https://mail.google.com/mail/u/0/?ui=2&ik=3ab76eea9c&view=att&th=1648a6d4d6c2fa40&attid=0.1&disp=safe&zw

Contraseñas: fortalecer la puerta de entrada a nuestra identidad digital

Mucho se ha escrito durante los últimos años sobre la seguridad de las contraseñas, los usuarios han tomado diferentes recomendaciones luego de notar que el mero reemplazo de letras por números ya no complica a los hackers en su tarea de cometer ataques de fuerza bruta. En este contexto, el departamento de investigaciones de F5 publicó un informe respecto de las buenas prácticas para mantener seguras las contraseñas de usuarios y organizaciones.

 

Las contraseñas son un tema que debe tomarse con seriedad ya que su robo nos deja expuestos; sin embargo, aún queda mucho por aprender. Como expresó Bernabé Crena, consultor de soluciones de F5, “un 60% de las personas reciclan sus claves”, en un mundo en el que ya en 2020 se estimaba que el robo de credenciales ascendía a 3 billones.

 

En este sentido, Roberto Ricossa, VP de F5 para Latinoamérica, explicó que “todos hemos comprado en algún establecimiento que ha sido hackeado, alguna vez. Es por esto que nuestra información, ya está en mano de los delincuentes, pero sucede que aún no saben dónde aplicarla. Tienen cientos de millones de credenciales y de passwords pero todavía no saben cómo juntarlos”.

 

Actualmente, organismos gubernamentales como el estadounidense National Institute of Standars & Technology (NIST) y el británico National Cyber Security Center (NCSC) recomiendan no imponer la política de actualización frecuente de passwords sino utilizar en su lugar “passphrases”. Los passphrases son frases que pueden tener hasta 100 caracteres e incluyen mayúsculas y caracteres especiales, más fáciles de recordar (lo que desalienta la reutilización de contraseñas o guardarlas escritas en algún archivo o nota) y, técnicamente, más difíciles de hackear bajo el supuesto de que si un ciberdelincuente descifra un caracter por vez, los passphrases convertirían esa tarea en una misión mucho más compleja. Utilizando algunas pocas palabras de uso cotidiano podemos obtener una contraseña más extensa que las habituales de 8 a 9 caracteres. Sin embargo, ¿son todos los passphrases indescifrables?

 

Las empresas y organizaciones mantienen las contraseñas seguras almacenándolas como un ‘hash'. Un hash convierte datos de cualquier longitud en una cadena de longitud fija. Los haches son teóricamente imposibles de revertir, por lo que si un atacante roba una contraseña hash, para  encontrar la contraseña correcta, debe verificar palabra tras palabra hasta que encuentre una que muestre el mismo valor hash que el que ha robado. Si bien esto suena tedioso, no perdamos de vista que las herramientas de descifrado de contraseñas, como Hashcat, son capaces de calcular miles de millones de hashes por segundo en un solo equipo.

 

Las matemáticas indican que las frases de contraseñas de por sí no ofrecen la complejidad deseada tan fácilmente. No hay que atender solamente una cuestión de longitud de la palabra clave sino también de aleatoriedad que permita dificultar realmente su descifrado.

 

F5 detalla pautas generales y buenas prácticas para fortalecer y elegir una contraseña segura:

 

   Elección de la contraseña. Es un trabajo para dejar en manos de los administradores de contraseñas ya que aseguran una clave realmente aleatoria.

   Reutilización de contraseñas. Es un completo error. Usar la misma clave en distintos sitios compromete nuestra seguridad general en línea. Con que un solo sitio experimente una violación de datos, el resto de nuestras credenciales quedan expuestas. Cada plataforma debe contar con una contraseña diferente y los administradores de contraseñas son la única forma realista de recordarlas todas.

   Contraseñas largas y aleatorias. Las credenciales deben contener más de 16 caracteres elegidos completamente al azar o 4 o 5 palabras que los sustituyan.

   Nunca es demasiado: autenticación multifactor. Un segundo factor de autenticación, como un código basado en el tiempo en una aplicación de teléfono móvil, puede impedir que los atacantes obtengan acceso a su cuenta incluso si obtienen la contraseña.

 

Crena destaca que los sistemas suelen ser muy seguros, pero somos los usuarios quienes -a partir de ciertas conductas habituales- los volvemos vulnerables: “casi 30 millones de personas en el mundo utilizan contraseñas muy sencillas como 123456. Si bien evitar absolutamente los hackeos no es posible, se trata de disminuir la superficie de ataque haciendo todo lo posible para no quedar completamente expuestos ante la primera vulneración”.