Preguntas y respuestas sobre las contraseñas

En nuestras preguntas y respuestas sobre las contraseñas te ofrecemos información y consejos básicos sobre las contraseñas, usos, seguridad, manejo, etc. Incluimos nociones básicas sobre contraseñas en un lenguaje que sea fácilmente comprensible.

¿Para qué sirven las contraseñas?

Las contraseñas sirven para identificarte en una página web o en un servicio. Normalmente, tendrás un nombre de usuario o dirección de correo electrónico, pero no quieres que nadie pueda leer tus mensajes o escribir en tu nombre, o leer tu cuenta bancaria, o acceder a tus fotos. Por ello, tienes una «llave» que será tu acceso individual a tu cuenta de usuario. Sin esa llave, contraseña o clave, nadie puede acceder al servicio.

¿Por qué una contraseña no puede ser una palabra fácil?

La mayoría de los servicios serios en internet no te permiten utilizar una contraseñas con una palabra sencilla, tal como un apellido, un año, etc. ¿Te has preguntado por qué es esto? La razón es que, por diversos motivos, hay muchísimas personas y bots tratando de acceder a las cuentas de otras personas en internet. En muchos casos, esas personas y programas utilizan diccionarios de contraseñas para intentar acceder de forma ilícita a tu cuenta. En esos diccionarios están todas las palabras comunes, como «perro» o «esternocleidomastoideo», así como combinaciones fáciles de teclear, como «querty», «1234567890», «q1w2e3r4t5y6» y similares.
Así, si una web te permitiera elegir estas contraseñas, tendrías más posibilidades de que fuera adivinada.
En muchas ocasiones, a la hora de crear una contraseña las páginas web ya te indican lo segura que es la contraseña que estás introduciendo.

Vale que no pueda ser una palabra, pero ¿Por qué las contraseñas tienen que ser tan complicadas?

Actualmente verás que muchas contraseñas requieren algo más que complicadas combinaciones para ser seguras. En general, esto es lo que te suelen pedir en las páginas web para considerar una contraseña segura:
– No deben ser palabras en un diccionario.
– Que sea lo suficientemente larga (8-12 caracteres mínimo).
– Tienen que contener mayúsculas y minúsculas.
– Además, que añadan algún símbolo, como «!€@#».
La razón de estas medidas es que aumentan la dificultad de averiguar las contraseñas mediante diccionarios o fuerza bruta, pues será computacionalmente imposible de averiguar con la tecnología actual.

¿Por qué es importante memorizar la contraseña, mantenerla secreta y no escribirla en un lugar fácilmente accesibles?

Simplemente por seguridad y por limitar las oportunidades a un atacante de averiguar tus contraseñas. Imagina alguien que se acerque a tu mesa de trabajo y copie/fotografíe un papel con tus contraseñas. Esa persona tendrá acceso a tus datos, ¡Incluso a modificarlos! ¿Por qué arriesgarse teniendo la contraseña escrita en un papel?

¿Por qué no debo usar la misma contraseña en distintas páginas?

Porque si alguien averiguara la contraseña de cualquiera de ellas, tendría acceso a todos tus datos en distintos sitios, con posibilidad de modificarlos. Si por cualquier circunstancia una página web te informara de que ha sido comprometida, tendrías que cambiar las contraseñas de todas las páginas que visitas, y eso suponiendo que no sea demasiado tarde. Tus datos estarían tan seguros como la página más débil de las que utilices, y créenos cuando decimos que hay páginas que no tienen casi ninguna seguridad.

¿Qué es una aplicación para guardar contraseñas?

Si sigues nuestros consejos de la pregunta anterior, utilizarás una contraseña distinta en cada página, y por lo tanto será difícil recordarlas todas. Ya te hemos contado que apuntarlas no es la solución. Entonces, ¿Qué debemos hacer?
Existen algunas aplicaciones, programas y servicios web que nos permiten almacenar un montón de contraseñas de forma segura. Te mencionamos dos de los más conocidos:
-Lastpass: Un servicio web que te permite almacenar contraseñas, compartirlas, crear carpetas con permisos de acceso y mucho más, ideal para uso empresarial.
https://www.lastpass.com
-Keepass: Una aplicación local que te permite almacenar de forma organizada y segura tus contraseñas, ideal para uso particular.
https://keepass.info/

¿Tenéis algún truco para generar contraseñas?

