Guía para proteger las contraseñas de los piratas informáticos

La mayoría de nuestras actividades en línea requieren acceder a contraseñas: es un hecho que no ha pasado desapercibido para los piratas informáticos. Con 53 millones de personas de los Estados Unidos afectadas por una violación de datos solamente en la primera mitad de 2022, proteger las contraseñas contra la piratería informática es más importante que nunca.

Principios básicos de la seguridad de contraseñas

Seguir unas directrices básicas ayuda a mantener las contraseñas a salvo de los ciberdelincuentes: 

• Crear contraseñas fuertes y complejas: los piratas informáticos suelen usar algoritmos para adivinar qué contraseñas podría usar una persona, por lo cual es importante excluir de la contraseña información personal como el nombre, el año de nacimiento y el equipo favorito. En vez de ello se recomienda usar un patrón aleatorio de letras mayúsculas, minúsculas, números y caracteres especiales.
  El número de caracteres también es importante. El mejor software de pirateo tarda solamente unos 39 minutos en descifrar una contraseña de ocho caracteres con letras mayúsculas, minúsculas, números y caracteres especiales. Tardaría 3000 años en descifrar esa misma contraseña con cuatro caracteres adicionales.
• No reutilizar contraseñas: con tantas contraseñas que recordar, repetir las antiguas puede parecer la opción más simple. Sin embargo, reutilizar contraseñas disminuye la seguridad de las contraseñas porque varias cuentas pueden ser vulnerables si se ve comprometida una sola cuenta con una contraseña reutilizada.
• Cifrado: ocultar información en un formato no reconocible es una práctica que se remonta a hace siglos, pero la tecnología informática moderna la ha llevado a un nivel superior. La codificación de contraseñas mediante cifrado las hace ilegibles e inutilizables para los piratas informáticos. El administrador de contraseñas de Dashlane usa cifrado AES-256, ampliamente aceptado como el tipo de cifrado más fuerte disponible y la mejor forma de proteger las contraseñas.
• Autenticación de dos factores/multifactor: la autenticación de dos factores (2FA) usa una segunda credencial, por ejemplo, un código de seis dígitos enviado a través de una aplicación o un mensaje de texto, para confirmar la identidad del usuario. Esto puede retrasar unos segundos el ingreso, pero también hace casi imposible que un intruso acceda a sus cuentas sin tener el dispositivo. La autenticación multifactor (MFA) usa dos o más factores, que a veces incluyen identificadores biométricos como huellas dactilares o reconocimiento facial.
• Almacenamiento seguro de contraseñas: una de las mejores formas de proteger las contraseñas es asegurarse de que nadie más tenga (o pueda tener) acceso a ellas. Esto descarta usar listas digitales desprotegidas de ingresos, notas adhesivas y trozos de papel, además de guardar contraseñas en el navegador de Internet. La mejor forma de almacenar contraseñas en casa o en el trabajo es usar un administrador de contraseñas para crear y almacenar contraseñas complejas y cifradas en servidores externos seguros, donde siempre están protegidas contra la piratería y las violaciones de datos. 

Los desafíos de mantener la seguridad de las contraseñas

Las prácticas seguras de contraseñas ayudan en gran medida a garantizar que los datos personales y empresariales continúen siendo privados. En los últimos años, aprender a proteger las contraseñas también ha significado comprender los cambios en curso en los entornos de trabajo, los estilos de vida y la tecnología, entre ellos: 

• Un número creciente de cuentas y contraseñas: la larga lista de contraseñas que hay que mantener para uso personal y empresarial hace que sea más complicado mantener seguras las contraseñas. La reutilización de contraseñas, el almacenamiento poco exigente y otras prácticas deficientes de higiene de contraseñas se multiplican cuando hay demasiadas contraseñas que recordar. El habitual bucle de configurar-olvidar-restablecer contraseñas puede ocasionar contraseñas creadas apresuradamente (y cada vez más débiles).
• Trabajar desde casa (y de viaje): el servicio de Internet mejorado y las tabletas y teléfonos inteligentes llenos de funciones han hecho posible políticas de trabajo desde casa (WFH, por sus siglas en inglés) y de traiga su propio dispositivo (BYOD, por sus siglas en inglés). Las preocupaciones de seguridad de contraseñas resultantes de esta evolución incluyen:
  • Uso mixto de dispositivos: cuando se usan los mismos dispositivos tanto para aplicaciones personales como para aplicaciones de trabajo, es difícil controlar qué sitios web y aplicaciones usan los empleados, y los datos de la empresa pueden verse comprometidos si se piratea la contraseña personal de alguien.
  • Uso de wifi no seguro sin VPN: el aumento de la movilidad lleva a un mayor uso de redes wifi públicas que los ciberdelincuentes suelen aprovechar para interceptar datos. Una VPN ayuda a mantener la seguridad de las contraseñas en estas configuraciones públicas cifrando todos los datos que entran o salen de un dispositivo y enrutándolos a través de un portal seguro.
  • Uso de varios dispositivos para las mismas cuentas: los usuarios que migran de un dispositivo a otro deben asegurarse de que sus ingresos sean coherentes. Un administrador de contraseñas debe poder sincronizarse fácilmente entre dispositivos y sistemas operativos para poder realizar actualizaciones globales de contraseñas desde cualquier dispositivo o ubicación.
• Compartir contraseñas con otros: el uso compartido de contraseñas con amigos y familiares es una práctica común para cuentas de venta al por menor y servicios de suscripción como Netflix. Las contraseñas también se comparten entre los empleados en lo que respecta a las aplicaciones del lugar de trabajo. Estas prácticas también crean desafíos de seguridad, ya que todos los que comparten la contraseña común se vuelven vulnerables si alguna de ellas se ve afectada por un delito cibernético.  

