La forma en la que la creamos nuestra contraseña determinará su eficacia frente a los ataques de los ciberdelincuentes, normalmente las contraseñas se suelen vulnerar por fuerza bruta o por diccionario. También daremos algunos consejos de cómo debemos crear una contraseña para que sea lo más robusta posible.

Cómo crear una buena contraseña para que sea segura

Nuestra primera línea de defensa contra los ciberdelincuentes es tener una contraseña segura para proteger correctamente nuestras identidades digitales. En RedesZone hemos realizado un completo tutorial donde se explica cómo crear una contraseña segura. Sin duda alguna, nuestras de cuentas de Google, Microsoft, de correo electrónico y de servicios en la nube como Dropbox, deben estar convenientemente protegidos, y no solamente por claves robustas, sino por la autenticación en dos factores.

 

 

 

 

 

En el caso de que queramos construir una buena contraseña, esta debe contener:

1. Letras mayúsculas.
2. Letras minúsculas.
3. Números.
4. Símbolos como por ejemplo @, %, /, ) etc.
5. La longitud recomendada mínima estaría establecida en 12 caracteres.

Un aspecto muy importante que debemos tener en cuenta es que tenemos que acostumbrarnos a cambiar nuestras contraseñas periódicamente. Además, si en un momento dado sospechas que te han robado la contraseña, o has tenido que utilizarla en un ordenador público, sin duda se trata de un buen momento para poner una nueva cuanto antes. A veces aparecen filtraciones en Internet y eso hace que las claves de acceso de algún servicio, como puede ser una red social o cuenta de correo, se vean comprometidas. Por tanto, renovar las contraseñas de vez en cuando va a hacer que siempre tengas tus cuentas protegidas y no tengas ningún problema.

Otro factor muy importante es que no debemos utilizar la misma password para todo. Esto es debido a que en caso que cayese en malas manos, no sólo caería esa cuenta, también estarían en peligro el resto de identidades digitales o cuentas, ya que solemos usar el mismo email para todos los servicios. A la hora de crear una nueva contraseña tenemos que evitar usar nuestra fecha de nacimiento, y la de otros acontecimientos públicos fáciles de averiguar respecto a nuestra persona.

En resumen, desde RedesZone aconsejamos utilizar como mínimo una contraseña de 12 caracteres que incluyan letras mayúsculas y minúsculas junto con símbolos, y que no esté relacionada con nuestra vida. Para que te hagas una idea, una clave buena sería del tipo: 4dO/&-28enW=s?q. Como ves, es totalmente aleatoria y tiene de todo un poco. Para generar este tipo de claves puedes hacer uso de un gestor de contraseñas, como por ejemplo LastPass. Te permite configurarlo para poner unas condiciones y de esta forma crear una lo más segura posible.

Qué tiempo se necesita para crackear una contraseña

En buena medida, el tiempo que se tarda en averiguar tu contraseña dependerá de cómo la hayamos construido. Una buena política de seguridad y el diseño de una contraseña pueden aportarnos un extra en este apartado. Como ya explicamos anteriormente, una password (contraseña) con mayúsculas, minúsculas y símbolos puede reforzar enormemente la seguridad de la misma. Además, junto a esto, otro factor clave es la longitud de nuestra clave, cuanto más larga mejor.

La empresa de ciberseguridad Hive Systems nos muestra una tabla muy completa del tiempo que se necesita para crackear una contraseña. En esta tabla podemos ver que tenemos mucha información sobre cómo afecta la longitud de la clave y también la complejidad de la misma.

 

 

 

 

 

En cada fila se muestra el número de caracteres que tienen esas contraseñas. Por otro lado, las columnas muestran de qué tipo de caracteres se nutre esa contraseña para ser construida. Además, mediante el uso de una serie de colores nos indica lo frágiles que son esas passwords. En ese sentido las clasifica utilizando los siguientes colores:

• • Morado: para aquellas contraseñas que se pueden obtener de forma instantánea.
  • Rojo: para las password que se descifran en unos pocos segundos hasta unas cuantas horas sin sobrepasar un día.
  • Naranja oscuro: se necesitaría un tiempo desde los 3 días hasta los 5 años para poder crackearlas.
  • Naranja claro: para las que tardaríamos desde un año a mil años para que se averiguara nuestra contraseña.
  • Verde: sin duda son las más complejas y robustas, se tardarían en descifrar más de mil años.

