencia y no reutilizarlas. Esta última es una buena práctica que consiste en no usar la misma contraseña en los distintos servicios. Utilizando contraseñas diferentes se evitará que los ciberdelincuentes, si consiguen una de ellas, cuenten con una «llave maestra» de acceso a todos los servicios corporativos.

Una forma de medir la seguridad de nuestra contraseña es calcular cuánto tiempo tardaría un ciberdelincuente en adivinarla. Cuanto mayor sea la longitud de la contraseña, mucho más segura será. Por lo tanto, hacer uso de una palabra larga o incluso una frase, aumentaría la complejidad del descifrado. Por eso,  en el Incibe ponen como ejemplo la palabra 'muercielago'. Al tratarse de una palabra plana, en menos de 5 minutos y con un ordenador convencional, haciendo uso de una de las múltiples herramientas que hay por el mercado, la contraseña podría ser descifrada. Por tanto, hay que añadir más dificultad al descifrado, y para conseguirlo es muy recomendable intercalar mayúsculas y minúsculas. En el caso de este ejemplo, se prueba a poner en mayúsculas las consonantes: 'MuRCieLaGo'.A pesar de este cambio, en tan solo un par de días, la contraseña estaría en manos de ciberdelincuentes, de ahí que se necesite aumentar más la seguridad. 

Así, si se intercalan números y caracteres especiales, el resultado es mejor. ya que con esta combinación, el tiempo de descifrado sería de varios años, pero aun así, si no se ha conseguido que la contraseña sea lo más robusta posible, se puede añadir complejidad inventando palabras. 

Siguiendo con las indicaciones anteriores, una contraseña debe ser robusta y cambiarse cada cierto tiempo, pero, si no utiliza un gestor de contraseñas, deberá contar con elementos que la hagan fácil de recordar.

Para ello, se puede hacer uso de reglas mnemotécnicas. Continuando con el ejemplo anterior, a la palabra larga seleccionada, se le puede añadir mayúsculas, números y caracteres especiales. A este resultado se le podría agregar el servicio para el que se está creando la contraseña: '1MuRCieLaGo!CoRReo'.