Las vulnerabilidades de los usuarios al crear contraseñas

Las vulnerabilidades de los usuarios al crear contraseñas

Fabián Calderón

Muy probablemente muchas personas creen que la información relacionada con su vida puede considerarse como privada pero lo que seguramente no tienen en cuenta es que los datos, como su fecha de nacimiento, teléfonos, nombres de mascotas, gustos personales, entre otros, pueden ser fácilmente hackeados.

Pablo Vásquez, consultor de ciberseguridad de Deloitte, comentó que usualmente colocan el nombre del libro, hijo o mascota, porque es un término fácil de recordar, pero también es algo fácil de identificar o preguntar a la persona de forma directa sin generar sospecha. Por eso se recomienda usar frases largas que tengan cierto significado para el dueño de la clave y sea difícil de hackear.

“Utilizan la misma contraseña en varias cuentas (trabajo, correo, banco, redes sociales, entre otros). Además, la contraseña suele contar datos que se pueden obtener por medio de ingeniería social. Por ejemplo, preguntar a alguien si le gustan las mascotas y cuál fue el nombre de su primera mascota es algo que no genera sospecha, y esta información puede ser utilizada para recuperar la contraseña”, expresó Vásquez.

Facilidades para un hacker

Hay controles deficientes en la aplicación, tales como detectar ataques de fuerza bruta, que intentan claves distintas hasta encontrar la correcta, medios de comunicación sin cifrar que permiten a un atacante capturar los mensajes y leer la contraseña, almacenamiento de credenciales en computadora y navegador de Internet, que pueden ser recuperadas.

Sin embargo la mayor facilidad es que las personas colocan la contraseña en papeles o la comparten, lo cual es semejante a prestar la llave de la casa o dejarla en un lugar público según Vásquez.

Para Camilo Gutiérrez, jefe de prevención e investigación de ESET Latinoamérica, el error típico de muchos usuarios es utilizar palabras que existan en el diccionario, secuencias de números o información personal, lo cual combinado con una baja longitud de las mismas las convierte en un blanco fácil para los atacantes.

Esta es un lista de las 25 peores contraseñas de 2015, y su variación respecto de 2014, según ESET:

Puesto

Contraseña

Cambio desde el 2014

1

123456

Sin cambio

2

password

Sin cambio

3

12345678

Subió 1

4

qwerty

Subió 1

5

12345

Bajó 2

6

123456789

Sin cambio

7

football

Subió 3

8

1234

Bajó 1

9

1234567

Subió 2

10

baseball

Bajó 2

11

welcome

Nueva

12

1234567890

Nueva

13

abc123

Subió 1

14

111111

Subió 1

15

1qaz2wsx

Nueva

16

dragon

Bajó 7

17

master

Subió 2

18

monkey

Bajó 6

19

letmein

Bajó 6

20

login

Nueva

21

princess

Nueva

22

qwertyuiop

Nueva

23

solo

Nueva

24

passw0rd

Nueva

25

starwars

Nueva

¿Cuáles son las recomendaciones?

Según Vásquez, se recomienda cambiar la contraseña con frecuencia (al menos cada 60 días), y no reutilizarlas. Si utilizan sistemas de autenticación, la contraseña debe ser distinta y contar con una clave extensa mayor a 12 letras o números. Actualmente se recomiendan frases largas que sean significativas como “laciberseguridadaplicaatodos”.

“Para las empresas, se recomienda contar con la capacidad de asegurar, vigilar y responder a ataques hacia las cuentas de los usuarios. Para ello deben disponer de un Centro de Operaciones de Seguridad con capacidad de monitoreo y respuesta, así como políticas que indiquen tiempo de vida de contraseña menor a un día, utilizar otros mecanismos de autenticación como contraseñas de una vez (OTP), o doble factor de autenticación, de acuerdo con el valor de la información que van a acceder”, explicó el consultor de Deloitte.

Asimismo, Gutiérrez detalló que para construir una contraseña segura se debe utilizar diferentes tipos de caracteres: mayúsculas y minúsculas, números y símbolos. Además la longitud es clave para que una contraseña sea lo bastante robusta. “Así que utilizando estas dos medidas y teniendo en cuenta no utilizar palabras en diccionarios, así sean en otro idioma, podremos obtener una contraseña segura”, agregó.

Por último, Vásquez afirmó que algunas políticas de seguridad que solicitan una extensión fija, caracteres en mayúscula, minúscula, signos especiales y números, solo incrementan la complejidad hacia el usuario.

Leave a comment

Send a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *