Área clientes Área clientes
Protección Data

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Las contraseñas como barrera de seguridad

Por fichero automatizado se puede entender todo conjunto organizado de datos de carácter personal mediante el uso de programas, soportes y equipos informáticos.

Uno de los mayores riesgos de la informática es la intrusión de terceros en nuestros dispositivos y créanme si les digo que no es difícil entrar en un sistema informático cuando no está debidamente protegido. Así que, el primer consejo es que protejan adecuadamente con herramientas informáticas eficaces sus equipos y dispositivos informáticos, la red y la nube de su organización frente a malware, virus y otros ataques informáticos. 

Una primera barrera de seguridad para evitar que terceros no autorizados puedan acceder libremente a nuestros ficheros, y sencilla de implementar, es que el sistema operativo tenga un acceso restringido mediante códigos de usuario y contraseña.

Recomendaciones para crear contraseñas robustas

En la construcción de las contraseñas se seguirán las siguientes pautas:

  • Estarán compuestas de caracteres alfanuméricos, mayúsculas, minúsculas y signos. Cuantos más caracteres tenga, más segura será la contraseña. Se recomienda que tengan, como mínimo, doce caracteres, entre ellos una ñ.
  • No deberán estar basadas en información personal fácilmente asociada al usuario (nombre y apellidos, fecha de nacimiento, matrícula del coche, etc.).
  • Las contraseñas deberán ser complejas y difícilmente adivinables por terceros, evitando el uso del propio identificador como contraseña o palabras sencillas.
  • Se evitará el uso de secuencias de números, alfabeto o teclado.
  • Escriban con faltas de ortografía, por ejemplo, en vez de «berberecho» usen «ververetxo».

Para crear y recordar contraseñas se pueden emplear patrones. Veamos un ejemplo:

Imagine una frase fácil de recordar y quédese con sus iniciales, por ejemplo: Me gustan los Alfa Romeo de color rojo = MglARdcr. A continuación, seleccione tres números al azar: 317 y concatene todo: MglARdcr317. Para doblar la seguridad, añada dos símbolos, uno al inicio y otro al final: % y *. Su contraseña es: %MglARdcr317*.

Otra regla mnemotécnica es combinar palabras que no guarden relación entre sí. Por ejemplo: piano y coche. Sustituimos las vocales por números, donde a=1, e=2, i=3, o=4 y u=5. De forma que tenemos: p31n4c4ch2. Para incrementar la seguridad, añadimos los símbolos del ejemplo anterior, uno al inicio y otro al final y la contraseña es: %p31n4c4ch22*.

Más recomendaciones

Si caben más recomendaciones, todas ellas lógicas, serían las siguientes:

  • Cambien las contraseñas que vienen establecidas por defecto.
  • Renueven las contraseñas cada tres meses (cuatro estaciones, cuatro contraseñas).
  • No utilicen la misma contraseña para diferentes aplicaciones o fines.
  • No dejen a la vista de todos las contraseñas anotadas en un papel.
  • No guarden las contraseñas en el navegador cuando el uso del dispositivo sea compartido con otros usuarios.
  • No compartan sus contraseñas, y si tienen que compartirlas, cámbienlas inmediatamente.
  • No tecleen ninguna contraseña si hay alguien observando.

Si quieren elevar el nivel de seguridad empleen procesos de doble verificación o verificación en dos pasos, también conocida como 2FA. El primer factor suele ser una contraseña que creamos nosotros y el segundo un código aleatorio generado por un token de autenticación, un dispositivo externo, una aplicación instalada en nuestro dispositivo o por verificación biométrica. Debido a los riesgos del «SIM Swapping» es mejor utilizar una aplicación de autenticación que la recepción de códigos por SMS.

Si alguien pretende acceder sin autorización a un fichero automatizado debe quedar registro desde qué equipo se intentó, cuántas veces se intentó y a poder ser bloquear el fichero tras varios intentos fallidos, saltando una señal de alerta hasta que se aclare la incidencia, tratando con ello de descubrir la autoría de esos intentos de acceso fraudulentos. 

