password


Yubal F.M., con el cual llevo ya unos cuantos años de amistad virtual, y que actualmente trabaja para Xataka, me pedía el otro día algunos tips sobre contraseñas seguras con el fin de preparar un artículo/tutorial al respecto consultando también a un crack y amigo como es Josep Albors, de ESET.

Me puse a enviarle mis observaciones, y me sorprendí a mi mismo recomendándole, para empezar, que dejasen de crear contraseñas y apostasen por sistemas de gestión de contraseñas, centrando luego el tiro en el doble factor de autenticación y en el focus a la cuenta de correo.

¿El resultado? Este artículo (ES).

Y como suelo hacer, dejo por aquí todo lo que hablamos:

Mira, máxime a sabiendas de que consultarás a otros compañeros, y que al final la mayoría te dirán lo típico, voy a intentar desmarcarme con algunos tips un poco más genéricos:

1.- Delega en terceros

Hay que tener en cuenta que el usuario es el eslabón más débil de la cadena. Por ello, mi primera recomendación sería que directamente nos olvidáramos de crear contraseñas seguras para cada servicio, y apostáramos por un gestor de contraseñas (EN). El mercado de los gestores ha madurado bastante en estos últimos años, y hoy en día, además de varias alternativas (no pongo nombres que tampoco se trata de hacerle publi a unos sí y otros no), casi todos cuentan con aplicaciones para cualquier sistema operativo y extensiones para todos los navegadores. Lo que quiere decir que en prácticamente cualquier situación que se pudiera dar, el usuario va a tener a mano el gestor.

Dichos gestores se encargan de crear por si mismos una contraseña muy robusta (de estas que tienen muchos caracteres, con letras, números y símbolos entremezclados aleatoriamente). Y como el usuario no se la va a aprender (ahí radica la gracia de usar un gestor de contraseñas), tampoco va a tener la posibilidad de copiarla y pegarla en un post-it delante del ordenador, o dársela a “no se quién”.


Y de paso, con ellos obtenemos algunas funcionalidades extra, como es la posibilidad de “cerrar” cuentas temporalmente (por ejemplo, cuando nos vamos de vacaciones), y crear perfiles de contraseñas que no son visibles en un momento dado (muy útil para viajar a EEUU y no tener que dar acceso a nuestras cuentas a los de aduanas, por ejemplo).

2.- El doble factor de autenticación

Pero lo mejor de todo es que gracias al gestor de contraseñas la seguridad no depende exclusivamente de nosotros, sino de un servicio que está especialmente diseñado para ello. Ergo, mayor seguridad.

¿El único eslabón débil? Pues que el gestor de contraseñas… requiere de un usuario y una contraseña, algo que sí depende de nosotros.

Y que a fin de cuentas, por muy segura que sea la contraseña, tarde o temprano la cuenta se verá comprometida por algún filtrado masivo.

De ahí que aunque el sistema basado en el pseudo-conocimiento (es decir, la contraseña) lo tengamos bien cubierto, hay que acompañarlo de otro basado en la posesión, como normalmente es el envío de token SMS o el uso de aplicaciones como Google Authenticator.

A esto se le llama doble factor de autenticación, y ha demostrado ser lo mínimo que necesitamos tener para considerar que nuestra cuenta es segura. Ojo, ¡lo mínimo!

Todos los gestores de contraseñas ofrecen activar el doble factor de autenticación, y también prácticamente todos los grandes servicios de Internet, empezando por nuestro correo, y siguiendo por redes sociales y servicios de mensajería instantánea.


Siempre que podamos activarlo, habría que hacerlo (es algo que tarde o temprano será obligatorio), ya que minimizamos enormemente el impacto de un potencial ataque.

Gracias al doble factor de autenticación, por ejemplo, un filtrado masivo de datos de acceso a las cuentas de un servicio no nos afectaría. Nuestro usuario/contraseña se han visto comprometidos, sí, pero para que alguien pueda acceder a nuestra cuenta, va a necesitar además robarnos nuestro smartphone. Y eso ya es otro cantar (de riesgo global pasamos a un riesgo local, un ataque dirigido).