Sí, lo tenemos. Primero, nuestro consejo es que uses uno de los servicios mencionados en el apartado anterior para generar tus contraseñas. Ambos tienen una opción de generar contraseñas aleatorias que son consideradas altamente seguras.
De todas formas, si quieres generar una combinación de letras y números fáciles, puedes usar una frase de una canción que te guste («All you need is love»), con un año especial («1968») y algún símbolo extra («!}»). Con esto tu contraseña debería considerarse segura: «Aynil1968!}»

¿Qué son los dos factores de autentificación o 2FA?

Es una forma de garantizar aún más seguridad en algunos accesos o transacciones en la red. Se emplean cada vez más para iniciar sesión en un servicio, lo que aumenta tus garantías de que nadie va a entrar en tu nombre. Suelen emplear algo que tú tienes y algo que tú sabes.
Por ejemplo, tu banco te puede mandar un SMS a un teléfono conocido para confirmar una transferencia. Ya habías entrado con tu usuario y contraseñas (algo que tú sabías) y ahora te envían un SMS a tu teléfono (algo que tú tienes) para que confirmes la transacción.
Hoy en día también existen aplicaciones que generan números aleatorios, que son introducidos tras la contraseña para aumentar la seguridad. Es el caso de google Authenticator, empleado por muchas empresas.
También se da el caso de que para acceder a tu correo te envíen una notificación a tu teléfono tras introducir la contraseña, para confirmar que permites el acceso a la cuenta desde un nuevo dispositivo.

¿Cómo se almacenan las contraseñas?

Este es un dato más bien técnico, que depende de cada plataforma, pero lo general es que se no se almacene la contraseña, sino un hash de la misma. Un hash es un nuevo valor que se obtiene al procesar la contraseña original mediante un algoritmo, con algún dato adicional («aderezado»), y a partir del cual es imposible obtener la contraseña original. Es decir, que es una codificación solo en un sentido. Esto significa que, aunque alguien pudiera obtener la base de datos de contraseñas por algún medio, no estaría inmediatamente en posesión de tu contraseña.

¿Qué ocurre cuando una página web sufre una exposición de las contraseñas?

Se suelen leer con cierta frecuencia que una u otra página ha filtrado las contraseñas. En general, lo que se ha filtrado suelen ser bases de datos con los hashes de las contraseñas, pero con algunos diccionarios y ataques de fuerza bruta los atacantes obtienen muchas de las contraseñas del las cuentas y pueden acceder a ellas o venderlas en el mercado negro.
En alguna ocasión, y causando asombro en la comunidad de desarrolladores, se han filtrado listas de usuarios con sus correspondientes contraseñas sin encriptar, lo cual habla bastante mal sobre la responsabilidad de esas páginas con sus usuarios, pues no mantienen ni siquiera unos estándares mínimos de seguridad.

¿Qué ocurre cuando una página web sufre una exposición de las contraseñas?

Se suelen leer con cierta frecuencia que una u otra página ha filtrado las contraseñas. En general, lo que se ha filtrado suelen ser bases de datos con los hashes de las contraseñas, pero con algunos diccionarios y ataques de fuerza bruta los atacantes obtienen muchas de las contraseñas del las cuentas y pueden acceder a ellas o venderlas en el mercado negro.
En alguna ocasión, y causando asombro en la comunidad de desarrolladores, se han filtrado listas de usuarios con sus correspondientes contraseñas sin encriptar, lo cual habla bastante mal sobre la responsabilidad de esas páginas con sus usuarios, pues no mantienen ni siquiera unos estándares mínimos de seguridad.

¿Están todos los servicios protegidos por contraseñas?

Lo cierto es que hay algunos servicios, como por ejemplo cuando compartes un fichero en algún servicio de almacenamiento en la nube muy conocido, que no, no utilizan contraseñas para proteger los dados compartidos.
Estos servicios generan un enlace con un código muy largo (uuid), que es muy difícil de reproducir (digamos que si un atacante tratara de escribir todos los uuids de todos los ficheros tardaría millones de años con la tecnología actual). Haciendo una analogía, estos servicios ocultan una aguja microscópica en un bosque de miles de kilómetros y el usuario que comparte el enlace y los que lo reciben tienen la localización exacta de dicha aguja. El resto de usuarios de la red no serán capaces de acceder al archivo sin tener su localización exacta.
Existen otras formas de proteger servicios, como el 2FA que mencionamos anteriormente, o la utilización de llaves USB que abren el acceso a servicios.
Además, están cada día más en alza la utilización de medios biométricos, como el escaneado de la huella dactilar, rasgos faciales, iris e incluso la posición de los vasos sanguíneos.