«Me di cuenta de inmediato de que Dashlane nos permitiría compartir contraseñas con personas que no pueden actualizarlas o que incluso no pueden verlas. También podemos cambiar una contraseña compartida sin afectar negativamente a aquellos que la usen de manera legítima».

Ben Leibert
director técnico de VillageReach

Los riesgos que representan los piratas informáticos

Las violaciones de seguridad y los pirateos siguen aumentando en los últimos años, con un récord de 1862 violaciones solamente en 2021. Notorias técnicas de pirateo crean amenazas de ciberseguridad que debemos tener en cuenta para mantener segura la información confidencial:

• Software malicioso: los gusanos, los virus y el «ransomware» se hallan entre las muchas formas de software malicioso, también conocido como «malware» que puede infectar el dispositivo y dañar o interrumpir su funcionamiento normal. Aunque parte del software malicioso simplemente intenta molestarnos, el registro de pulsaciones de teclado y el «malware» de vertido de contraseñas se pueden usar para robar ingresos. Aunque un administrador de contraseñas no lo protegerá contra el software malicioso, puede hacer que sea más sencillo restablecer las contraseñas rápidamente si sufre un ataque de «malware».
• «Phishing»: como forma de ingeniería social, los ataques de «phishing» usan mensajes de correo electrónico engañosos para que algún destinatario desprevenido haga clic en los enlaces. Dichos enlaces pueden liberar programas tales como software espía o malicioso que intercepte información o haga que el dispositivo funcione mal. Algunos correos electrónicos de «phishing» también presentan solicitudes urgentes (y falsas) de contraseñas u otra información personal. La formación y la educación son efectivas para minimizar el impacto del «phishing», ya que estos correos electrónicos maliciosos generalmente se pueden identificar en función de una escritura inadecuada, ofertas demasiado buenas para ser ciertas y direcciones de correo electrónico que no coinciden con el nombre o con la empresa del remitente.
• Estafas: ¿estafar es lo mismo que piratear? No exactamente. Los piratas informáticos usan la tecnología para obtener acceso a dispositivos, contraseñas y otra información confidencial, mientras que las tácticas de estafa engañan a sus objetivos para que ofrezcan información personal voluntariamente. Un ejemplo común de estafa son los sitios web de compras en línea falsos donde los visitantes introducen la información de su tarjeta de crédito, pero jamás reciben los artículos que compraron.
• Ruptura de contraseñas por fuerza bruta: la estrategia subyacente a los ataques de fuerza bruta, que a menudo se usan para el pirateo corporativo organizado, consiste en intentar aleatoriamente combinaciones de contraseña y nombre de usuario hasta que se encuentre una coincidencia. La automatización y la inteligencia artificial hacen que sea más fácil para los ciberdelincuentes comprobar nuevas combinaciones continuamente. Dado que esta táctica aprovecha contraseñas débiles, las contraseñas fuertes y los administradores de contraseñas que las generan constituyen una protección efectiva.

Para aprender a proteger sus contraseñas de los piratas informáticos, haga una pregunta. Consulte nuestras preguntas y respuestas con la experta en ingeniería social y pirata informática de sombrero blanco Rachel Tobac.

Cómo proteger las contraseñas de los piratas informáticos

Las mejores estrategias de protección de contraseñas analizan tácticas de pirateo habituales para descubrir cómo proteger las contraseñas y minimizar los riesgos de la forma más efectiva.

1. Usar una contraseña fuerte
   La importancia de la fortaleza de la contraseña para frustrar intentos de pirateo, como averiguar contraseñas por fuerza bruta, no se puede enfatizar lo suficiente. El administrador de contraseñas de Dashlane crea contraseñas largas e impredecibles para todas sus cuentas, luego las cifra y las almacena de forma segura. Estas contraseñas fuertes se rellenan automáticamente cuando es necesario, para que ya haga falta memorizarlas ni escribirlas.
   
2. Cambiar la contraseña si se sospecha alguna violación
   Siempre hay que cambiar las contraseñas afectadas si se descubre software malicioso o se ha visto uno involucrado en una violación de datos. Es posible que una organización en la que haya una cuenta notifique directamente que hay información expuesta debido a una violación de datos, o se pueden notar signos reveladores, como demasiadas ventanas emergentes o amigos que informan sobre correos electrónicos inusuales desde su cuenta. Tómese en serio estas señales de advertencia y cambie sus contraseñas de inmediato.
   