A continuación, analizaremos lo robustas que son las contraseñas en función del número de caracteres. Por lo tanto, haremos la siguiente clasificación:

1. 6. Las contraseñas de entre 4 y 7 caracteres.
   7. Contraseñas de entre 8 y 11 caracteres.
   8. Las contraseñas de entre 12 y 18 caracteres.

Como ves, entre una contraseña y otra puede haber una diferencia importante en el tiempo para ser crackeadas. Va a ser muy importante que tenga una longitud adecuada, pero también lo es que tenga una mezcla de caracteres. Vamos a mostrar el tiempo que podrían dedicar en explotar una clave de acceso en función de la cantidad de caracteres que tiene.

Tiempo para crackear una clave de entre 4 y 7 caracteres

Las contraseñas que tienen entre 4 y 7 caracteres son las más débiles. Como podremos ver a continuación, no son muy recomendables de utilizar. Basándonos en la tabla de arriba de Hive Sytems, hemos reducido el contenido de la misma para que la podamos tomar como ejemplo. Así, quedaría de la siguiente forma:

 

 

 

 

 

Si nos fijamos detenidamente en esta tabla podemos sacar una conclusión rápida. En ese sentido, tenemos que señalar que la gran mayoría de estas claves se pueden crackear de manera casi instantánea. Incluso si nuestra contraseña está compuesta por números, letras mayúsculas, letras minúsculas y símbolos tampoco tendríamos una buena contraseña. Por consiguiente, un ciberdelincuente podría obtener tu password desde un segundo hasta 6 minutos en el peor de los casos.

El hecho de que sea tan fácil averiguar una contraseña corta hace que cada vez haya más servicios online que directamente no te dejen poner una clave así. Seguro que alguna vez has intentado registrarte en alguna red social, foro en Internet o cualquier cosa y has visto que te exigen un mínimo de 8 caracteres (o incluso más, en algunas ocasiones).

Por lo tanto, desde RedesZone desaconsejamos utilizar estas contraseñas tan cortas debido a su fragilidad. Cualquier atacante en un pequeño periodo de tiempo se puede hacer con nuestra cuenta fácilmente. Piensa en un candado numérico del 000 al 999. Si echas un rato no tardarías mucho en abrirlo. Ahora piensa en otro que tenga combinaciones del 000 al 99999. Lo mismo, pero en este caso un programa informático probando constantemente opciones.

El problema es que hoy en día siguen siendo las contraseñas más habituales. De hecho, cada año las más usadas son del tipo 123456, pese a que todos sabemos que son muy simples y pueden ser averiguadas muy fácilmente. Nunca utilices este tipo de claves, ya que básicamente es como si no tuvieras ninguna.

Las contraseñas de entre 8 y 11 caracteres mejoran, pero no lo suficiente

Ahora es el turno de las contraseñas de entre y 11 caracteres. Al igual que en el caso anterior, para ilustrar mejor los ejemplos he creado una tabla reducida basándome en la principal. De este modo, podemos ver los siguientes resultados en la tabla:

 

 

 

 

 

Aquí lo primero que apreciamos es que forma instantánea sólo podrían averiguar nuestra contraseña si sólo usáramos números. Si sólo usamos letras minúsculas tardaríamos desde unos pocos segundos hasta un día. Con el uso de letras minúsculas y mayúsculas pasaremos desde los 22 minutos hasta los 5 años según el número de caracteres de nuestra password. Además, si luego añadimos números todavía aumentará más estableciéndose el tiempo mínimo en una hora hasta los 41 años para contraseñas con 11 caracteres.

Sin embargo, comparándolo con la categoría anterior, si utilizamos símbolos, vemos que cambia radicalmente la cosa. Para averiguar tu contraseña de 8 caracteres se tardaría 8 horas mientras que si es de 11 caracteres serán 400 años lo que se tarde. Ves que con apenas poner un símbolo más a esa clave vas a lograr que la seguridad aumente exponencialmente.

Por lo tanto, una password con 10 u 11 caracteres junto con letras mayúsculas y minúsculas, más símbolos es lo mínimo recomendable. Vas a lograr una protección aceptable, aunque como verás no va a ser lo más óptimo y siempre vas a poder mejorarla. No obstante, como punto de partida es algo que puede valer en muchas situaciones.

