Cuatro trucos para proteger tus contraseñas (y tu privacidad) en internet

Seguridad online son dos palabras que, unidas, son sinónimo de bostezo aunque no deberían provocarlo. "La gente no se considera un posible objetivo de un ataque porque piensa que nadie querrá acceder a su información. Pero no se dan cuenta de que la identidad digital es cada vez mayor y más valiosa", explica Fernando Seco, director del area consultiva de S2 Grupo, firma especializada en ciberseguridad.

La Comisión Federal de Comercio de Estados Unidos (FTC en sus siglas en inglés) ha hecho públicas en las últimas horas las cifras relacionadas con el robo de identidades digitales en el país durante el último año. La comisión recibió en 2015 cerca de 500.000 quejas relacionadas con dichas prácticas, un número que supuso un incremento del 47% respecto a 2014.

El Departamento de Justicia de Estados Unidos estima que 17,6 millones de ciudadanos han sido víctimas de un robo de identidad digital en 2015

Esa cifra es sólo una porción de las víctimas que han sufrido el robo de la identidad digital según el Departamento de Justicia del país, que estima que 17,6 millones de estadounidenses sufrieron esta práctica en 2015, una cifra que ha aumentado desde los 11,7 que se estima que se vieron afectados entre 2007 y 2008.

¿Qué entendemos por identidad digital? Es aquella relacionada con las cuentas que un usuario tiene creadas en la red, desde las más sensibles (información bancaria) hasta otras menos importantes (cuentas en tiendas digitales o redes sociales) pasando por aquellas que están estrechamente ligadas con nuestro yo binario. El correo electrónico es el ejemplo más claro.

Para que nuestra clave de acceso sea segura es aconsejable que siga estos cuatro consejos: que sea robusta, que no se utilice en diferentes cuentas, que la guardemos en un gestor y que se cambie cada poco tiempo.

Contraseñas: que sean largas y mezclen símbolos

La contraseña es el principal elemento que previene al usuario de sufrir un robo. Según Seco, los internautas cometen dos grandes errores: "La longitud y el uso repetido en muchos ámbitos distintos". Una clave no se guarda tal cual en un servidor, sino que se cifra para que no sea reconocible aunque existen herramientas gratuitas capaces de reconocerlas en poco tiempo.

¿Qué debemos hacer para tener una clave de acceso segura? Hay que evitar, a toda cosa, los clásicos —12345, QWERTY— pero también hay que tener en cuenta otros factores. La extensión es uno de ellos: "Una palabra de seis caracteres que sólo esté en minúsculas se revienta en cinco minutos —advierte Seco—. Pero no es un problema que se resuelva alargando la longitud, ya que los sistemas que se utilizan para descubrirlas utilizan diccionarios que tienen una batería de combinaciones que comprueban muchas variaciones con mucha rapidez".

Harían falta “15 millones de milenios“ para descifrar una contraseña de 10 o 12 caracteres que mezcle mayúsculas, minúsculas, números y símbolos

Pero tanto o más importante que la longitud, que debería estar entre los 10 y 12 caracteres, es la "mezcla de mayúsculas, minúsculas, números y símbolos (como el asterisco)". Una clave de estas características tiene, en palabras de Seco, "una robustez a prueba de bombas". El experto en seguridad cifra en "15 millones de milenios" el tiempo que se tardaría en reventarla.

Chema Alonso, uno de los mayores expertos en seguridad informática en España y CEO de Eleven Paths va un paso más allá, ya que cree que las contraseñas complejas no son seguras. "Es necesario utilizar segundos factores de autenticación", explica. Alonso argumenta que esa clave no defiende al usuario si se rompe. En cambio, una segunda barrera como podría ser "Google Authenticator, Latch o el envío de un SMS" inutiliza el robo de la palabra mágina: "Si alguien la consigue, no podrá utilizarla nunca".

