Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Las contraseñas como barrera de seguridad

Por fichero automatizado se puede entender todo conjunto organizado de datos de carácter personal mediante el uso de programas, soportes y equipos informáticos.

Uno de los mayores riesgos de la informática es la intrusión de terceros en nuestros dispositivos y créanme si les digo que no es difícil entrar en un sistema informático cuando no está debidamente protegido. Así que, el primer consejo es que protejan adecuadamente con herramientas informáticas eficaces sus equipos y dispositivos informáticos, la red y la nube de su organización frente a malware, virus y otros ataques informáticos. 

Una primera barrera de seguridad para evitar que terceros no autorizados puedan acceder libremente a nuestros ficheros, y sencilla de implementar, es que el sistema operativo tenga un acceso restringido mediante códigos de usuario y contraseña.

Recomendaciones para crear contraseñas robustas

En la construcción de las contraseñas se seguirán las siguientes pautas:

  • Estarán compuestas de caracteres alfanuméricos, mayúsculas, minúsculas y signos. Cuantos más caracteres tenga, más segura será la contraseña. Se recomienda que tengan, como mínimo, doce caracteres, entre ellos una ñ.
  • No deberán estar basadas en información personal fácilmente asociada al usuario (nombre y apellidos, fecha de nacimiento, matrícula del coche, etc.).
  • Las contraseñas deberán ser complejas y difícilmente adivinables por terceros, evitando el uso del propio identificador como contraseña o palabras sencillas.
  • Se evitará el uso de secuencias de números, alfabeto o teclado.
  • Escriban con faltas de ortografía, por ejemplo, en vez de «berberecho» usen «ververetxo».

Para crear y recordar contraseñas se pueden emplear patrones. Veamos un ejemplo:

Imagine una frase fácil de recordar y quédese con sus iniciales, por ejemplo: Me gustan los Alfa Romeo de color rojo = MglARdcr. A continuación, seleccione tres números al azar: 317 y concatene todo: MglARdcr317. Para doblar la seguridad, añada dos símbolos, uno al inicio y otro al final: % y *. Su contraseña es: %MglARdcr317*.

Otra regla nemotécnica es combinar palabras que no guarden relación entre sí. Por ejemplo: pez y coche. Sustituimos las vocales por números, donde a=1, e=2, i=3, o=4 y u=5. De forma que tenemos: p2zc4ch2. Para incrementar la seguridad, añadimos los mismos símbolos que en el ejemplo anterior. Su contraseña es: %p2zc4ch2*.

Más recomendaciones

Si caben más recomendaciones, todas ellas lógicas, serían:

  • Cambien las contraseñas que vienen establecidas por defecto.
  • Renueven las contraseñas cada tres meses (cuatro estaciones, cuatro contraseñas).
  • No utilicen la misma contraseña para diferentes aplicaciones o fines.
  • No dejen a la vista de todos las contraseñas anotadas en un papel.
  • No guarden las contraseñas en el navegador.
  • No compartan sus contraseñas, y si tienen que compartirlas, cámbienlas inmediatamente.
  • No tecleen ninguna contraseña si hay alguien observando.

Si quieren elevar el nivel de seguridad empleen procesos de doble verificación o verificación en dos pasos, también conocida como 2FA. El primer factor suele ser una contraseña que creamos nosotros y el segundo un código aleatorio generado por un token de autenticación, un dispositivo externo, una aplicación instalada en nuestro dispositivo o por verificación biométrica. Como recomendación adicional, es mejor utilizar la alternativa de una aplicación de autenticación antes que la recepción de códigos por SMS, debido a los riesgos del «SIM Swapping».

Si alguien pretende acceder sin autorización a un fichero automatizado debe quedar registro desde qué equipo se intentó, cuántas veces se intentó y a poder ser bloquear el fichero tras varios intentos fallidos, saltando una señal de alerta hasta que se aclare la incidencia, tratando con ello de descubrir la autoría de esos intentos de acceso fraudulentos. 

