¿Cuáles son las Claves más Difíciles de Hackear?; Una buena contraseña suele ser la primera y única línea de defensa para tus servicios web importantes. Elegir una contraseña fuerte y fácil de recordar puede ser un problema, ya que estos dos criterios no siempre van de la mano. Es tentador reutilizar una contraseña antigua, modificándola ligeramente, o incluso escribirla en un archivo de texto en el ordenador.

En esta guía, te mostraremos cómo elegir una buena contraseña, cómo recordarla y con qué facilidad se pueden piratear las malas contraseñas.

Las claves más difíciles de hackear por expertos son aquellas que siguen las mejores prácticas de seguridad y son difíciles de descifrar incluso con técnicas avanzadas de hacking. Aquí hay algunas características que hacen que una contraseña sea difícil de hackear:

1. Longitud: Las contraseñas más largas son generalmente más seguras. Se recomienda que las contraseñas tengan al menos 12 caracteres, pero preferiblemente más. Cuantos más caracteres tenga una contraseña, más difícil será para un atacante realizar un ataque de fuerza bruta o de diccionario.
2. Complejidad: Las contraseñas que contienen una combinación de letras (mayúsculas y minúsculas), números, símbolos y caracteres especiales son más seguras que aquellas que consisten solo en letras o números. Esta complejidad aumenta el espacio de búsqueda y hace que sea más difícil para los atacantes adivinar la contraseña.
3. Aleatoriedad: Las contraseñas generadas de forma aleatoria son más seguras que aquellas que son fácilmente predecibles o derivadas de información personal. Evita utilizar palabras comunes, frases conocidas, nombres propios o fechas de nacimiento como contraseñas.
4. No reutilización: Es importante no reutilizar contraseñas en múltiples cuentas. Cada cuenta debe tener una contraseña única y exclusiva. Esto reduce el riesgo de que una cuenta comprometida ponga en peligro otras cuentas del usuario.
5. Uso de frases de contraseña: Las frases de contraseña, que son secuencias de palabras aleatorias o poco comunes unidas, pueden ser altamente seguras y fáciles de recordar para el usuario. Por ejemplo, «CaballoVuelaAmarilloPez» es una frase de contraseña fuerte y memorable.
6. Gestión segura de contraseñas: Utilizar un administrador de contraseñas para almacenar y gestionar contraseñas puede ayudar a mantenerlas seguras. Estos programas generan contraseñas fuertes, las almacenan de forma segura y las insertan automáticamente cuando sea necesario.
7. Autenticación de dos factores (2FA): Habilitar la autenticación de dos factores añade una capa adicional de seguridad al requerir un segundo método de verificación, como un código enviado a un dispositivo móvil, además de la contraseña. Incluso si un atacante logra obtener la contraseña, aún necesitaría el segundo factor para acceder a la cuenta.
8. Actualización regular: Es importante cambiar las contraseñas regularmente, especialmente en cuentas sensibles o críticas. Esto puede ayudar a mitigar el riesgo en caso de que la contraseña se haya visto comprometida sin tu conocimiento.

Siempre es importante recordar que ninguna contraseña es completamente invulnerable, pero seguir estas mejores prácticas puede hacer que sea significativamente más difícil para los atacantes comprometer las cuentas protegidas.

Los hackers emplean diferentes técnicas dependiendo de la situación y del tipo de contraseña a descifrar. Si se trata de una contraseña que se puede descifrar offline, utilizan ataques de fuerza bruta o ataques de diccionario; si se trata de una contraseña online, utilizan el phishing.

Ataque de fuerza bruta o «brute force»

Un ataque de fuerza bruta funciona para contraseñas más cortas, de hasta 8 caracteres; se trata básicamente de un programa que adivina las contraseñas hasta que las acierta. Es uno de los métodos más antiguos empleados para descifrar contraseñas, pero sigue siendo eficaz en las circunstancias adecuadas. Un hacker usó un clúster de 25 GPUs para descifrar cualquier contraseña de 8 caracteres de Windows en 2012, teniendo la capacidad de hacer 350 mil millones de conjeturas por segundo.

Ataque de diccionario

Mientras que los ataques de fuerza bruta prueban todas las combinaciones de símbolos, números y letras, un ataque de diccionario prueba una lista preestablecida de palabras encontradas en un diccionario. Una contraseña formada por una sola palabra en inglés es bastante fácil de adivinar, e incluso añadir números detrás de esa palabra podría no ser suficiente. La única forma de sobrevivir a un ataque de diccionario es utilizar palabras poco comunes, errores ortográficos y más de una palabra, preferiblemente ocho.

Phishing

El phishing es un tipo de ataque de ingeniería social en el que el hacker se hace pasar por una entidad de confianza, engañando al usuario para que divulgue sus datos de acceso. Por lo general, el hacker envía al objetivo un correo electrónico de phishing alegando que hay un problema con algunos de sus servicios sobre los que deben tomar medidas. El correo electrónico suele dirigir al usuario a un enlace que lleva a un sitio web fraudulento que tiene el mismo aspecto que el servicio original del usuario (banco, correo electrónico, etc.). Una vez que el usuario introduce sus datos, estos son robados.

Contraseñas filtradas

Tras las grandes filtraciones de datos, la información de esas brechas de seguridad suele publicarse online para que otros hackers la utilicen. Estas bases de datos contienen miles de millones de nombres de usuario y contraseñas hackeados para muchos de los principales servicios online, y para la mayoría de la gente, esto pasa desapercibido, por lo que siguen utilizando las mismas contraseñas. Usando estas bases de datos, el hacker puede recorrer automáticamente todas las contraseñas previamente hackeadas, y la mayoría de las veces encuentran una coincidencia. Por eso es tan importante cambiar la contraseña, ya que podría estar filtrada.

