Es inevitable: los sitios web son un imán para los ciberataques. En 2021, solo el cortafuegos Wordfence bloqueó la friolera de 18 500 millones de ataques dirigidos a las claves de acceso de páginas WordPress. Por ello, hoy nos centramos en cómo mejorar la seguridad de tus contraseñas.

La cuenta de correo electrónico, la del hosting web, la del acceso al dominio, las de las redes sociales… Hoy en día tenemos que recordar tantas contraseñas que resulta tentador utilizar la misma para todas las aplicaciones.

Al menos hasta hace poco, es lo que hacían más de la mitad de los internautas adultos. Mientras, otros tantos usan durante años una clave básica a la que introducen minúsculas variaciones como añadir o cambiar una cifra o un signo de exclamación.

Si es tu caso, es hora de ponerte las pilas. ¿Verdad que si existiera una llave mágica para abrir tu casa, tu coche y tu joyero no se te ocurriría usarla?

Puede que tener una sola clave digital te simplifique la vida. Pero también te hace más susceptible a delitos como la suplantación de identidad.

Sobre todo si usas una contraseña habitual, como la típica 123456, es muy fácil que alguien acceda a todas tus cuentas y haga lo que quiera con ellas, sea instalar spam en tu página web, sea limpiarte la cuenta del banco.

Para ayudarte a proteger mejor tu presencia online, en este artículo vamos a ver cómo crear contraseñas seguras y cómo gestionarlas.

Por qué es importante elegir una contraseña segura

Los ataques «de fuerza bruta» o adivinación de contraseña son los más habituales en Internet y uno de los ataques más sencillos dirigidos a sitios web, sobre todo páginas WordPress.

Los piratas utilizan bots (programas automatizados) que introducen miles de combinaciones en segundos hasta que acaban por dar con la clave correcta.

Cualquiera con un ordenador para videojuegos un poco potente podría hacer millones de intentos por segundo (puede que hasta más) para convertir tu contraseña a texto plano. Con un equipo serio, un pirata solo tardará entre unos segundos y unos pocos minutos en adivinar cada combinación de letra y número de 9 caracteres.

¿Convencido? Entonces veamos cómo escoger una contraseña que sea muy difícil de descifrar y otras prácticas para proteger tus cuentas contra intrusiones.

Fundamentos para proteger tus contraseñas

1. Elige contraseñas complejas

Una contraseña difícil de adivinar está compuesta por una secuencia de al menos 12 caracteres que combina números, símbolos y letras mayúsculas y minúsculas.

Es fundamental que la contraseña contenga todas estas clases de caracteres: cuantos más tipos, más posibles contraseñas y, por tanto, más dificultad para averiguarla.

Por ejemplo, aunque tu contraseña solo conste de 4 caracteres, si cada uno de ellos es de un tipo diferente, habrá 26 millones de contraseñas posibles. Si ampliamos la longitud a 12 caracteres, habrá 19 408 409 961 765 342 806 016 de posibilidades. Incluso con un sistema de primer nivel, se tardarían miles de años en probar todas las combinaciones posibles para adivinar tu clave.

Recuerda evitar:

• Palabras en el diccionario. Hasta la herramienta de descifrado más sencilla puede adivinar credenciales con palabras reales escritas hacia delante y hacia atrás. Es mucho mejor usar frases. Por ejemplo: Yaestamosdeagosto mejor que vacaciones.
• Nombres propios, incluidos el de tu mascota, tu pareja, personajes famosos y marcas.
• Patrones como abcde y secuencias de teclado (qwerty es la más obvia).
• Datos que se puedan asociar a tu persona, como tu fecha de nacimiento o lugares relacionados contigo.
• Las palabras con números añadidos, como Barcelona02.

2. Activa la autenticación de doble factor

Al margen de los ataques con bots basados en claves de acceso y usuarios comunes (por ejemplo, admin en WordPress o versiones varias de tu nombre de dominio), en la actualidad existe otro vector de ataque: las grandes filtraciones de contraseñas.

