Passwords are both a curse and a blessing
tete_escape/Shutterstock
Las contraseñas ocupan un lugar peculiar en nuestras vidas. Son una bendición –manteniendo nuestros datos y nuestra información a salvo de intrusos en nuestros sistemas informáticos– y una maldición, ya que a menudo son difíciles de gestionar y complicadas de recordar. El experto en ciberseguridad Jake Moore de ESET, una empresa europea de ciberseguridad, nos ofrece tres consejos para que replantees tu relación con las contraseñas y, con suerte, mantengas a los hackers a raya.
1. Usa un gestor de contraseñas, aunque parezca contradictorio
Soy un gran fan de los gestores de contraseñas y creo que están muy infrautilizados. Dependiendo de dónde te encuentres en el mundo y de quién realice el estudio, solo alrededor de un tercio de las personas utiliza gestores de contraseñas. Para mí, eso parece un número criminalmente bajo. Son un cambio radical. Te dan la capacidad de crear contraseñas largas para tu cuenta y almacenarlas de forma segura. Son tan buenos generando las contraseñas por ti, que no tienes que pensar en una.
Esto es importante porque sabemos que cuando se les pide a las personas que inventen sus propias contraseñas, tienden a confiar en cosas o palabras que conocen, toda información que un hacker o un actor malicioso podría tener sobre ti y que podría hacerte vulnerable. También anulan otro gran riesgo, que es la reutilización de contraseñas en diferentes cuentas. Si una contraseña es utilizada por otra persona, incluso por una sola, y la cuenta de esa persona es comprometida, puede terminar en las tablas de contraseñas vulnerables que se utilizan para intentar acceder a otras cuentas.
A veces me pregunto por qué la gente no usa más los gestores de contraseñas. Puede que no entiendan cómo funcionan, pensando que almacenar contraseñas en línea en un lugar que se puede desbloquear con una sola contraseña no es seguro. Pero no lo es. La bóveda en la que se almacenan las contraseñas no es simplemente una lista de contraseñas en un servidor: tus datos están encriptados en tu dispositivo con una clave fuerte derivada de tu contraseña maestra, y lo que se almacena en línea es el texto cifrado revuelto, que ni siquiera el proveedor del gestor de contraseñas puede leer sin esa clave.
2. La autenticación multifactor es imprescindible
Incluso con la contraseña más segura del mundo –y las agencias nacionales de ciberseguridad recomiendan que una combinación de entre 14 y 16 caracteres diferentes es suficiente para disuadir ataques oportunistas– aún es posible ser víctima de hackers. La autenticación multifactor (AMF) añade una capa de fricción para los hackers para asegurarse de que cualquier inicio de sesión que realices sea aprobado por ti, el usuario.
Es una capa adicional de seguridad, como un código a tu teléfono. Se puede hacer a través de un mensaje de texto SMS, pero eso no es tan seguro como otros niveles. Las aplicaciones de autenticación son, para mí, un nivel maravilloso en la AMF, y es una pena que la gente no se vea obligada a usarlas. Si pensamos en Instagram, por ejemplo, solo informan sobre la necesidad de usar la AMF una vez que alcanzas los 10.000 seguidores. Es como si pensaran: ‘Bueno, si la obligamos a los 10.000 seguidores, lo harán porque no quieren perderlos. Pero si la obligamos a hacer eso al registrarse, cuando tienen cero seguidores, podrían atascarse y no abrir una cuenta’. Eso, para mí, es absurdo.
No deberíamos anteponer la facilidad de uso a la seguridad, y hasta que la hagamos cumplir, seguiremos viendo a gente preocupada por el compromiso de sus cuentas de redes sociales o de cualquier otra cuenta. Así que activa la AMF dondequiera que se ofrezca.
3. Donde puedas, evita las contraseñas por completo
Las contraseñas están lejos de ser perfectas, y afortunadamente, existe una alternativa más moderna y segura que se está adoptando a un ritmo cada vez mayor. Nos estamos moviendo hacia una sociedad sin contraseñas, y ese es un paso en la dirección correcta.
Esta alternativa son las passkeys (claves de paso), y lo bueno de ellas es que eliminan muchos errores humanos de la ecuación. En lugar de escribir una contraseña, inicias sesión utilizando tu dispositivo o una clave segura almacenada en tu teléfono, a menudo con una huella digital. Entre bastidores, las claves criptográficas hacen el trabajo duro, pero el usuario no lo ve, se mantiene simple. La simplicidad es lo que las convierte en un cambio radical: eliminan la tentación de reutilizar una contraseña antigua o añadir un número predecible al final de algo familiar.
En cierto modo, son demasiado fáciles. Cuando hablo con la gente, sospechan de las passkeys porque parecen demasiado simples. Si les parece simple, asumen que también debe serlo para un delincuente. Pero ese no es el caso: la tecnología detrás de escena está funcionando mucho más duro de lo necesario.
Las passkeys aún no están disponibles en todas partes, y todavía hay puntos débiles, especialmente si pierdes un dispositivo. Pero en general, las passkeys son un gran paso adelante porque eliminan uno de los eslabones más antiguos y débiles de la seguridad: la contraseña misma.
Según palabras de Chris Stokel-Walker
Topics:
