Yes. Ya Es Sábado

Ruth García, técnica de ciberseguridad: «Las contraseñas más usadas suelen ser 1234 o Admin, y es un gran error»

María Vidal Míguez
María Vidal

YES

cedida

Dice que los 8 caracteres que habitualmente nos piden para una clave se han quedado escasos, y aunque nos pueden hackear con técnicas muy sutiles, nos da algunos consejos para evitar que accedan a nuestras cuentas. Y un truco para adecuar la misma contraseña a cada servicio que vayamos a utilizar

30 ene 2021 . Actualizado a las 23:21 h.

La tecnología que manejan los ciberdelincuentes es cada vez más sofisticada, pero eso no quiere decir que no tengamos a nuestro alcance herramientas para evitar perder el control de nuestras cuentas. «Primero, fijar una contraseña robusta, segundo, utilizar un gestor de contraseñas, y por último, la doble verificación», señala Ruth García, técnica de ciberseguridad del Incibe (Instituto Nacional de Ciberseguridad), que advierte que tendemos a reutilizar la misma clave y que esta no siempre cuenta con los requisitos mínimos de seguridad recomendables.

-Tenemos tantas que tendemos a poner contraseñas fáciles de memorizar, ¿no?

-El problema con el que nos encontramos ahora mismo los usuarios es que para acceder a cualquier servicio tenemos que registrarnos en una cuenta, necesitamos un correo electrónico y una contraseña, y para intentar recordar todas, además de poner en todos los sitios la misma, optamos por cosas fáciles como fechas de cumpleaños, nombres de mascotas, cosas muy relacionadas con nosotros y fáciles de adivinar. Esto permite a los ciberdelincuentes acceder fácilmente a nuestras cuentas porque no son claves robustas, las pueden generar a nada que vean nuestros perfiles públicos o a través de máquinas con las que van probando combinaciones. Tendemos a reutilizar contraseñas y las que utilizamos no tienen unos requisitos mínimos de seguridad que serían los recomendables.

-¿Poner 1234 o 5555 es un error?

-Eso es, todos los años siempre hay algún informe que extrae las contraseñas más utilizadas por los usuarios, y se sabe que 1234, la palabra Admin o Password, son las más utilizadas. Un ciberdelincuente solo cogiendo estos listados ya tiene acceso a un montón de usuarios.

-Debemos evitar datos personales, pero a veces el hackeo se produce desde la otra parte del mundo.

-Hay dos casuísticas, la gente que pueda estar a tu alrededor o si estás en su punto de mira, si conocen tu fecha de nacimiento irán más al grano, pero las fechas, no dejan de ser una combinación de números, es fácil de adivinar, porque los ciberdelincuentes utilizan grandes computadoras que tienen bases de números y de palabras, y antes o después van a conseguir tu contraseña. Al ciberdelincuente le da igual tu identidad, lo que quiere es acceder a tus perfiles para recopilar información personal y cometer distintos delitos en tu nombre, enviarte publicidad no deseada, correos maliciosos… tienen un fin detrás.

-¿Pero no es un fin personal?

-Puede haberlo, pero generalmente no suele, a no ser que seas una persona concreta y que por lo que sea te quieran hacer daño de manera específica, pero las mafias o ciberdelincuentes lo que quieren es ir a por usuarios.

-¿Qué es más seguro: una frase larga pero fácil de recordar o un conjunto de letras y caracteres más corto?

-Ahora que sea corta ya no vale, porque como cada vez tienen más equipos para procesar combinaciones complejas de números, la contraseña tiene que ser larga. Las recomendaciones que se daban hasta ahora eran un mínimo de 8 caracteres, pero ya empiezan a ser de 10, combinando mayúsculas con minúsculas, números y caracteres especiales. El problema es que esto a veces resulta muy complejo.

-¿Qué podemos y debemos hacer?

-Para tener contraseñas diferentes y que, además, sean lo más robustas posibles, tenemos dos opciones: utilizar gestores de contraseñas, que son herramientas que nos permiten almacenar las claves de acceso a todos nuestros servicios, y que para acceder solo tenemos que memorizar una contraseña maestra, o la segunda opción, que a mí me gusta mucho, que es apoyarnos en reglas nemotécnicas. Consiste en acordarse de una fecha señalada, de una frase que te guste mucho o un momento destacado… Por ejemplo: hoy es 18 de enero, como recomiendan que usemos mayúsculas, minúsculas y algún carácter especial: 18deEnerO! ¿Qué puedo hacer ahora para tener una contraseña diferente para cada servicio? Si es para Instagram, añado al principio y al final, la primera letra y la última del servicio: I18deEnerO!M, y esto para cada servicio que se utilice. El gestor de contraseñas puede ser muy útil si almacenamos contraseñas con un montón de caracteres que no hay quien memorice o en servicios que prácticamente no accedemos, pero estos trucos pueden ser muy útiles para el día a día.

-¿Qué más podemos hacer?

-De cara a mejorar la seguridad, la mayoría de los servicios que utilizamos los usuarios permiten la verificación en dos pasos, además de la contraseña, necesitas un código adicional que generalmente se obtiene a través del móvil. De esta manera si alguien roba nuestra contraseña, por el método que sea, no podrían acceder a nuestra cuenta porque necesita ese otro código que solo nosotros tenemos en nuestro teléfono móvil, y aunque se hagan con uno, o lo hacen en ese intervalo justo de tiempo o ya no serviría. Esta sería la nueva forma de proteger mejor nuestras cuentas.

-Cuando Google dice si deseamos recordar la contraseña, ¿qué debemos hacer?

-¿Puede ser práctico? Sí. ¿Yo lo recomendaría? No, especialmente cuando se comparte el navegador con más usuarios. Si solo lo usas tú, y además lo tienes bloqueado con una cuenta de usuario y contraseña, bien, pero en el momento que un equipo es compartido, no lo recomendaría. Además de por seguridad, por privacidad recomendamos cerrar la sesión cuando dejemos de usar el navegador para evitar que el que vaya después se encuentre con tus perfiles abiertos o las contraseñas almacenadas.

-Si no hay posibilidad de un control parental, ¿qué recomendación das?

-Hoy todos los dispositivos permiten configurar, si es que no viene de serie, una herramienta para limitar los contenidos, las aplicaciones que pueden usar, los tiempos de uso... Más allá de este control, a nosotros nos gusta incidir en que tiene que haber una concienciación de los padres y los menores de los riesgos que puede haber al navegar por Internet, y el porqué nosotros les queremos supervisar lo que ellos hacen por la red.

-A veces ya no es lo que puede hacer el menor, sino lo que le puedan hacer a él.

-A lo mejor está jugando online a su juego favorito, pero no sabemos quién está detrás, hay muchas plataformas de juego donde lo divertido es estar en tiempo real conectado y hablando con usuarios que están al otro lado del mundo. Se entiende que la mayoría tiene fines legítimos pero también podemos encontrarnos con pedófilos o gente que lo único que quiere es embaucar al que esté al otro lado de la pantalla, incluidos nuestros hijos, para que les faciliten información personal. Si sabemos que nuestro hijo juega con personas que no sabemos quiénes son, hay que estar alerta más allá de que tengamos una herramienta.

-¿A través de qué suelen contactar: vídeos, juegos?

-No hay un patrón, pero a través de los chats de juegos online es fácil contactar con menores, también a través de las redes porque se crean perfiles falsos para ganarse la confianza del menor. Sabemos que a los menores les encanta tener muchos seguidores, fans, amistades, porque para ellos es importante, digamos que muchas veces lo equiparan a tener más protagonismo o reforzar su personalidad o estatus con sus compañeros y acaban aceptando a personas que no conocen de nada.

-«Phishing»: a veces no solo es abrir un correo, es proporcionar datos.

-Algunos correos se ven a simple vista que pueden ser un fraude, pero a veces utilizan técnicas, una de ellas es el phishing, en las que se hacen pasar por una persona o empresa de confianza para que bien descargues un fichero malicioso o hagas clic en un enlace pensando que vas a la página oficial, y resulta que estás yendo a otra que es exactamente igual y que pertenece a un ciberdelincuente.

-¿Cómo se identifican estos correos?

-Hay una técnica que permite suplantar a los remitentes, pero más allá de comprobar quién nos lo envía, hay otras pistas que nos pueden hacer intuir que estamos ante un fraude. La redacción es muy importante, si está contactando una empresa, un servicio oficial... que haya errores gramaticales o frases que no están en un correcto español, es un síntoma para sospechar, también que las fotos no se descarguen. Es importante revisar la URL (poniendo el cursor encima) para contrastar si realmente es una página oficial. Y por último, ningún servicio legítimo nos va a pedir que facilitemos través del correo datos personales ni bancarios.

-Si te hackean la cuenta de Instagram, ¿es más fácil abrir una nueva o merece la pena recuperarla? ¿Se consigue?

-En los últimos meses hemos visto mucho que suplantan servicios legítimos, crean una cuenta exactamente igual para intentar engañar a los usuarios, mandándoles mensajes privados, diciéndoles que han ganado un sorteo, para robarles más datos, pero también se está dando la casuística de personas, perfiles profesionales, que pierden el acceso a sus cuentas, las han hackeado y les piden un rescate para poder recuperarlas.

-¿Qué hay que hacer en esos casos?

-Lo primero, reportar la situación a la red social, aportar todas las pruebas posibles de que esa cuenta era nuestra y que hemos perdido el acceso. Además, si vemos que se están llevando acciones maliciosas tenemos que denunciarlo, tenemos que demostrar que hemos perdido su control. No somos partidarios de acceder a esos chantajes, porque no sabemos lo que van a pedir después. Para evitar llegar a este punto, hay que utilizar contraseñas robustas, activar la doble verificación y estar al tanto de las técnicas de ingeniería social que usan para engañarnos, porque a veces es la forma en la que consiguen hacerse con la contraseña.