(Por Adam Winston, Field CTO, WatchGuard Technologies) Las contraseñas son la forma más común de autenticación, el clásico «algo que sabes». Siguen siendo el método más utilizado para proteger cuentas en todo el mundo. Las investigaciones muestran que aproximadamente la mitad de las aplicaciones aún dependen únicamente de contraseñas, y solo un 12 % de las personas usa una contraseña única para cada aplicación. El problema es que, en promedio, los humanos solo podemos recordar entre cinco y siete contraseñas, pero la mayoría manejamos entre setenta y cien cuentas en línea. Esta discrepancia lleva a hábitos arriesgados, como reutilizar contraseñas o guardarlas en una aplicación de notas (no en ti, por supuesto).
Este artículo no trata de promover la autenticación sin contraseña, ya que muchas cuentas no están preparadas para ello. Se centra en las cadenas de texto desordenadas que aún utilizamos para proteger nuestra vida digital. Analizaremos por qué las contraseñas siguen siendo importantes, qué hace que algunas sean seguras y otras débiles, y qué les depara el futuro. Al final, tendrás las herramientas para elegir una contraseña más inteligente, segura y quizás incluso casi indescifrable.
Por qué las contraseñas son más importantes que nunca
En la economía actual, los datos son dinero, y para los atacantes, tu contraseña podría valer solo unos pocos dólares en la dark web. Si logran acceder a tu bandeja de entrada o sistema de archivos y robar información corporativa, podría valer cientos de miles. Ya sea tu información bancaria, de correo electrónico, de la seguridad social o de salud, una contraseña sigue siendo una de las formas más fáciles de acceder para los intrusos. Usar «password123» es como dejar tus cuentas abiertas. A medida que los ataques se vuelven más sofisticados, las contraseñas seguras son esenciales. Mucha gente sabe que «password123» es débil, pero puede que no entiendan realmente qué hace que una contraseña sea más segura que otra, y no siempre es lo que uno piensa. Por eso, para ayudarte, desglosamos algunas prioridades sencillas al elegir tu próxima contraseña.
Prioridad uno: la longitud es el factor más importante para unas contraseñas seguras
Alerta de spoiler: la seguridad de una contraseña no se trata de cuánto puede levantar. Su debilidad tampoco se trata de lo fácil que sea leerla para un humano. Los atacantes tienen muchas maneras de robar una contraseña. A veces te engañan para que la escribas en un sitio web falso, y en ese caso no importa cómo esté escrita, porque básicamente la has revelado.
La seguridad de una contraseña es fundamental cuando los atacantes roban grandes bases de datos de credenciales de usuario, a menudo de empresas con millones de cuentas, como LinkedIn o Facebook. Estas bases de datos no almacenan la contraseña directamente, sino una versión cifrada. Para que un atacante pueda averiguar la contraseña original, debe intentar adivinarla y ver qué resultado cifrado coincide.
Este proceso se denomina descifrado de contraseñas. Es similar a intentar adivinar la combinación de una caja fuerte. Cuanto más larga y compleja sea la combinación, más intentos se necesitarán. Los atacantes utilizan ordenadores potentes para ello, y cuanto más potente sea el ordenador, más rápido podrá adivinar.
Echa un vistazo a la tabla a continuación para ver cuánto tiempo tomaría utilizar tres enfoques diferentes: un clúster de GPU Nvidia simple, conjeturas en línea y una computadora cuántica teórica.
Tabla 1: Tiempo de descifrado de contraseñas según longitud y potencia de cómputo
No hace falta ser un experto en matemáticas para darse cuenta de que el factor más importante en la solidez de una contraseña no es lo complicada que parezca, sino su longitud. Claro que las contraseñas más largas pueden ser más molestas de escribir. Pero recuerda: si usaras una contraseña compuesta únicamente por la letra «a» escrita cuarenta veces, incluso un ordenador cuántico necesitaría cientos de miles de años para descifrarla.
Prioridad dos: Única y gestionada centralmente
Recordar docenas de contraseñas únicas y complejas es imposible, y no es eso lo que te pedimos. Un gestor de contraseñas puede ser una forma práctica de guardarlas, pero también crea un punto de acceso prioritario para los atacantes. Siempre se recomienda guardar tus contraseñas en una bóveda segura, pero el gestor que elijas también debería ayudarte a rotarlas y avisarte si el gestor o alguna de tus cuentas se han visto comprometidas. Al combinar esto con una contraseña compleja, la ventana de oportunidad para los atacantes se reduce considerablemente.
Prioridad 3: No mantener cuentas sin usar
Al igual que actualizarías la contraseña de una cuenta activa en tu administrador de contraseñas, también deberías eliminar las cuentas que ya no necesitas. Si no has iniciado sesión en esa cuenta de MySpace desde principios de los 2000, probablemente sea hora de cerrar esa vieja página. Puede que no creas que tu cuenta de Hotmail sea de mucho valor, pero si alguna vez la usaste como correo electrónico de respaldo para una cuenta bancaria que aún tienes, lo mejor es iniciar sesión en funnyguy16@hotmail.com y cerrarla antes de que alguien más se aproveche.
Prioridad 4: Monitorear cuentas (publicidad descarada de MDR)
Lo último que esperarías de tu banco es que nadie esté vigilando tu caja fuerte. Lo mismo debería ocurrir con tus cuentas en línea. Monitorear los intentos de inicio de sesión y los cambios en el sistema es tan importante como cerrar la puerta desde el principio. Los análisis de la dark web y las notificaciones de filtraciones suelen llegar semanas después de que tus datos ya hayan sido expuestos. La monitorización continua de tus cuentas, incluyendo la monitorización de crédito gratuita cuando esté disponible, añade una capa adicional de protección crucial.
Mirando hacia el futuro: cómo la IA cambia el juego de las contraseñas
Los atacantes ya no solo usan computadoras más rápidas. Están empezando a usar inteligencia artificial para adivinar contraseñas de forma más inteligente. En lugar de probar a ciegas todas las combinaciones, los modelos de IA pueden aprender de miles de millones de contraseñas filtradas y predecir los tipos de contraseñas que las personas suelen crear. Esto significa que las contraseñas basadas en nombres, fechas de nacimiento, equipos deportivos o letras de canciones pueden descifrarse mucho más rápido que antes.
La IA también dificulta la detección de ataques de phishing. Se pueden generar automáticamente páginas de inicio de sesión falsas o correos electrónicos fraudulentos, con gramática convincente, logotipos e incluso voces generadas por IA que simulan ser de alguien de confianza. En esas situaciones, ni siquiera la contraseña más segura sirve si la revelas accidentalmente.
En defensa, la IA puede ser un poderoso aliado. Los sistemas de seguridad ya la utilizan para detectar patrones de inicio de sesión inusuales, como un intento de inicio de sesión desde otro país a las tres de la mañana, y luego bloquearlo o impedirlo. La IA también puede ayudar a monitorear los archivos filtrados en la dark web para detectar si se ha filtrado tu contraseña y avisarte más rápido que los análisis tradicionales.
Así pues, la IA tiene un doble efecto: permite a los atacantes ser más rápidos e inteligentes, pero también proporciona mejores herramientas a los defensores. Esto hace que las contraseñas básicas, largas, únicas y bien gestionadas, además de la monitorización, sean más importantes que nunca, ahora y en el futuro.-
