Las contraseñas protegen todo, desde lo mundano (nuestras cuentas de Gmail, Spotify, YouTube y Twitch…) hasta lo más importante (nuestras cuentas del banco, PayPal o Amazon). Son las llaves de los candados digitales de nuestra propiedad online y, como tales, juegan un papel importante en la protección de nuestra vida personal que en muchas ocasiones no le damos la importancia suficiente.
Por eso es vital no tener una contraseña que cualquiera pueda adivinar ni tampoco tener la misma en todos los sitios. Pero, ¿Cómo es una buena contraseña? ¿Qué formas existen de que puedan adivinar tu contraseña un cibercriminal?
Ataques de fuerza bruta
En seguridad digital, aplicar el método de prueba y error con la esperanza de dar con la contraseña correcta se denomina ataque de fuerza bruta. Este tipo de tarea sería tediosa, repetitiva, propensa a errores y requeriría mucho tiempo para un ser humano. Para un ordenador, la mayoría de estos problemas se vuelven triviales.
Según informa NordPass Los programas utilizados en los ataques con fuerza bruta pueden probar entre 10000 y mil millones de contraseñas por segundo, solo depende de si el ordenador empleado es más o menos actual. Adivinar un PIN de cuatro dígitos (10,000 PIN posibles) requeriría un segundo en el peor de los casos.
Cuando se trata de contraseñas alfanuméricas compuestas únicamente por letras minúsculas y números (36 caracteres posibles), una contraseña de seis caracteres (36⁶ combinaciones de caracteres posibles) podría resolverse en 217.679 segundos (2,5 días) en el caso del que el programa que se ejecuta sea un Pentium, o en unos 2 segundos en el caso de que se utilice un dispositivo más potente. Estos números son el tiempo máximo que llevaría forzar las contraseñas.
Sin embargo, una contraseña compleja como @Tecn0c1on es más difícil de adivinar. Tiene más de nueve caracteres, mayúsculas, minúsculas, números y símbolos, por lo que hay 94 caracteres posibles disponibles, lo que da 94⁸ (más de seis mil billones) de combinaciones de contraseñas. Este nivel de complejidad es suficiente y se necesitaría unos 70 días para poder adivinarla en caso de que el programa utilizado se haga desde un ordenador muy potente.
Ataques de diccionario
Los ataques de diccionario son un tipo de ataque de fuerza bruta en el que el atacante utiliza un diccionario de palabras comunes o una lista de contraseñas comunes previamente compiladas para intentar iniciar sesión en una cuenta o acceder a un sistema protegido. Los ataques de diccionario son más efectivos cuando se utilizan contraseñas débiles o comunes, ya que estas son más fáciles de adivinar.
Ataque con fuerza bruta híbrido
Como el nombre indica, este ataque consiste en utilizar un ataque con diccionario con un ataque con fuerza bruta para obtener resultados más buenos. Los ciberdelincuentes suelen recurrir a él cuando ya saben el nombre de usuario.
La esencia de este ataque es que está diseñado para ir probando contraseñas poco comunes, que en la mayoría de casos, los atacantes empiezan con una lista de palabras antes de alternar caracteres y añadir símbolos especiales o números para aumentar las variaciones y las probabilidades de acertar.
Ataque con fuerza bruta inverso
En un ataque con fuerza bruta inverso se necesita que el atacante sepa la contraseña con antelación para descubrir el nombre de usuario.
Para ello, el atacante consigue la contraseña de alguna base de datos filtrada, y la emplea para dar con el nombre de usuario asociado a la misma.
Relleno de credenciales
Relleno de credenciales es el tipo de ataque que utilizan cuando ya saben los nombres de usuarios y contraseñas de antemano. Los ciberdelincuentes pueden obtener bases de datos completas de credenciales de inicio de sesión y emplearlas en las cuentas a las que intentan acceder. Si el atacado utiliza la misma contraseña para varios sitios, ya puede despedirse de su vida digital.
Consejos para generar contraseñas seguras y únicas
En cuanto a la creación de una contraseña que sea resistente a ataques, centrarse más en la longitud sobre la complejidad. Lo ideal es una contraseña de 10/12 caracteres combinando letras, símbolos y números y cuanto más extensa y variada, mejor, con palabras sin mucho sentido entre sí y evitando secuencias como 12345, 1234567890, números de teléfono o apodos, ya que este tipo de información se puede encontrar navegando por las redes sociales.
Además, es recomendable ir cambiándolas cada cierto tiempo y toda completamente, no solo unos símbolos, sobre todo las de sitios más importantes para ti, como puede ser la web de tu banco, la de tu compañía de servicios, la de tus redes sociales…
Además de las contraseñas tradicionales, es recomendable que habilites la verificación en dos pasos en todas tus cuentas importantes.
La verificación en dos pasos (también conocida como autenticación de dos factores) es un proceso de autenticación adicional para confirmar la identidad de un usuario. Además de ingresar un nombre de usuario y contraseña, se debe proporcionar un segundo factor de autenticación para poder acceder a una cuenta. El segundo factor puede ser un código generado por una aplicación, una llamadatelefónica, un mensaje de texto, o un dispositivo de seguridad físico como una llave criptográfica.
La verificación en dos pasos es considerada más segura que la autenticación de un solo paso, ya que requiere información adicional para acceder a una cuenta, lo que dificulta a los atacantes obtener acceso no autorizado si te hackean, u obtienen de alguna forma tu contraseña, con este método estarás protegido.