Otra opción son las llamadas «passkeys». Se trata de una nueva forma de iniciar sesión en sitios web y aplicaciones, que reemplazan las contraseñas tradicionales. Se basan en la criptografía de clave pública y privada, lo que significa que, en lugar de almacenar una contraseña en un servidor, se generan dos claves: una pública, que se almacena en el sitio web o aplicación, y una privada, que permanece en el equipo o dispositivo del usuario. Para autenticar el acceso, las passkeys suelen requerir la validación biométrica del usuario, por ejemplo, mediante el uso de las huellas dactilares o el reconocimiento facial, lo que añade una capa adicional de seguridad. Con las passkeys, los usuarios no necesitan recordar una contraseña; en su lugar, simplemente deben desbloquear su dispositivo.

Gestores de contraseñas

Una opción para preservar nuestras contraseñas son los denominados gestores de contraseñas.

A partir de complejos algoritmos, estos crean contraseñas únicas que almacenan cifradas. La ventaja es que solo tenemos que recordar la clave maestra o contraseña de acceso al gestor. El inconveniente es que dejamos la seguridad en manos de terceros. 

Hay infinidad de gestores de contraseñas, si bien los más conocidos son Bitwarden, 1Password, Password Boss, LastPass, Keeweb, KeePass, Dashlane, Splashid, NordPass, Zoho Vault. 

Si no quieren usar un gestor de contraseñas y memorizar las contraseñas les resulta imposible, podrían anotarlas en un papel, que deberían guardar en un lugar seguro, o sea, de difícil acceso para terceros no autorizados. En tales casos, deberán extremas las cautelas, por ejemplo, no dejen rastros o muestras de que son contraseñas ni las vinculen a las aplicaciones a las que dan acceso. Anotarlas en un papel no es la opción recomendable. Lo ideal sería memorizar las contraseñas, siguiendo las reglas mnemotécnicas antes referidas.

Responsabilidad del empleador en la custodia de las contraseñas

El Tribunal Superior de Justicia de Castilla y León de Valladolid, Sala de lo Social, en Sentencia de 3 de noviembre de 2022 (Rec. nº 2010/2022) resuelve un caso de despido disciplinario, en el que la contraseña de acceso al sistema informático de la trabajadora despedida fue descubierta y empleada por otro trabajador para un uso fraudulento de la misma.

El tribunal establece lo siguiente: «En efecto, no puede hablarse de una transgresión de la buena fe contractual, abuso de confianza, deslealtad o fraude, lo que exige un elemento intencional o, al menos, de negligencia relevante en la conducta de dicha trabajadora. El elemento intencional no está acreditado precisamente porque la utilización de sus contraseñas se hizo sin conocimiento y consentimiento de la misma. Tampoco lo está la existencia de negligencia relevante en la custodia de las contraseñas, siendo razonable que teniendo que cambiarse cada dos meses se tuvieran que apuntar en algún sitio para su recordatorio y teniendo en cuenta que la propia empresa, más allá de la atribución de responsabilidad genérica a los trabajadores del uso correcto de las contraseñas, no facilitó ningún lugar seguro para tenerlas custodiadas bajo llave. Por tanto, el empleador tiene que procurar al trabajador medios para custodiar las contraseñas personales. Por todo lo anterior la calificación de improcedencia del despido efectuada por la juzgadora de instancia se ajusta a derecho al no haber infringido la trabajadora con su conducta ni el artículo 54 del ET ni el 67.4 del Convenio Colectivo aplicable, por lo que dicha sentencia debe ser confirmada y en consecuencia el recurso debe de ser desestimado».

En adelante, para no encontrarse con el mismo conflicto, procuren facilitarle al trabajador los medios apropiados para guardar las contraseñas personales de forma segura, aunque no comparto el fallo, toda vez que el trabajador bien puede memorizar una contraseña. 

Recursos de la Oficina de Seguridad del Internauta 

La Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) pone a disposición de la ciudadanía varios recursos para mejorar la gestión de las contraseñas. Pueden encontrarlos haciendo clic aquí.

Para concluir, les comparto aquí un listado con las 200 contraseñas más comunes. Como dato curioso se facilita el tiempo que se tarda en descifrarlas. Seguro que, más de uno, se sorprenderá de lo rápido que se pueden descifrar. 

Contraseñas seguras creadas por microchips

Actualización

Ciberataque histórico: el hacker «ObamaCare» filtra más de 10.000 millones de claves robadas, en lo que representa la mayor filtración de la historia. 

Índice de artículos
error: Contenido protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Se prohíbe la reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. La infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (artículo 270 y ss. del Código Penal). Se autoriza la reproducción, distribución y exhibición con fines no lucrativos mediante enlace a la fuente original