3. Guarde sus contraseñas en un lugar seguro
   Las contraseñas escritas en notas adhesivas, trozos de papel u hojas de cálculo no están a salvo de la mirada indiscreta de los piratas informáticos. Los administradores de contraseñas integrados en los navegadores realizan copias de seguridad de su información en sus servidores, pero también ofrecen una lista no cifrada de sus contraseñas que es vulnerable a una violación. La mejor forma de almacenar contraseñas de forma segura es usar un administrador de contraseñas para albergar contraseñas cifradas en servidores altamente seguros alojados en la nube.
   
4. Comparta contraseñas solo de forma segura
   Compartir contraseñas es habitual para muchas cuentas de aplicaciones de venta al por menor, de suscripción y de trabajo. Incluso si es usted diligente en lo que respecta a sus hábitos de contraseñas, compartir contraseñas puede minar la seguridad, ya que depende de los hábitos de contraseñas de la familia, los amigos y los compañeros de trabajo. Si un delito cibernético afecta a alguien con quien ha compartido una contraseña, su identidad e información se vuelven vulnerables. Dashlane ofrece un portal cifrado para compartir contraseñas de forma segura.
   
5. Use un administrador de contraseñas
   Un administrador de contraseñas cubre los principios de seguridad de contraseñas para ofrecer la mejor protección contra los piratas informáticos. La generación automática de contraseñas elimina la creación y el almacenamiento de contraseñas de forma manual, que consume mucho tiempo, lo que hace que los administradores de contraseñas sean la mejor forma de mantener las contraseñas organizadas y seguras. Después de ingresar con una contraseña maestra única, puede crear contraseñas fuertes y cifradas que se rellenan automáticamente de forma segura para todas sus cuentas.

Qué hace Dashlane para proteger las contraseñas de los piratas informáticos

Con la creación intuitiva de contraseñas y una caja fuerte de contraseñas segura y protegida, Dashlane le ayuda a eliminar hábitos de riesgo como reutilizar y almacenar contraseñas en abierto. Funciones como la 2FA, una VPN y la monitorización de la web oscura aumentan la protección, desde las redes wifi públicas hasta los rincones más oscuros de Internet. Con nuestra arquitectura de conocimiento cero patentada:

• Dashlane no puede acceder a sus datos
• Dashlane cifra sus datos, por lo que incluso si Dashlane fuera pirateado (algo que nunca ha sucedido en los más de 13 años que llevamos en el negocio), los piratas informáticos no tendrán acceso a sus datos no cifrados.

---

Referencias

1. Statista, «Número anual de compromisos de datos y personas afectadas en los Estados Unidos desde 2005 hasta la primera mitad de 2022», agosto de 2022.
2. Hive Systems, «Are Your Passwords in the Green?» (¿Sus contraseñas están en buen estado?) 2022.
3. Dashlane, «How to Stop Reusing Passwords for Good» (Cómo dejar de reutilizar las contraseñas para siempre), enero de 2020.
4. Dashlane, «¿Qué es el cifrado?» marzo de 2019.
5. Incognia, «What are the Key Differences between 2FA and MFA?» (¿Cuáles son las diferencias clave entre la 2FA y la MFA?). 2022
6. Dashlane «La mejor forma de almacenar contraseñas en el hogar o el trabajo», septiembre de 2022.
7. Dashlane, «How To Remember Hard-To-Remember Passwords» (¿Cómo recordar contraseñas difíciles de recordar?), noviembre de 2022.
8. Dashlane, «Tres estrategias para evitar violaciones de seguridad y pirateos en el trabajo», septiembre de 2021.
9. Dashlane, «¿Por qué necesita una VPN? No se pierda estas tres ventajas clave», agosto de 2020.
10.  ITRC,  «Identity Theft Resource Center’s 2021 Annual Data Breach Report Sets New Record for Number of Compromises», (El informe anual sobre violaciones de datos de 2021 del Centro de recursos contra el robo de identidad establece un nuevo récord en número de violaciones), enero de 2022.
11. Dashlane, «Seis amenazas de ciberseguridad que llevan a violaciones de seguridad y pirateos empresariales», junio de 2021.
12. Dashlane, «Los siete pasos de un ciberataque, y cómo evitarlos», julio de 2021.
13. Dashlane, “¿Qué es un ataque de fuerza bruta?” Febrero de 2020.
14. Dashlane, «¿Qué es el software malicioso?» Febrero de 2020.
15. Kaspersky, «What is Keystroke Logging and Keyloggers?» (¿Qué es el registro de pulsaciones y los registradores de pulsaciones?) 2022.
16. Dashlane, «Usted pregunta, el pirata informático responde: siete preguntas con Rachel Tobac», octubre de 2021.
17. Dashlane, «¿Cómo de segura es su contraseña? ¿Debería cambiarla?» Agosto de 2022.
18. Dashlane, «Cambie siempre sus contraseñas después de una violación», marzo de 2020.
19. Dashlane, «Forme a Dashlane: nuestra función, primera del sector, le ofrece precisión y control personalizados del rellenado automático», septiembre de 2022.
20. Dashlane, «Profundización en la seguridad de conocimiento cero de Dashlane», junio de 2022.