Este es el tiempo para crackear claves de entre 12 y 18 caracteres

En este momento llega el turno para saber el tiempo que necesita un cracker para averiguar tu contraseña de entre 12 y 18 caracteres. También, como con las otras dos categorías que hablamos antes, hemos creado una tabla basada en la de Hive Systems. Aquí tenéis los resultados que arroja:

 

 

 

 

 

Lo primero que hay que destacar es que, dentro de esta categoría, ya no se puede averiguar una contraseña de forma instantánea. Si bien, hay que destacar que sólo con números podríamos tardar desde 25 segundos hasta 9 meses. También con 12 caracteres y letras minúsculas un cracker podría tardar 3 semanas en averiguar tu contraseña. Para que se pueda apreciar el cambio, si añadimos otro carácter y pasamos a 13, ya se tardaría un año en averiguar esa misma contraseña.

Por otro lado, si simplemente utilizamos sólo letras mayúsculas y minúsculas, con 12 caracteres, un ciberdelincuente necesitaría 300 años para obtener nuestra password. En ese sentido podemos decir que el uso de contraseñas a partir de 12 caracteres mejora notablemente la seguridad. Y si encima, para crear una password, añadimos mayúsculas, minúsculas y símbolos la mejora es aún más espectacular. Entonces el cracker para averiguar tu contraseña necesitaría 34.000 años.

Para finalizar, como os recomendamos al principio, una buena contraseña de 12 caracteres con letras mayúsculas, minúsculas y símbolos es un buen punto de partida para proteger correctamente tus identidades digitales. No obstante, es interesante que las contraseñas las cambies de forma periódica. Así lograrás siempre tener claves de acceso fuertes, que puedan proteger realmente tus sistemas y dispositivos.

Métodos para robar las claves

Hemos explicado el tiempo que tardan en robar tus contraseñas a través del método de fuerza bruta. Sin embargo hay otras estrategias que pueden usar los piratas informáticos y que conviene tener presente para evitar en todo momento que puedan saber cuál es nuestra clave y poder entrar en las cuentas.

Phishing

Uno de los métodos más comunes es lo que se conoce como ataque Phishing. Básicamente se trata de un cebo que envía el atacante por SMS o correo electrónico, generalmente, con el objetivo de que caigamos en la trampa. Por ejemplo, puede decir que abramos un enlace para solucionar un problema en el servicio que usamos o que descarguemos algo.

El problema es que realmente estamos enviando los datos a un servidor controlado por los atacantes. Se trata de un link falso que lleva a una página web que es una copia de la original. Este método es un clásico para el robo de claves de todo tipo, como pueden ser redes sociales, cuentas bancarias o cualquier otra.

Keylogger

También pueden utilizar un tipo de malware que se conoce como keylogger. Lo que hace es registrar todas las pulsaciones de teclas que hacemos en el ordenador o móvil. De esta forma pueden registrar también todas las contraseñas que ponemos y de esta forma robarla junto al nombre de usuario y otra información que pongamos.

Normalmente este tipo de software malicioso llega a través de un archivo adjunto que envían por correo, en la descarga de una página web fraudulenta o cualquier aplicación que instalamos y resulta ser una amenaza. Los ciberdelincuentes tienen múltiples opciones en este sentido para robar las claves con un keylogger.

Vulnerabilidad en el servicio

Además, está el riesgo de que haya alguna vulnerabilidad en algún servicio que utilicemos. Por ejemplo una red social como puede ser Facebook o Twitter, en algún momento podría haber un problema de seguridad que permita a los atacantes explotarlo y llegar a las credenciales y contraseñas almacenadas.

Esto no va a depender del usuario, sino del servicio. No es algo habitual, por suerte, pero hemos visto muchos ataques a gran escala en los que se ha filtrado información importante y esto incluye también las contraseñas. Por eso siempre que haya alguna filtración de este tipo conviene cambiar la clave lo antes posible. Es buena idea cambiarlas de forma preventiva de vez en cuando y así aumentar la seguridad.

Conclusiones

Como has podido ver, una contraseña puede ser explotada si no sigues unas recomendaciones mínimas. El hecho de contar con una clave débil, que no tenga muchos caracteres, va a hacer que un pirata informático pueda usar ataques de fuerza bruta y llegar a averiguar cuál es esa clave y entrar.

Nuestro consejo es utilizar contraseñas que no tengan menos de 12 caracteres. Pero no basta solo con poner 12 letras o 12 números, sino que lo ideal es una mezcla de todo. Es importante que haya letras mayúsculas, también números y contar con una serie de símbolos especiales para que hagan que esa clave de acceso sea lo más compleja posible. Solo así estarás protegido y evitarás problemas de seguridad. Lo ideal es que utilices claves del tipo 4Dh-(L$»9aT=2. Como ves, tiene una buena longitud y además mezclamos de todo un poco para hacer que sea lo más robusta posible. Cada símbolo adicional va a hacer que exponencialmente sea más segura.