Un gestor para tener muchas claves

El segundo gran error, según Seco, está relacionado con la pereza. Utilizar una misma clave para el correo, las redes sociales u otras cuentas es una temeridad ya que, "si acceden una vez, te lo quitan todo". En este punto, el consultor de S2 Grupo recomienda diferenciar el ámbito personal del laboral y establecer tres categorías: "el bancario (que además tiene doble nivel de autenticación), el correo personal y las redes sociales y webs de compra de productos online".

El hecho de variar de contraseñas conduce a otro problema: ¿Cómo me acuerdo de todas y cada una de ellas? En este punto entra en escena el gestor de contraseñas. Un gestor es una especie de caja fuerte en la que guardar todas nuestras contraseñas y a la que se accede, cómo no, mediante una clave. Basta con recordar esa palabra, que tiene que seguir los consejos descritos con anterioridad, para no tener que memorizar o anotar las diferentes combinaciones de acceso que hayamos registrado.

Un gestor de contraseñas permite almacenar, en una cuenta protegida por una clave, todas las palabras de acceso que hayamos creado para nuestras cuentas

Los gestores existen en formato app y también se pueden consultar vía web. 1Password es uno de las más populares: está disponible para Windows, Mac, Android i iOS y cuenta con una opción que permite generar claves para que el usuario se despreocupe de ese proceso. Seco recomienda KeePassX, una solución gratuita y de código abierto aunque avisa a la hora de escoger un gestor, ya que algunos han sido hackeados en los últimos meses. LastPass, uno de los más populares, y que también es gratuito, sufrió una brecha de seguridad en 2015.

Chema Alonso opina que también es importante que un gestor cumpla una serie de condiciones: "Que ayude a no repetirlas, que no sean predecibles, que permitan cumplir con la dolorosa política de contraseñas del sitio y que puedas recordarlas". También asegura que es importante que el programa "no guarde las claves en texto plano en un fichero XML".

El responsable de Eleven Paths también aconseja el uso de algún software que añada una capa extra de protección. Latch, un producto en el que ha trabajado personalmente, mantiene cerrada la puerta a determinados servicios aunque en la actualidad sólo se puede utilizar en portales muy contados, como Movistar o la Universidad de Salamanca.

Hábitos saludables

No basta con crear contraseñas que cumplan con los mayores requisitos de seguridad. También es interesante renovarlas con cierta frecuencia porque cada poco tiempo aparecen noticias de robo de datos en diferentes portales. "No hace falta ser paranoico, pero es recomendable hacerlo una vez al año como máximo", argumenta Seco.

El experto en seguridad recuerda que firmas como Facebook, Gmail, o Amazon "no te piden que cambies contraseña" a diferencia del entorno laboral, en el que se acostumbra a cambiar cada pocas semanas o meses.

Facebook, Gmail o Amazon no exigen el cambio de contraseña. Se debería hacer, como mucho, una vez al año aunque es recomendable hacerlo cada mes

Alonso señala otro truco para no olvidar el cambio de claves: "Tomar el hábito de hacerlo una vez al mes, con una entrada cíclica en la agenda, es una buena política".

Inconsciencia digital

Seco avisa de un problema generalizado entre los llamados nativos digitales, las personas que han nacido en un entorno dominado por internet: "Tienen una falsa sensación de seguridad porque creen que ya lo saben todo, se sienten falsamente seguros. Los mal llamados analfabetos digitales también tienen un problema, porque les cuesta incorporarse".

¿Qué se debe hacer para mejorar esa seguridad? La formación es clave, en palabras de Seco, en un ambiente en el que la frontera entre lo personal y lo profesional parece haber desaparecido: "Debemos concienciarnos, no como empleados sino como personas. Esa frontera está cada vez más difuminada y se mezcla con facilidad. Ahora, tienes acceso en tu smartphone al correo laboral y, si no eres cuidadoso en ese ámbito, es muy fácil correr riesgos".