Muchas grandes marcas y servicios, desde Google hasta LinkedIn pasando por eHarmony, han sido hackeados y han dejado al descubierto la consigna de miles de sus usuarios.

Los piratas más sofisticados aprovechan estas listas para lanzar los llamados ataques de relleno de credenciales, que tienen un porcentaje de éxito mucho más alto que los tradicionales.

Por tanto, vale la pena implementar la verificación o autenticación en dos pasos para añadir otra capa de seguridad.

Se trata de un método de doble identificación: para poder acceder a tu cuenta, además de indicar la contraseña, deberás introducir un código que recibirás mediante SMS, llamada o aplicación.

Para activar la autenticación de dos pasos, existen muchos plugins y aplicaciones, como Google Google Authenticator, Authy o LastPass.

3. Nunca reutilices una contraseña

El sueño de todo pirata es encontrar una víctima que usa la misma clave para varios servicios y dispositivos.

Si un pirata descifra la información de un sitio, intentará de inmediato usar esas credenciales en cientos de otras páginas conocidas, desde los bancos hasta marketplaces.

Si es tu caso, solo con que tengas constancia de que alguien ha entrado en uno de tus perfiles, sea Facebook, sea Netflix, considera que todas las demás cuentas están en peligro.

Tampoco vale reusar una versión muy parecida de la contraseña en la que simplemente cambies un par de dígitos: los piratas la adivinarán en minutos.

4. Cambia regularmente las claves

Asegúrate de cambiar la clave que tiene por defecto el producto o servicio al abrir la cuenta y, a partir de ahí, actualízala al menos cada 90 días. Así no les darás tiempo a los bots para encontrar la clave correcta y, si un servicio cae víctima de un robo de datos y obtienen tu contraseña, esta dejará de ser válida.

5. Guarda tus contraseñas de forma segura

Si necesitas ayuda para generar una contraseña difícil, puedes usar alguna herramienta como LastPass o 1Password. El problema es que suelen crear claves aleatorias bastante difíciles de memorizar.

Para recordarlas, existen varios métodos, ninguno de ellos perfecto:

• Aplicaciones de gestión de contraseñas. Por ejemplo, las mencionadas LastPass o 1password. Cifran y guardan todas tus contraseñas, las actualizan automáticamente y aplican la autenticación multifactor. La gran ventaja es que solo tienes que recordar una clave maestra para acceder a todas. El gran inconveniente: si este servicio es hackeado, todas tus contraseñas se verán comprometidas a la vez.
• Lista física. Un método sencillo y eficaz, pero hay que considerar las desventajas físicas: el papel se puede mojar, quemar, perder; alguien puede entrar en la oficina y copiarla, etc.
• Memorización. Muy seguro, pero si olvidas alguna contraseña tienes mucho trabajo para recuperarla.

La mnemotecnia es una buena opción para crear contraseñas seguras y fáciles de recordar. Por ejemplo, un truco puede ser elegir una frase básica común para todas las cuentas, pero en la que cambies sistemáticamente varios elementos y sustituyas algunas letras por un número o símbolo.

Toma una frase como «Uso <primer y último carácter del nombre de la aplicación en cuestión> para <acción>». Quedaría así:

• Uso HBO para series y películas à U50_HO_p@r@_53r135_+_p3I1(ul@5
• Uso Nominalia para hosting à U50_NA_p4r4_h0$t1n¿

6. No te dejes engañar

No le des nunca ninguna contraseña a nadie ni la envíes por correo electrónico, mensaje o cualquier otro medio poco seguro.

Si recibes un email que parece ser de una tienda online o una llamada del «equipo técnico» de tu alojamiento web que intenta convencerte de darle tu contraseña, es probable que sea una estafa.

Sospecha de cualquiera que te solicite datos personales, incluso si parece ser alguien que conoces o una empresa en la que confías: un ciberdelincuente puede haber pirateado su cuenta.

¿Conoces algún otro consejo o truco para crear contraseñas seguras, recordarlas y protegerlas? Cuéntanoslo en las redes.