3.- Divide y vencerás

Unido a los dos temas anteriores está el hecho de tener aunque sea un par de cuentas de correo, utilizando cada una dependiendo del grado de importancia que deba tener el servicio que estamos creando.

Como bien sabes, nuestro correo es, junto con el número de teléfono, nuestro identificador digital. Aquello que nos identifica en el tercer entorno.

Por ello, es recomendable utilizar varios identificadores distintos para minimizar de nuevo el impacto que tendría si uno de ellos nos lo comprometieran.

Por ejemplo, un servidor tiene tres cuentas de correo principales:

  • La personal, donde tengo la mayoría de servicios asociados de uso personal.
  • La corporativa, para todo lo que tenga que ver con mi trabajo.
  • Y otra secundaria para todos aquellos servicios y suscripciones de segundo nivel (páginas en las que me he logueado, aplicaciones que usé alguna vez), que no voy a tener tan vigilados.

Y como ya expliqué en más de una ocasión, hace tiempo que mi cuenta secundaria fue comprometida por un filtrado masivo, y el año pasado mi cuenta principal (sobra decir que nada más lo supe cambié los credenciales y revisé todos los servicios asociados). De tener solo una, y de no estar al tanto (como pasa con el grueso de usuarios), podría haberme visto en un problema en cualquier momento.


4.- Las contraseñas frente a la alternativa

Todo lo anterior estaba destinado al login en servicios digitales. Pero no hay que olvidarse del desbloqueo del terminal, que a fin de cuentas requiere un sistema de identificación, y que la mayoría de usuarios, de utilizarlo (por favor, hacerlo), hacen uso del patrón de desbloqueo, que es probablemente el más inseguro de todos.

Hace tiempo escribí un post recopilatorio poniendo en orden de mayor a menor seguridad los sistemas de desbloqueo de nuestros dispositivos, y posicionaba por encima de todos los sistemas biométricos, como es el sensor de huella dactilar. Si nuestro dispositivo lo tiene, yo recomendaría que hiciéramos uso de él antes que una contraseña o un patrón de desbloqueo. Y si no contamos con él, hay que tener en cuenta que una contraseña numérica es, a efectos de usabilidad (puedes hacer el mismo gesto que con el patrón), igual que un patrón de desbloqueo, con la ventaja de que es ligeramente (solo ligeramente) más segura.

5.- Cómo medir la seguridad de una contraseña

Con lo que quiero que te quedes es justo eso, que realmente la seguridad de la contraseña es algo secundario, habida cuenta de que el mayor riesgo que tenemos se debe más a cómo gestionamos dichas contraseñas (la mayoría de usuarios utilizan la misma contraseña para varios servicios) y a la seguridad del propio sistema (en un filtrado masivo de contraseñas, da igual que la tuya sea más segura que la del resto).

De ahí que haga hincapié en delegar en un servicio de terceros la gestión (pasamos así de un sistema de identificación basado en el conocimiento, a otro que está basado en la posesión, aunque sea ubicuo) y en utilizar siempre que sea posible un doble factor de autenticación, que es a fin de cuentas lo que minimiza enormemente los riesgos asociados a un ataque.
Dicho esto, recientemente por el grupo privado de mecenas de la Comunidad me recomendaban un tweet de X0rz (EN) en el que resumía bajo mi humilde opinión de una forma bastante acertada qué deberíamos tener en cuenta a la hora de crear una contraseña segura (realmente el tweet va más enfocado a cómo generar contraseñas robustas a nivel de administración, pero vaya), y que se resume en:
  • Dejar de centrarnos en criterios y fórmulas predefinidas (que si al menos X caracteres alfanuméricos, que si al menos uno de ellos debe ser en mayúscula, que si otro debe ser un símbolo…).
  • Aplicar la estimación de fuerza de contraseñas de Dropbox ZXCVBN (EN).
  • Consultar en HaveIBeenPwned Passwords (EN) si esa contraseña ya ha sido utilizada y explotada en alguna filtración anterior.
  • Y de paso, que salga algo fácilmente memorizable (buena usabilidad).
Ahora explícale esto al usuario medio, y mira cómo le explota la cabeza (o pasa de ti, que es lo más probable) :D.

________

Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo te sirve en su día a día, piensa si te merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias