México es uno de los países con mayor incidencia de ciberataques, por lo que contar con una buena cultura de contraseñas es más importante que nunca.
Los ciberatacantes se valen de ataques de fuerza bruta o de diccionario para robar las contraseñas de sus víctimas.
En el marco del Día mundial de la contraseña, un experto habla de las buenas prácticas de seguridad que debemos tener en cuanto a contraseñas.
Contar con contraseñas sólidas para nuestras diversas cuentas en línea —desde correos electrónicos, hasta redes sociales y servicios bancarios— es clave para todo plan de ciberseguridad. Esto es particularmente importante en México si se toma en cuenta que es uno de los países con mayor incidencia de ciberataques.
«Nosotros detectamos que México es el blanco principal de los ciberataques en América Latina», dice Arturo Torres, estratega de Fortiguard Labs para América Latina y el Caribe. «En 2021, México representó más del 65% de ataques en toda la región; aproximadamente 156,000 millones de intentos de ciberataques. De estos, muchos están enfocados a poder romper contraseñas, los llamados ataques de fuerza bruta», agrega.
Los ataques de fuerza bruta consisten en probar todas las combinaciones posibles de una contraseña hasta encontrar aquella que permite el acceso.
«El atacante simplemente va probando todos los caracteres posibles hasta que le llegue a atinar y aquí entra el concepto de que cuando alguien quiere hacerte daño, lo único que necesita es motivación y tiempo. Se puede tardar un día, seis meses, tres años, pero en el momento en que consiga la contraseña y pueda entrar al sistema se pueden desencadenar miles de cosas»
Pese a esto, la realidad es que en cuanto a una buena cultura de generación de contraseñas se refiere aún queda mucho por hacer en México.
De acuerdo con un estudio publicado por NordPass, la contraseña más usada en México (y el mundo) es 123456; pues más de 103 millones de cuentas la utilizan. Variaciones de este patrón —como 12345 o 12345689— también se encuentran dentro del top 5 de contraseñas más comunes.
Otras palabras como «Hola», «México», «Alejandro», «Carlos» y «Qwerty» se enlistan entre las 15 contraseñas más usadas por los mexicanos. Los nombres de equipos populares de futbol —como América, Chivas y Cruz Azul— también están entre las favoritas de los mexicanos. Todas estas pueden romperse en segundos o, a lo más, minutos.
Los ciberdelincuentes se valen cada vez más de métodos prácticos para robar contraseñas
Además de los ataques de fuerza bruta, los ciberdelincuentes ya emplean otros métodos más avanzados para hacerse con las contraseñas de sus víctimas.
«Hay ataques más avanzados que le ahorran tiempo a los atacantes, como los ataques de diccionario. El atacante puede descargar en internet —sin siquiera entrar a la Deep Web— una lista de las contraseñas más comunes y lo único que tiene que hacer probarlas una por una porque es más probable que uno las tenga», agrega Torres.
A su vez, comenta que estos listados también se ofrecen de acuerdo a las necesidades de los ciberdelincuentes.
«Hay muchos memes que dicen ‘para engañar al atacante ruso o que hable inglés pues nada más le pongo una ‘ñ’ a mi contraseña’, pero lo que se revisa también es dónde está geolocalizado una página o servicio y así utilizar listas específicas del país», agrega.
Sobre los principales sitios que sufren ataques de robo de contraseñas en nuestro país, Torres mencionó lo siguiente: «En México nosotros vemos ataques a muchas plataformas públicas; y hablamos en este caso de páginas de universidades, del sector financiero y, por supuesto, en redes sociales», explica.
«La tendencia es que son ataques automatizados, por eso es que todavía es más peligroso. El atacante no tiene que estar viendo a estas páginas; con el hecho de que esté pública en internet hará un escaneo masivo y empezará a probar y probar. Si no se cambia la contraseña en seis meses, seguramente tendrán algún problema», enfatiza.
Cómo crear contraseñas fuertes y tener buenas prácticas de seguridad
Para crear una buena contraseña, Torres dice que, como básico, esta debe tener al menos 10 caracteres que deben estar constituidos por mayúsculas, minúsculas, números y caracteres especiales, mismo que pueden ser hasta un punto (.) o un signo de más (+).
«Si sumamos todo esto, vamos a hacer que el atacante tarde más en romper nuestra contraseña», dice.
Torres agrega que no basta con tener una contraseña fuerte, sino que también el hábito de cambiarla constantemente es clave. Lo ideal, según el experto, es cambiarla una vez al mes; podría ser 90 días si se tiene un extra como un doble factor de autenticación.
Torres asegura que contar con un doble factor de autenticación nos protegerá lo más posible de ciberdelincuentes.
«Puede ser un mensaje a tu celular o inclusive tu voz. Y esto dificulta aún más al ciberatacante romper tu contraseña, ya que aunque la tenga le falta ese otro factor», dice.
«Es como proteger una casa. Si yo le pongo bardas, barandales, tengo cámaras, luces, perros, etc., el atacante no va a querer entrar y preferirá ir a una menos protegida», agrega.
Otro punto ligado a las buenas prácticas es no duplicar las contraseñas entre servicios. «Si yo abrí una cuenta en Dropbox y llegan a filtrar las contraseñas de este servicio, si yo uso esa misma en mi correo, redes sociales o cuenta de banco, pues básicamente un atacante puede tener acceso a todo», dice Torres.
Por supuesto, no es exactamente fácil generar una contraseña nueva de 10 caracteres cada mes; sin embargo, Torres dice que ya existen diferentes softwares para ayudarnos a generarlas, como una bóveda de contraseñas.
«Puedes utilizar softwares como los de iCloud o Microsoft o servicios de paga como LastPass o KeePass que te generan una contraseña de acuerdo con características específicas y también pide factores de autenticación. El mismo software también te recuerda que ya pasó un mes y te la puede actualizar.»