Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Cómo proteger los ficheros automatizados con contraseñas seguras

Por fichero automatizado se puede entender todo conjunto organizado de datos de carácter personal mediante el uso de programas, soportes y equipos informáticos.

Una primera barrera de seguridad para evitar que terceros no autorizados accedan a sus equipos y dispositivos informáticos, así como a la red y la nube de la organización, consiste en establecer un acceso restringido mediante códigos de usuario y contraseña.

Recomendaciones para crear contraseñas robustas

En la construcción de las contraseñas se seguirán las siguientes pautas:

  • Estarán compuestas de caracteres alfanuméricos, mayúsculas, minúsculas y signos. Cuantos más caracteres tenga, más segura será la contraseña. Se recomienda que tengan, como mínimo, doce caracteres, entre ellos una ñ.
  • No deberán estar basadas en información personal fácilmente asociada al usuario (nombre y apellidos, fecha de nacimiento, matrícula del coche, etc.).
  • Las contraseñas deberán ser complejas y difícilmente adivinables por terceros, evitando el uso del propio identificador como contraseña o palabras sencillas.
  • Se evitará el uso de secuencias de números, alfabeto o teclado.
  • Escriban con faltas de ortografía, por ejemplo, en vez de «berberecho» usen «ververetxo».

Técnicas mnemotécnicas para crear y recordar contraseñas seguras

Para crear y recordar contraseñas se pueden emplear patrones

Método 1: Iniciales de frase

Imaginamos una frase fácil de recordar y nos quedamos con sus iniciales, por ejemplo: Me gustan los Alfa Romeo de color rojo = MglARdcr. A continuación, seleccionamos tres números al azar: 317 y concatenamos todo: MglARdcr317. Para doblar la seguridad, añadimos dos símbolos, uno al inicio y otro al final: % y *. La contraseña resultante es: %MglARdcr317*.

Método 2: Palabras sin relación con sustitución vocálica

Combinamos dos palabras sin relación entre sí, por ejemplo: piano y coche. Sustituimos las vocales por números, donde a=1, e=2, i=3, o=4 y u=5. De forma que tenemos: p31n4c4ch2. Para incrementar la seguridad, añadimos los símbolos del ejemplo anterior, uno al inicio y otro al final. La contraseña resultante es: %p31n4c4ch22*.

Recomendaciones esenciales para la seguridad de contraseñas

Si caben más recomendaciones, todas ellas lógicas, serían las siguientes:

  • Cambien las contraseñas que vienen establecidas por defecto.
  • Renueven las contraseñas cada cuatro meses.
  • No utilicen la misma contraseña para diferentes aplicaciones o fines.
  • No dejen a la vista de todos las contraseñas anotadas en un papel.
  • No guarden las contraseñas en el navegador cuando el uso del dispositivo sea compartido con otros usuarios.
  • No compartan sus contraseñas, y si tienen que compartirlas, cámbienlas inmediatamente.
  • No tecleen ninguna contraseña si hay alguien observando.

Autenticación en dos factores (2FA) y passkeys 

Para elevar el nivel de seguridad empleen procesos de doble verificación o verificación en dos pasos, también conocida como 2FA. El primer factor suele ser una contraseña que creamos nosotros y el segundo un código aleatorio generado por un token de autenticación, un dispositivo externo, una aplicación instalada en nuestro dispositivo o por verificación biométrica. Debido a los riesgos del «SIM Swapping» es mejor utilizar una aplicación de autenticación que la recepción de códigos por SMS.

Si alguien pretende acceder sin autorización a un fichero automatizado debe quedar registro desde qué equipo se intentó, cuántas veces se intentó y a poder ser bloquear el fichero tras varios intentos fallidos, saltando una señal de alerta hasta que se aclare la incidencia, tratando con ello de descubrir la autoría de esos intentos de acceso fraudulentos. 

Otra opción son las llamadas «passkeys». Se trata de una nueva forma de iniciar sesión en sitios web y aplicaciones, que reemplazan las contraseñas tradicionales. Se basan en la criptografía de clave pública y privada, lo que significa que, en lugar de almacenar una contraseña en un servidor, se generan dos claves: una pública, que se almacena en el sitio web o aplicación, y una privada, que permanece en el equipo o dispositivo del usuario. Para autenticar el acceso, las passkeys suelen requerir la validación biométrica del usuario, por ejemplo, mediante el uso de las huellas dactilares o el reconocimiento facial, lo que añade una capa adicional de seguridad. Con las passkeys, los usuarios no necesitan recordar una contraseña; en su lugar, simplemente deben desbloquear su dispositivo.

Gestores de contraseñas: la solución más práctica

Los gestores de contraseñas crean y almacenan contraseñas únicas cifradas. Solo hay que recordar una clave maestra.

A partir de complejos algoritmos, estos crean contraseñas únicas que almacenan cifradas. La ventaja es que solo tenemos que recordar la clave maestra o contraseña de acceso al gestor. El inconveniente es que dejamos la seguridad en manos de terceros. 

Hay infinidad de gestores de contraseñas, si bien los más conocidos son Bitwarden, 1Password, Password Boss, LastPass, Keeweb, KeePass, Dashlane, Splashid, NordPass, Zoho Vault. 

Si no quieren usar un gestor de contraseñas y memorizar las contraseñas les resulta imposible, podrían anotarlas en un papel, que deberían guardar en un lugar seguro, o sea, de difícil acceso para terceros no autorizados. En tales casos, deberán extremas las cautelas, por ejemplo, no dejen rastros o muestras de que son contraseñas ni las vinculen a las aplicaciones a las que dan acceso. Anotarlas en un papel no es la opción recomendable. Lo ideal sería memorizar las contraseñas, siguiendo las reglas mnemotécnicas antes referidas.

Responsabilidad del empleador en la custodia de contraseñas

El Tribunal Superior de Justicia de Castilla y León de Valladolid, Sala de lo Social, en Sentencia de 3 de noviembre de 2022 (Rec. nº 2010/2022) resuelve un caso de despido disciplinario, en el que la contraseña de acceso al sistema informático de la trabajadora despedida fue descubierta y empleada por otro trabajador para un uso fraudulento de la misma.

El tribunal establece lo siguiente: «En efecto, no puede hablarse de una transgresión de la buena fe contractual, abuso de confianza, deslealtad o fraude, lo que exige un elemento intencional o, al menos, de negligencia relevante en la conducta de dicha trabajadora. El elemento intencional no está acreditado precisamente porque la utilización de sus contraseñas se hizo sin conocimiento y consentimiento de la misma. Tampoco lo está la existencia de negligencia relevante en la custodia de las contraseñas, siendo razonable que teniendo que cambiarse cada dos meses se tuvieran que apuntar en algún sitio para su recordatorio y teniendo en cuenta que la propia empresa, más allá de la atribución de responsabilidad genérica a los trabajadores del uso correcto de las contraseñas, no facilitó ningún lugar seguro para tenerlas custodiadas bajo llave. Por tanto, el empleador tiene que procurar al trabajador medios para custodiar las contraseñas personales. Por todo lo anterior la calificación de improcedencia del despido efectuada por la juzgadora de instancia se ajusta a derecho al no haber infringido la trabajadora con su conducta ni el artículo 54 del ET ni el 67.4 del Convenio Colectivo aplicable, por lo que dicha sentencia debe ser confirmada y en consecuencia el recurso debe de ser desestimado».

En adelante, para no encontrarse con el mismo conflicto, procuren facilitarle al trabajador los medios apropiados para guardar las contraseñas personales de forma segura.

Checklist de buenas prácticas en contraseñas para cumplir con el RGPD

Medida de seguridad

¿Implementado?
  • Contraseñas con mínimo 12 caracteres alfanuméricos y símbolos

☐  Sí  /  ☐ No 
  • No se usan contraseñas predeterminadas del fabricante

☐  Sí  /  ☐ No 
  • Contraseñas diferentes para cada sistema o servicio

☐  Sí  /  ☐ No 
  • Cambio periódico de contraseñas (mínimo cada 90 días)

☐  Sí  /  ☐ No 
  • Autenticación en dos factores (2FA) activada

☐  Sí  /  ☐ No 
  • Registro de intentos de acceso fallidos

☐  Sí  /  ☐ No 
  • Bloqueo automático tras varios intentos fallidos

☐  Sí  /  ☐ No 
  • Uso de gestor de contraseñas corporativo

☐  Sí  /  ☐ No 
  • Formación del personal sobre seguridad de contraseñas

☐  Sí  /  ☐ No 
  • Política de contraseñas documentada y aprobada por la dirección

☐  Sí  /  ☐ No 

Recursos de la Oficina de Seguridad del Internauta (OSI)

La Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) pone a disposición de la ciudadanía varios recursos para mejorar la gestión de las contraseñas. Pueden encontrarlos haciendo clic aquí.

Para concluir, les comparto aquí un listado con las 200 contraseñas más comunes. Como dato curioso se facilita el tiempo que se tarda en descifrarlas. Seguro que, más de uno, se sorprenderá de lo rápido que se pueden descifrar. 

Contraseñas seguras generadas por microchips

Índice de artículos
error: Contenido protegido por derechos de autor. Queda prohibida la reproducción, distribución, transformación, transcripción y almacenamiento de este contenido, sin la autorización previa y expresa del titular de los derechos. Para pedir dicha autorización, diríjase al titular enviando un correo electrónico a info@protecciondata.es