Día Internacional de la contraseña: ¿Cómo crear una contraseña a prueba de hackers?

A pesar de que hace años los expertos en ciberseguridad predijeron un mundo futuro sin contraseñas, hoy la mayoría augura larga vida para la contraseña al considerarla muy segura si se sigue la máxima de crearla combinando símbolos, números y letras con la suficiente extensión. Y este 2 de mayo se celebra el Día Internacional de la contraseña como homenaje a un elemento trascendental para la seguridad global en el ciberespacio.  

La contraseña es, sin duda, el más popular y usado de de los tres métodos de identificación que a día de hoy se usan para poner coto a los intentos de los 'hackers' para hacerse con nuestros datos. Como explica Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación de la UOC, se resumen en tres aspectos: "Uno de ellos es lo que sabemos (contraseñas), otro es lo que somos (biometría, huella dactilar...), y el tercero, lo que tenemos (un dispositivo único al que enviar un código)".

¿Qué debe tener una contraseña a prueba de 'hackers'?

Estas son las tres claves para estar lo suficientemente protegidos con una contraseña segura sin tener que contar con una gran memoria para recordarla:

· Una contraseña de, mínimo, 12 caracteres (y, a ser posible, más extensa)

· Usar una combinación de mayúsculas, minúsculas, números y símbolos.

· Que esta combinación evite las secuencias más frecuentes tipo “12345“ o “qwerty”.

¿Por qué un mínimo de 12 caracteres?

Según concluye un reciente estudio de la compañía de seguridad cibernética Hive Systems, las contraseñas con menos de doce caracteres se pueden hackear al instante si solo contienen números. Y algo parecido ocurre en el caso de que solo estén formadas por letras minúsculas.

¿Por qué incluir mayúsculas, minúsculas, números y símbolos?

Porque añade un plus de dificultad a los 'hackers' haciendo mucho más complicada que puedan resolverla. Aunque se sigue estando desprotegido si se opta por una contraseña corta, de unos ocho caracteres, ya el hecho de incluir símbolos y números y combinar mayúsculas y minúsculas obligaría al 'hacker' a estarse una media de 39 minutos para dar con ella. Pero si se usa una combinación de 12 caracteres con mayúsculas, minúsculas, números y símbolos, los 'hackers' tardarían nada menos que 3.000 años en averiguarla.

¿Cuál es entonces la extensión y combinación recomendadas?

"Si hay números, letras y símbolos especiales como +, -, (, $, @, €... , a partir de diez caracteres ya se considera que, con los ordenadores actuales, el tiempo necesario para encontrar la contraseña, si no es una palabra conocida, es suficiente como para no perder el tiempo intentándolo", que añade que todo depende de cómo esté construida esa contraseña.

"Si es a partir de palabras que están en el diccionario, no es muy relevante la longitud. Hay herramientas que prueban combinaciones de palabras conocidas agregando también fechas. Para el resto, lo que se hace es crear combinaciones de letras y números, e ir probando. Cuantas más letras tenga, más combinaciones posibles se deberán probar hasta encontrar la buena".

¿Por qué es importante evitar las secuencias más conocidas?

En España, en el primer lugar del ranquin de contraseñas más usadas en 2021 se encuentra la combinación de números 12345, seguido de 123456 y 123456789, según el estudio anual de NordPass, que también ofrece otros datos curiosos. Por ejemplo, que en la posición 10 se encuentra "barcelona"; en la 12, "España"; en la 16, "alejandro", y en la 18, "tequiero".

O que, al igual que en España, en los países latinoamericanos el nombre del equipo de fútbol preferido tampoco es una buena opción, ya que figura en la quinta posición en algunas regiones. Y si buscamos las contraseñas más empleadas a escala mundial, además de las combinaciones numéricas que también aparecen en las primeras posiciones en España, la primera fila de letras del teclado de ordenador es la favorita: la combinación "qwerty" ocupa el cuarto lugar. El siguiente puesto de la lista lo ocupa "password".

Combinar métodos de identificación para dar un plus de seguridad

La buena noticia es que, al haber varios métodos posibles de identificación, la contraseña, la biometría y huella dactilar y el dispositivo único donde enviar un código (la autentificación en dos pasos) podemos proteger mejor nuestros accesos. La recomendación es hacer uso de ellos de manera combinada.

En opinión de Jordi Serra, si queremos ponérselo difícil a quien intente hackear nuestros accesos, lo mejor es "activar, si se puede, el segundo factor de autenticación, es decir, emplear dos de los tres sistemas de identificación. Lo más habitual es la contraseña y el código único al móvil a la vez", pero siempre que dediquemos algo de tiempo a crear una contraseña "difícil" que contenga más de diez caracteres con letras, números y caracteres especiales.

"Podemos recordar una frase de algún libro o refrán, y poner las primeras letras de cada palabra, además de incluir también algún número y carácter adicionalmente para llegar a tener una contraseña de más de diez posiciones sin que tenga ningún sentido leído". ¿Un ejemplo? "'EuldlMdcN3+' podría ser para la frase 'En un lugar de la Mancha de cuyo Nombre' y poner 3+ al final. ¡Ahora no usemos todos esta contraseña para todo!", advierte.