En entornos laborales, profesionales y hogareños el uso de claves en dispositivos y servicios basados en las tecnologías de la información y la comunicación (TIC) es imprescindible. 

Redes sociales, servicios en la nube, correos o el ingreso a diversos sistemas comparten el mismo mecanismo de seguridad y autenticación.

Las contraseñas son la llave de su identidad digital y la principal manera de resguardar el acceso a estos servicios. 

Pero aunque ellas ayudan a proteger la integridad y confidencialidad de la información y los datos personales, millones de usuarios recurren a contraseñas débiles y fáciles de adivinar, como “123456”, “password”, o “qwerty”. Y también las comparten.

Esta aclaración parece absurda pero hay una gran cantidad de personas que comparte sus claves de acceso, poniendo en riesgo no solo su identidad digital sino también la confidencialidad e integridad de la información, que es volcada en la nube. 

¿Qué es una clave segura?Es habitual que en el ámbito de seguridad se hable de una “clave segura” o una “contraseña fuerte”. 

Se dice que una “password” es fuerte cuando tiene una considerable extensión y posee símbolos, mayúsculas, minúsculas e inclusive números. 

Es decir, cuando está fuera del listado de peores contraseñas habituales como las mencionadas.

Este esquema intenta mitigar los denominados ataques de fuerza bruta, con los cuales se intenta adivinar la clave probando todas las combinaciones posibles hasta dar con la indicada.

Sin embargo, en la mayoría de servicios actuales en la red, este tipo de ataques ya no es viable, debido a que los proveedores de las aplicaciones bloquean las cuentas luego de unos pocos intentos fallidos.

Ya sea por “captchas” o mediante un correo para reactivar las cuentas, el usuario o el atacante que ingresó varias claves erróneas no podrán seguir probando.

Esto significa que el clásico ataque de fuerza bruta con herramientas automatizadas, en estos casos, quedó en desuso. 

Se podría pensar entonces que no es necesario que las contraseñas sean extremadamente largas ni con tantas variaciones de símbolos, pero aquí no termina el tema.

Existen otros casos en los que aún es importante generar una contraseña compleja y de un tamaño considerable.

Por ejemplo, si se desea cifrar o comprimir un archivo con clave, en el caso de escritorios remotos o cuentas de FTP que no contemplen políticas de bloqueos. 

Otro ejemplo podría ser la clave maestra de un gestor de contraseñas. Las “passwords” no deben repetirse entre distintas plataformas: la del correo no puede ser la misma que la de una red social.  Además, deben ser fáciles de recordar. 

Para que pueda entender la esencia de todo esto, observe el siguiente video que enseña a crear una contraseña segura en un minuto:

En el video se observa cómo una palabra significativa para usted va transformándose en una frase y haciéndose más robusta. 

Dependiendo del escenario y el servicio en cuestión deberá elegir de qué manera generar su contraseña para que sea funcional y segura.

En ocasiones, utilizar contraseñas fuertes no es suficiente porque los ciberdelincuentes prefieren evadir por completo la labor de adivinarlas, y utilizan códigos maliciosos como keyloggers o exploits para robar las credenciales directamente desde la PC del usuario. 

De esta forma, utilizar soluciones integrales de seguridad o antivirus ayuda a proteger las claves y privacidad de los sistemas.

Claves para las clavesDesde la empresa de seguridad informática Eset compartieron a iProfesional las siguientes herramientas para crear y administrar contraseñas.

Se destacan por funcionalidades útiles como la capacidad de importar datos, automatizar claves y ayudarle a crearlas y almacenarlas. 

LastPass, KeePass, LogMeOnce y 1U Password Manager son algunas de las más conocidas entre las gratuitas, y a menudo se analizan sus funcionalidades para que pueda elegir la que más le agrade.

También se utiliza software adicionando una segunda barrera de seguridad.

Estas soluciones ofrecen un segundo factor de autentificación, es decir que además del método clásico de usuario y contraseña, se agrega un factor adicional que permite adicionar un grado más de robustez al proceso de identificación en determinados servicios. 

Sitios como Facebook, Google, Twitter e inclusive entornos corporativos y financieros permiten la implementación sencilla de estos sistemas de autentificación secundarios, que emiten un código numérico para cada inicio de sesión.

¿Qué hacer si robaron la “password”?Debe considerar que aun tomando todos los recaudos, existe la posibilidad de que su contraseña sea robada. 

Las causas pueden ser varias: desde que alguien lo haya mirado cuando la escribía hasta ataques más avanzados como la captura de tráfico en redes abiertas, un clásico caso de phishing o inclusive ataques a plataformas de uso frecuente como ocurrió con LinkedIn, Yahoo, Sony u otros servicios de e-mail.

Si la causa fue una brecha de seguridad que dejó al descubierto claves de millones de usuarios, tras el robo, su información formará parte de un paquete que intentará ser vendido o utilizado con fines maliciosos. 

Pero no debe entrar en pánico: eso lleva su tiempo y usted puede cambiar su clave de inmediato.

Si sospecha que algún código malicioso robó sus credenciales, deberá revisar si sus soluciones de seguridad se encuentran actualizadas y funcionales antes de volver a utilizar ese dispositivo. 

Haga una exploración y, en lo posible, cambie las contraseñas desde otro dispositivo que sea seguro.

Lamentablemente, si no siguió el consejo de utilizar una contraseña para cada servicio y la clave es robada, deberá recordar todos los lugares en que la utilizaba para cambiarla a la brevedad.

Como última recomendación, siempre es aconsejable cambiar las contraseñas de manera periódica.

De esta forma, si alguien roba su clave y usted no se enteras o no siquiera lo sospecha, podrá mitigar este riesgo. 

Aquí es cuando los gestores de contraseñas mencionados tienen importancia, porque le ayudan a hacer esto.

Si bien las “passwords” son algo que se utilizan a diario no deben perder el foco de su importancia y criticidad. 

No olvide que ellas son las que ejercen el control de su privacidad, identidad digital e inclusive cuentas financieras, o sea, de su dinero.