Si en tu puesto de trabajo utilizas un ordenador, seguramente estás acostumbrado a recibir un aviso del administrador de TI, diciendo que tu contraseña actual ha caducado y debes cambiarla de inmediato. En la mayoría de empresas, esto sucede cada 60 o 90 días.
En general, las políticas de seguridad empresarial requieren que los usuarios creen contraseñas largas e incluyan una combinación de letras, números, caracteres especiales, y no repitan las anteriores.
Y esto, está muy bien.
El problema es que cuando nos vemos obligados cada cierto tiempo a crear contraseñas largas y complejas (aparte del fastidio que esto supone) resulta difícil inventarlas, y recordarlas.
Como resultado, las anotamos en un papel, o las almacenamos en sitios donde pueden ser vistas o robadas.
Casi todos los navegadores web ofrecen guardar las contraseñas ¡No lo hagas! Estos programas son grandes objetivos para los distribuidores de malware.
Por otro lado, cuando nos obligan a hacer esto con tanta frecuencia, tendemos a ajustarnos a un patrón, y los villanos lo saben.
Pero la realidad es que obligar a las personas a tener que cambiar sus contraseñas con regularidad, o implementar políticas rígidas sobre la longitud y la complejidad de las mismas, simplemente no funciona.
Esto se debe a que la mayoría de los ataques perpetrados para robar contraseñas, tienen más que ver con la ingeniería social, como los intentos de phishing, y muy poco con la antigüedad o complejidad de las mismas.
Ni la contraseña más enrevesada y complicada del mundo sirve de nada, si somos engañados y se la facilitamos al villano en bandeja.
Entonces, ¿Cuándo debo cambiar mis contraseñas?
Seguramente, nosotros no vamos a convencer al departamento de TI que nos ha tocado en suerte, pero en nuestro ámbito de usuarios domésticos, no tenemos por qué ir cambiando cada dos por tres nuestras credenciales de acceso a las diferentes cuentas en línea.
Después de una brecha de seguridad
Si tus contraseñas son complejas, únicas para cada cuenta, y utilizas la autenticación en dos o más factores, solo deberías cambiarlas, si la empresa con la que tienes una cuenta declara que ha sufrido una violación de datos.
Si tu información se ha visto comprometida, normalmente te avisarán mediante un comunicado.
Pero como siempre es mejor prevenir.
Para comprobar si algunos de los sitios en los que estás registrado ha sido víctima de una violación de datos, solo tienes que entrar en have i been pwned?
Tiene un promedio de unos ciento sesenta mil visitantes diarios, y contiene registros (que se van actualizando continuamente) de unos cuantos millones de cuentas comprometidas.
Si tienes una cuenta de Google, también puedes comprobar el nivel de seguridad de tus contraseñas, o descubrir si se han vulnerado.
Si sospechas de un acceso no autorizado
Si sospechas que alguien está intentando (o ha intentado) acceder a una o más de tus cuentas, cambia tus contraseñas inmediatamente.
Una de las formas de saberlo es si recibes peticiones constantes de la aplicación de autenticación: esto significa que el villano conoce tu contraseña y está esperando que en un momento de ofuscación o despiste apruebes el acceso.
En este sentido, si utilizas la autenticación de dos o más factores les será imposible acceder (a no ser que tú quieras), pero siempre es mejor tomar medidas de precaución, que esperar hasta que el daño esté hecho.
También puedes recibir un SMS advirtiéndote de que se ha producido un inicio de sesión (o un intento) desde una dirección IP distinta de la habitual, mediante un dispositivo desconocido.
Si has sido víctima de un ataque de phishing
Si has facilitado «voluntariamente» tus credenciales de acceso a un estafador, es posible que cambiar tu contraseña no mitigue todo el daño.
Aun así, puedes evitar que accedan a otras de tus cuentas, si has tenido la mala idea de utilizar la misma contraseña para todas ellas.
En estos casos, tienes que asumir que cuando una única cuenta es pirateada, todo el resto de ellas son potencialmente vulnerables.
Conclusión
Sin duda, la autenticación mediante usuario y contraseña es un método inseguro y obsoleto que afortunadamente tiende a desaparecer.
Pero mientras continúe siendo la única barrera entre nuestra información privada y los ciberdelincuentes, la mejor forma de proteger nuestras cuentas de accesos no autorizados es utilizar un sistema de gestión de contraseñas, junto con la autenticación multifactor.
Un buen gestor de contraseñas creará contraseñas complejas y distintas para todas nuestras cuentas.
La mayoría de ellos (gratuitos y de pago) las almacenan de forma cifrada (en la nube o de forma local) e incluso pueden rellenar por nosotros los distintos formularios.
Una vez introducido el nombre de usuario y la típica contraseña, la aplicación de autenticación solicitará un segundo parámetro antes de poder iniciar sesión.
Aunque el delincuente conozca la contraseña, si no tiene acceso a la clave generada por el autenticador, se va a quedar con dos palmos de narices.
Por lo tanto, si tus contraseñas son lo suficientemente largas y complejas, y no se han visto implicadas en una fuga de datos, no tiene sentido que las cambies constantemente.
Si utilizas contraseñas diferentes para cada servicio en el que te registras, puedes estar bastante tranquilo.
Mediante el uso de la autenticación multifactor puedes continuar haciéndolas servir durante mucho tiempo sin problemas.
Y olvídate de los correos electrónicos, SMS, o cualquier otro medio de comunicación electrónico, que solicite que te identifiques en una cuenta con cualquier pretexto.
Si te llega algo de esto, acude directamente a la fuente: es decir, al servicio implicado (banco, red social, hacienda, o lo que sea).
¿Ha surgido alguna incidencia? ¿Me habéis mandado un mensaje?