Otra opción son las llamadas «passkey» basadas en la autentificación de nuestros dispositivos por medio de datos biométricos como huellas dactilares o reconocimiento facial. Las «passkey» utilizan el dispositivo junto a los datos biométricos como una llave de acceso. Los datos biométricos no son compartidos con la aplicación o sitio web al que queremos acceder, por lo que también se mantienen protegidos. Este sistema es mucho más seguro que las contraseñas que los usuarios suelen repetir entre varios servicios o sitios web, que pueden ser robadas en bases de datos o sometidas a un ataque de phishing, entre otros riesgos.

Gestores de contraseñas

Una opción para preservar nuestras contraseñas son los denominados gestores de contraseñas.

A partir de complejos algoritmos, estos crean contraseñas únicas que almacenan cifradas. La ventaja es que solo tenemos que recordar la clave maestra o contraseña de acceso al gestor. El inconveniente es que dejamos la seguridad en manos de terceros. 

Hay infinidad de gestores de contraseñas, si bien los más conocidos son Bitwarden, 1Password, Password Boss, LastPass, Keeweb, KeePass, Dashlane, Splashid, NordPass, Zoho Vault. 

Si no quieren usar un gestor y memorizarlas le resulta imposible pueden anotarlas en un papel, que guardaran en un lugar seguro, o sea, de difícil acceso para terceros no autorizados. En tales casos, deberán extremas las cautelas y exigirán al personal de la organización que las extremen, si bien se le facilitarán medios seguros para custodiarlas.

Responsabilidad del empleador en la custodia de las contraseñas

El Tribunal Superior de Justicia de Castilla y León de Valladolid, Sala de lo Social, en Sentencia de 3 de noviembre de 2022 (Rec. nº 2010/2022) resuelve un caso de despido disciplinario, en el que la contraseña de acceso al sistema informático de la trabajadora despedida fue descubierta y empleada por otro trabajador para un uso fraudulento de la misma.

El tribunal establece lo siguiente: «En efecto, no puede hablarse de una transgresión de la buena fe contractual, abuso de confianza, deslealtad o fraude, lo que exige un elemento intencional o, al menos, de negligencia relevante en la conducta de dicha trabajadora. El elemento intencional no está acreditado precisamente porque la utilización de sus contraseñas se hizo sin conocimiento y consentimiento de la misma. Tampoco lo está la existencia de negligencia relevante en la custodia de las contraseñas, siendo razonable que teniendo que cambiarse cada dos meses se tuvieran que apuntar en algún sitio para su recordatorio y teniendo en cuenta que la propia empresa, más allá de la atribución de responsabilidad genérica a los trabajadores del uso correcto de las contraseñas, no facilitó ningún lugar seguro para tenerlas custodiadas bajo llave. Por tanto, el empleador tiene que procurar al trabajador medios para custodiar las contraseñas personales. Por todo lo anterior la calificación de improcedencia del despido efectuada por la juzgadora de instancia se ajusta a derecho al no haber infringido la trabajadora con su conducta ni el artículo 54 del ET ni el 67.4 del Convenio Colectivo aplicable, por lo que dicha sentencia debe ser confirmada y en consecuencia el recurso debe de ser desestimado».

En adelante, para no encontrarse con el mismo conflicto, procuren facilitarle al trabajador los medios apropiados para guardar las contraseñas personales de forma segura, aunque no comparto el fallo, toda vez que el trabajador bien puede memorizar una contraseña. 

Recursos de la Oficina de Seguridad del Internauta 

La Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) pone a disposición de la ciudadanía varios recursos para mejorar la gestión de las contraseñas. Pueden encontrarlos haciendo clic aquí.

Para concluir, les comparto aquí un listado con las 200 contraseñas más comunes. Como dato curioso se facilita el tiempo que se tarda en descifrarlas. Seguro que, más de uno, se sorprenderá de lo rápido que se pueden descifrar. 

Contraseñas seguras creadas por microchips

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).