Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Día Mundial de las Contraseñas, ¿aún utilizas 123456?

Fecha de publicación 02/05/2019
Autor
INCIBE (INCIBE)
Día Mundial de las Contraseñas, ¿aún utilizas 123456?

Hoy día 2, como  primer jueves de mayo, se celebra el Día Mundial de las Contraseñas. Aprovechando esta efeméride recordamos la necesidad de contar con políticas para la gestión de contraseñas en el ámbito empresarial.

El tratamiento diario de la información en el seno de cualquier empresa requiere el acceso a servicios, ubicaciones en la red, dispositivos remotos o incluso a servicios cloud. Para llevar a cabo este acceso es necesario poseer unas credenciales de autenticación basadas en un nombre de usuario y una contraseña. Contar con procedimientos a la hora de generar, actualizar o revocar estas credenciales garantizará un acceso más seguro a estos servicios. 

La contraseña es la primera barrera de defensa, ya que impide que alguien no autorizado pueda acceder a un servicio. Por ello, es esencial contar con una buena gestión de contraseñas para preservar la seguridad e integridad de la información de una empresa. Esta gestión de contraseñas puede forzar, entre otras cuestiones, utilizar el doble factor en determinados servicios, crear contraseñas robustas y difíciles de adivinar, no utilizar contraseñas por defecto, cambiarlas con frecuencia y no reutilizarlas. Esta última es una buena práctica que consiste en no usar la misma contraseña en los distintos servicios. Utilizando contraseñas diferentes se evitará que los ciberdelincuentes, si consiguen una de ellas, cuenten con una «llave maestra» de acceso a todos los servicios corporativos. 

¿Cómo consigo una contraseña robusta?

Una forma de medir la seguridad de nuestra contraseña es calcular cuánto tiempo tardaría un ciberdelincuente en adivinarla. Cuanto mayor sea la longitud de la contraseña, mucho más segura será. Por lo tanto, hacer uso de una palabra larga o incluso una frase, aumentaría la complejidad del descifrado:

Vamos tomar como ejemplo una palabra de más de 8 caracteres, como por ejemplo «murcielago».

Al tratarse de una palabra plana, en menos de 5 minutos y con un ordenador convencional, haciendo uso de una de las múltiples herramientas que hay por el mercado, la contraseña podría ser descifrada. Por tanto, necesitamos añadir más dificultad al descifrado, y para conseguirlo es muy recomendable:

En el caso de nuestro ejemplo, probamos a poner en mayúsculas las consonantes: «MuRCieLaGo».

A pesar de este cambio, en tan solo un par de días, nuestra contraseña estaría en manos de ciberdelincuentes. Necesitamos aumentar más la seguridad. Vamos a probar la robustez añadiendo otro tipo de caracteres:

Con esta combinación, el tiempo de descifrado sería de varios años, pero aun así, no hemos conseguido que la contraseña sea lo más robusta posible, podemos añadir complejidad inventando palabras. En cualquier caso,  tendremos que:

Conjugando estas acciones se conseguirá una dupla (usuario-contraseña) imposible de descifrar a un ciberdelincuente. 

Las contraseñas, fáciles de recordar

Siguiendo las indicaciones anteriores, una contraseña debe ser robusta y cambiarse cada cierto tiempo, pero, si no utilizamos un gestor de contraseñas, deberá contar con elementos que la hagan fácil de recordar. 

Para ello, podemos hacer uso de reglas mnemotécnicas. Continuando con el ejemplo anterior, a la palabra larga seleccionada, hemos añadido mayúsculas, números y caracteres especiales. A este resultado podríamos añadirle el servicio para el que estamos creando la contraseña: «1MuRCieLaGo!CoRReo»

Esta contraseña ya cuenta con todos los elementos que la harían robusta, la cual sería muy difícil de descifrar, y además, puede servirnos para generar otras ya que:

  • a la hora de cambiar la contraseña, se puede aumentar secuencialmente la numeración, que lo haría más fácil de recordar;
  • con cambiar el servicio tendríamos contraseñas diferentes, una para cada servicio (1MuRCieLaGo!CLouD, 1MuRCieLaGo!SeRViDoR, 1MuRCieLaGo!NoMiNaS, etc.).

Este uso de reglas mnemotécnicas puede hacerse todo lo complejo que uno quiera. Si en lugar de utilizar una palabra larga hemos decidido utilizar una frase, podríamos hacer uso de las recomendaciones anteriores para concretar una contraseña robusta que identifique el servicio y que pueda modificarse secuencialmente con un número. 

  • Seleccionamos una frase: «en un lugar de la mancha».
  • Hacemos uso de mayúsculas: «En un lugar de la Mancha».
  • Incluimos el servicio: «En un lugar de la Mancha Correo».
  • Añadimos números: «En un lugar de la Mancha Correo de 2019».
  • Añadimos caracteres especiales: «En un lugar de la Mancha Correo de 2019!».
  • Podemos comprimirla para hacerla más fácil de recordar, utilizando por ejemplo la primera letra de cada palabra, de tal forma que quedara: «EuldlMCd2019!». 
     

Imagen que muestra un tiempo estimado de descifrado en función de la contraseña introducida. murcielago 4 minutos, MuRCieLaGo 2 días, 1MuRCieLaGo! 4 años y EuldlMCd2019! 2 siglos.

Conjugar estas reglas de seguridad para la creación y modificación de contraseñas, junto con el establecimiento de una política de gestión de las mismas y la certeza de que ésta sea conocida por toda la organización, será de especial importancia a la hora de asegurar unas credenciales de autenticación de acceso a los servicios corporativos, y con ello aumentar considerablemente la integridad de la información que se gestiona en una empresa.

Celebra con nosotros el Día Mundial de las Contraseñas implementando una política de contraseñas y protegiendo la información de tu empresa.