Para todos aquellos que usáis la misma contraseña para varios servicios web la recomendación es que cambies urgentemente esta costumbre. Seguramente los delincuentes ya dispongan de tu dirección de correo, la contraseña habitual así como las preguntas y respuestas de recuperación de las mismas; especialmente si los servicios a los que te conectas tienen las preguntas de seguridad típicas, cuyas respuestas son ampliamente reutilizadas
Pero ¿cómo vamos a mantener una contraseña diferente para la enorme oferta de servicios a los que estamos suscritos? El e-mail personal, el del trabajo, facebook, twitter, spotify, ebay, etc, etc… No te preocupes, que no es tan dificil como puede parecer. Veamos, primero, qué NO debes hacer (y comprueba si te reconoces en el perfil)
• No utilizar una palabra del diccionario.
• No utilizar nombres, fechas de cumpleaños, edad, números de teléfono, nombres de mascotas, equipos de deportes o cualquier otra cosa relacionada contigo.
• No usar la misma contraseña para varios propósitos diferentes.
• No compartir tus contraseñas nunca, con nadie.
Y una mala noticia: Las herramientas que fuerzan contraseñas utilizan ataques al diccionario y ataques de diccionario mixtos (donde las palabras del diccionario son modificadas automáticamente utilizando números comunes/sustituciones de caracteres). No sirve de nada elegir una palabra del diccionario y cambiar sólo unas pocas letras por números (Por ejemplo: Password equivaldría a P455w0rd!), este tipo de contraseñas pueden ser descifradas en cuestión de minutos, y más con las técnicas que emplean los delincuentes informáticos actualmente y la potencia de cálculo de los ordenadores de hoy día.
Entonces ¿qué podemos hacer para crear una contraseña que podamos recordar facilmente?
1- Piensa en una frase fácil que puedas recordar, por ejemplo: “Mi deporte favorito es el tiro con arco«
2- Coge la letra inicial de cada una de esas palabras: MDFEETCA
ésta puede ser la base de la contraseña, pero ahora tenemos que asegurarnos de utilizar números y “caracteres especiales” como !£$&+ y combinar las mayúsculas con las minúsculas, por ejemplo: vamos a cambiar las iniciales de las palabras ‘largas’ por mayúsculas y las ‘cortas’ por minúsculas: mDFeeTcA
Ahora le añadimos un par de símbolos especiales al final: mDFeeTcA!$
Y, finalmente, cambiemos algunas de esas letras por números; tal vez la primera ‘e’ por el ‘3’ (o una L, por el número 1; una O por el cero, una A por el 4…): mDF3eTcA!$
Recuerda que los caracteres especiales como “£”, se pasan por alto por muchos ataques de robo de contraseñas, por lo que si es posible utilizarlo, hazlo: es muy recomendable. Pero ¿cómo escribimos el símbolo de la libra en un teclado español? Es muy sencillo: ALT+156 (£) (pulsando la tecla ‘ALT’ -la tecla a la izquierda de la barra del espacio- y la secuencia de números 1, 5 y 6)
Todas las letras y símbolos que usamos diariamente tienen sus equivalentes en código ASCII, observa la tabla (puedes pulsarla para ampliarla):
 |
Tabla código ASCII (fuente: elcodigoascii.com.ar)
• Pregunta de Seguridad (la gran trampa de la ingeniería social)
En los sitios web que al crear una cuenta nos piden responder a ciertas preguntas para recordar nuestra contraseña en un momento dado es mejor utilizar preguntas personalizadas, que tú puedas crear, a ser posible… y sino, responder a las preguntas que te hagan con respuestas triviales o inventadas y que no contengan la contraseña utilizada realmente, sino una referencia. Este punto resulta algo confuso para ciertas personas que no están habituadas con el protocolo de recuperación de contraseñas. El funcionamiento es muy simple:
Elige, o crea, una pregunta: ¿Cómo se llamaba tu primera mascota?
La respuesta: Blanca
Así, si pierdes u olvidas la contraseña podrás recibirla en tu correo si respondes correctamente a la pregunta que has definido. Este sistema, muy extendido, ha sido uno de los mayores fracasos de seguridad y responsable de la mayor parte del secuestro de cuentas de MSN por ingeniería social en sus inicios, pero va mejorando, ya que proporcionaba la contraseña instantáneamente sin enviarla a una cuenta de correo, como se hace actualmente obligando a proporcionar el movil, otra cuenta de correo de respaldo, etc… a la que enviar la contraseña olvidada.
El problema principal radicaba (y radica) en la mala decisión eligiendo las preguntas, de forma que permitan deducir las respuestas sencillamente por deducción o simplemente haciéndose amigo en el chat y realizando la pregunta ‘secreta’ tras un breve periodo de ‘acercamiento’ que la confiada víctima respondía ingenuamente y viendo como su cuenta era secuestrada.
Algunos ejemplos de preguntas/respuestas, digamos, desafortunadas, podrían ser:
Pregunta: ¿Qué me gustan más las motos o los coches?
Respuesta: las motos
Error: en la pregunta está incluida la posible respuesta, de modo que saltará la restricción.
Sugerencia:podemos hacer una ‘pregunta trampa’ de modo que la pregunta te de una pista de la respuesta y ‘despiste’ al hacker, como por ejemplo, haciendo que la respuesta sea: la bicicleta
P: ¿De qué color fue mi primer coche?
R: negro
Error: en Europa el 25% de los colores de los coches es negro, seguidos del blanco (20%), gris (18%), plata (15%), rojo (6%) y azul (7%)
Sugerencia: no elija respuestas con porcentajes de probabilidades altos de deducción
P. ¿De qué color son los ojos de mi hija?
R. Azules
Error: los colores de ojo son limitados: Castaño, ámbar, Avellana, Verde, Azul o Gris (fuente: wikipedia) lo que hace predecible la respuesta (por no nombrar aquella foto que tenemos con nuestra hija en nuestro perfil de facebook ;))
Sugerencia: de nuevo no elija respuestas de fácil deducción
• Cuidado con Facebook
Norma de obligado cumplimiento: cuidado con Facebook; puede ser nuestro mayor enemigo a la hora de ‘revelar’ o dar ‘pistas’ sobre las respuestas a nuestras ‘preguntas secretas’ del tipo «¿cómo se llama mi hija? ¿cual fue mi primer colegio? ¿qué marca de coche tengo? ¿de qué pueblo es mi padre/abuelo/mujer…? ¿cómo se llama mi mascota? etc. etc. etc…
En palabras de María Ramírez, senior sales engineer de TrendMicro “A mayor interacción con la nube, más debe considerarse utilizar métodos de cambio de contraseña periódicos”, comenta, “Toda interacción con servicios, aplicaciones o sitios en Internet debe llevar asociada un componente adicional de seguridad: nuestras contraseñas. Y un cambio periódico de las mismas, puede ayudarnos«.
Definitivamente, ahora más que nunca, hemos de planificar y mantener una estrategia de control, elección y diseño de nuestras contraseñas. No lo dejes para mañana si puedes hacerlo hoy…
JAE
Informativos.Net
