Madrid, 1 may – Más de la mitad de los ciberataques en 2023 en el mundo tuvieron su origen en el robo de credenciales, una asignatura, la de su robustez, aún pendiente entre los usuarios. Las contraseñas más comunes en Colombia, Chile, Brasil o Estados Unidos se pueden descifrar en menos de un segundo, como ‘123456’ o ‘admin’.
Esta debilidad supone una clara señal de que hace falta un cambio en los métodos de autentificación y de la falta de concienciación sobre la ciberseguridad. Mañana, como cada primer jueves de mayo, se celebra el ‘Día Mundial de la Contraseña’, una iniciativa impulsada por varias empresas del ámbito de la informática y la ciberseguridad para llamar la atención entre los usuarios.
Proteger las cuentas de usuario es crucial porque almacenan información personal y confidencial, como datos bancarios, correos electrónicos, conversaciones privadas, fotos, vídeos y teléfonos.
Si alguien accediera a ellas, tal y como recuerda el Instituto Nacional de Ciberseguridad (Incibe), en España, podría utilizarlas, por ejemplo, para cometer fraude en nombre de la víctima o robar su identidad.
Una contraseña robusta debe tener al menos entre 8-10 caracteres, combinar letras mayúsculas y minúsculas, números y caracteres especiales y no debe incluir información personal, ni tampoco palabras comunes ni secuencias del teclado, como 123456 o qwerty.
Cambiarlas al menos dos veces al año
Pero además, hay que crear credenciales diferentes para cada cuenta ‘online’ y cambiarlas periódicamente, al menos cada seis meses, especialmente en aquellas cuentas sensibles y con información de valor como la bancaria o de correo electrónico.
Debido a la multitud de servicios ‘online’ que se utilizan y la necesidad de tener múltiples contraseñas, agrega el Incibe, muchas veces por comodidad el usuario cae en el error de utilizar la misma para todo y no es suficiente que sea robusta para mantenerla a salvo de los ciberdelincuentes.
Por ello, es importante conocer las ventajas que ofrece un gestor de contraseñas, que proporciona, entre otros, mayor comodidad porque no es necesario recordar todas las claves, solo saber la contraseña maestra robusta.
Asimismo, siempre que sea posible, se debe configurar la autentificación de dos factores, también conocida como doble factor o verificación en dos pasos.
Esta función añade una capa extra de seguridad ya que, para acceder a las cuentas, además de la contraseña, se requiere un segundo paso, algo que sólo el usuario tiene, como puede ser un código de un solo uso enviado al móvil.
Según datos de Kaspersky, en 2023 se produjeron más de 32 millones de ataques a nivel global con programas de robo de contraseñas, después de los más de 40 millones que se produjeron en 2022.
Entre los principales métodos para robarlas, según el Incibe, están el ‘phishing’, ‘smishing’ y ‘vishing’ (tácticas persuasivas a través de correos, llamadas o mensajes para engañar a los usuarios y obtener sus claves); ‘ataques de fuerza bruta’ (un software automatizado intenta adivinar una contraseña probando diversas combinaciones hasta dar con la correcta); y ‘Keyloggers’ (programas maliciosos que registran las pulsaciones de teclas).
Como ocurre con todo lo relacionado con ciberseguridad, la concienciación es una de «las asignaturas pendientes» y en la que queda mucho camino por recorrer, resume a EFE Juan Manuel Pascual, experto en ciberseguridad y director ejecutivo de Innovery España, Latinoamérica y Estados Unidos.
«Es de vital importancia que la sociedad en general interiorice estos riesgos y se tome en serio la gestión de sus contraseñas para reducir los riesgos».
Las contraseñas inseguras no solo facilitan el acceso a sistemas personales y empresariales, sino que también eliminan una barrera crucial contra los ciberataques, recalca el experto de Innovery: las claves son la primera línea de defensa para proteger la privacidad y seguridad en el terreno digital.
No obstante, «una contraseña robusta es básicamente aquella que es de un solo uso», concluye Pascual.
«Escuchamos constantemente que las contraseñas deben ser largas para que sean más difíciles de descifrar, pero lo cierto es que esto de nada servirá con la llegada de la computación cuántica», asegura el experto.
Las contraseñas más débiles, en servicios de ‘streaming’
NordPass, gestor en contraseñas para empresas y usuarios particulares, publica cada año un informe que compara las 200 contraseñas más comunes en 35 países diferentes; hasta un 70 % pueden ‘hackearse’ en menos de un segundo.
En el listado global, ‘123456’ aparece como la más utilizada, seguida de ‘admin’ y ‘12345678’; las tres a desvelar en menos de un segundo. Casi un tercio (31 %) de las contraseñas más populares del mundo consiste puramente en secuencias numéricas.
En Colombia y Brasil los internautas también eligen esas tres para encabezar su ranking, aunque el de Brasil lo abre ‘admin’.
Según el quinto y último informe de NordPass, ‘123456’, ‘password’ y ‘admin’ son las credenciales más usadas en Estados Unidos; y ‘123456’, ‘admin’ y ‘12345’ las de Chile (todas a revelar en menos de un segundo).
Se usan las contraseñas más débiles para cuentas de ‘streaming’ y las más robustas para las financieras. Esto podría deberse, según el estudio, a que las cuentas de las plataformas en continuo o en directo se comparten entre varios usuarios y, por comodidad, optan por las fáciles de recordar.
EFE