¿Qué tipos de ataques suelen sufrir las contraseñas?

Lo cierto es que diariamente hay miles de ataques para conseguir por unos y otros medios las contraseñas, siendo los más conocidos los siguientes:
–Fuerza bruta: un atacante prueba una y otra vez combinaciones diferentes de contraseñas, por lo general con la ayuda de un diccionario de claves y de manera automática.
–Webs sin encriptar: ¿Sabías que si la página web no indica que utiliza https, es probable que tus contraseñas viajen sin encriptar? Un atacante que esté escuchando el tráfico de la red podría leer la contraseña sin mucho esfuerzo.
–Key loggers: son programas que leen cada tecla que pulsas en el teclado y las transmiten a una tercera persona, con lo que pueden leer no sólo tus contraseñas, sino todo lo que escribas en tu ordenador.
–Phishing: un atacante crea una página igual a la de una entidad conocida (un banco, una compañía de energía eléctrica, una aseguradora), y el usuario, sin darse cuenta, introduce en esa página sus datos de acceso, cediéndoselos voluntariamente al atacante. Es por este tipo de páginas por los que no debemos pinchar en cualquier enlace de los correos que recibamos.
–Robo de dominios: en relación con el apartado anterior, existen caracteres especiales que se parecen a nuestros símbolos del alfabeto, así que si un atacante copia un dominio con un nombre similar utilizando esos caracteres especiales, ni siquiera leyendo la barra de direcciones conseguiremos darnos cuenta del engaño.
–Robo de contraseñas: mediante ataques de inyección SQL, o utilizando algún otro tipo de vulnerabilidad, los atacantes obtienen una lista de los usuarios y las contraseñas.
–Hacking del servidor: utilizando una vulnerabilidad del software del servidor, los atacantes consiguen que su propio código se ejecute en el mismo, pudiendo transmitir las contraseñas a cualquier lugar del mundo sin ser detectados.

¿Cómo se defienden los servicios web de los ataques para descubrir las contraseñas?

Las empresas se defienden tratando de mantener todo el software actualizado, con una buena gestión de sus redes y accesos, estando al día sobre los distintos tipos de vulnerabilidades que pueden aparecer, limitando el número de intentos de acceso por usuario y utilizando métodos de detección de bots que acceden a sus servicios. Asimismo, colaboran con las autoridades en cualquier fallo de seguridad e informan a sus usuarios cuando una contraseña debe de ser cambiada en base a ciertos criterios de seguridad.
Sin embargo, todo este despliegue de medios será en vano si nuestra contraseña está escrita en un post-it cerca de nuestro puesto de trabajo.

¿Qué ocurre si pierdo mi contraseña?

Existen múltiples mecanismos para recuperar la contraseña, el más básico es recibiendo un correo electrónico con un enlace para crear una nueva contraseña. Como el correo electrónico suele ser el último elemento de la cadena, ¿qué pasa si perdemos la contraseña de nuestro correo electrónico? Esta es la razón de que muchos de los servicios de correos electrónicos te soliciten el número de teléfono móvil, para tener una última via de acceso en caso de que perdamos también el acceso al correo.
En última instancia, si no tienes acceso, deberás de buscar en la página de tu servicio algún correo de atención al cliente y ponerte en contacto con ellos para ver cuál es su política de acceso a las cuentas.

¿Por qué tenemos en ocasiones que cambiar la contraseña la primera vez que usamos un servicio?

Por lo general, la primera vez que usamos un servicio se genera una contraseña automáticamente, creando lo que se llama una contraseña por defecto. Pues bien, en el pasado ha habido servicios en los que se podía averiguar la contraseña por defecto, por lo que se ha adoptado como práctica de seguridad el que la cambies la primera vez que accedas.

Bueno, esto ha sido todo en nuestro artículo de nociones básicas sobre contraseñas. ¿Tienes alguna pregunta? ¿Echas de menos algún contenido? ¡Te esperamos en los comentarios!