Para comprobar si tus cuentas han sido pirateadas existen servicios web que recogen la información filtrada en bases de datos que permiten realizar búsquedas. Si descubres que una cuenta ha sido hackeada, debes cambiar inmediatamente esa contraseña en todos los servicios en los que se utiliza.

Uno de los sitios donde puedes revisar si tu contraseña ha sido hackeada es en la web de Avast, un famoso antivirus. Aquí te dejamos el enlace: https://www.avast.com/hackcheck

Ya sabes cómo te pueden robar tu contraseña y ahora vamos a ponerle remedio al problema. ¿Cuáles son las claves más difíciles de hackear? Sigue estos pasos y pónselo imposible a los hackers.

1. Utiliza contraseñas largas

Los hackers utilizan programas especiales para adivinar las contraseñas. Como hemos mencionado antes, la técnica se llama «ataque de fuerza bruta», una contraseña de tres caracteres tarda menos de un segundo en ser descifrada. Nunca uses menos de 8 caracteres y, si es posible, intenta utilizar 12 para tener un buen margen de seguridad.

Una buena regla general es utilizar la «regla 8-4»: 8 caracteres como mínimo, 1 minúscula, 1 mayúscula, 1 número y 1 carácter especial (8, a+B+3+@=4).

2. Crea frases sin sentido

Evita emplear palabras reales del diccionario en cualquier idioma, y evita deletrear al revés las palabras. Intenta utilizar palabras que no sean gramaticalmente correctas, utiliza tu propia ortografía que recuerdes; esto hace que sean mucho más difíciles de descifrar.

Seguro que tienes alguna palabra divertida que sólo usáis tú y tus amigos, esa es una buena palabra para usar. No utilices faltas de ortografía populares online; no utilices palabras de memes.

Incluye números, símbolos, mayúsculas y minúsculas
Esta es la «regla 8-4» de nuevo. Cuanto más se mezcle, más difícil será de adivinar para el ordenador. Puedes sustituir el número cero por una «O» o una «@» por la letra «A».

3. No utilices información personal

En tu contraseña no se debe incluir información fácil de descubrir, como tu cumpleaños, aniversario, dirección, ciudad de nacimiento, instituto, nombres de familiares y mascotas.

4. No reutilices las contraseñas

Cuando se produce un gran ataque y los piratas informáticos vulneran un sistema, la lista de direcciones de correo electrónico y contraseñas comprometidas suele filtrarse online. Otros piratas informáticos utilizarán estas credenciales de inicio de sesión, ya que muchos usuarios no son conscientes de esta violación y suelen reutilizar las contraseñas en diferentes servicios. Por ello, nunca debes reutilizar las contraseñas.

5. No se lo cuentes a nadie

Esto debería ser evidente, pero la gente sigue haciéndolo por pereza. No le des tu contraseña a nadie y no la escribas a la vista de otras personas. No escribas tus contraseñas en post-its junto a tu ordenador; es como pedir que te pirateen.

6. Cambia tus contraseñas

Cuanto más sensible sea tu información, más a menudo debes cambiar tu contraseña. Por ejemplo, tu contraseña de Google o Facebook debería cambiarse al menos una vez al año, y nunca reutilizarse.

7. Utiliza 2FA cuando sea posible

2FA es la abreviatura de «2 Factor Authentication» (autenticación de dos factores) y es una segunda capa de seguridad que puedes habilitar para los servicios web más sensibles como Google o Facebook. Por ejemplo, con la 2FA activada en Gmail, el usuario inicia la sesión como de costumbre con su nombre de usuario y contraseña, y luego se envía un código al teléfono móvil del usuario que debe ser verificado antes de completar el inicio de sesión. Dado que más del 80% de las personas utilizan la misma contraseña en varios servicios, habilitar la 2FA es vital para detener a los hackers.

8. No escribas NUNCA tus contraseñas en el ordenador

Debes anotar tus contraseñas; sólo tienes que usar un bolígrafo y un papel. Escribir las contraseñas en tu ordenador o dispositivo móvil es una muy mala idea, es como rogar que te pirateen. Si un hacker puede comprometer tus dispositivos, puede encontrar fácilmente tus contraseñas si están almacenadas en él.

9. Utiliza un gestor de contraseñas

Emplear diferentes contraseñas para todos los sitios y cambiarlas con intervalos regulares puede ser demasiado para gestionar. Una buena solución a este problema son los gestores de contraseñas; se trata de una aplicación que recuerda todas tus contraseñas y se conecta automáticamente a tus servicios. Todas tus contraseñas se almacenan en esta aplicación y están protegidas por una contraseña maestra, que es la única que necesitas recordar para iniciar sesión en todos tus servicios.

Después de nuestros consejos ya sabrás cuáles son las claves más difíciles de hackear, pero vamos a ir un paso más allá enseñándote varias webs donde puedes verificar la seguridad de tus contraseñas.

Si no queremos instalar un software en nuestro ordenador, podemos utilizar diferentes aplicaciones web que nos informarán sobre la calidad y seguridad de nuestras contraseñas.

Karpersky Password Checker

Kaspersky Password Checker es una herramienta creada por una de las empresas de seguridad en Internet más populares y reputadas, con especial experiencia en ciberdelincuencia. Esta herramienta tiene un uso bastante básico y sencillo, como medir el nivel de seguridad de tu contraseña.

Para utilizarlo, sólo tienes que introducir tu clave y el contador se pondrá en rojo, verde o amarillo en función de su nivel de seguridad. Debajo aparecerá un recuadro con un comentario en el que se indica si la contraseña es segura, si se puede descifrar fácilmente, si ha aparecido en la base de datos de contraseñas filtradas, etc.

UIC Password Strength Test

Pasamos ahora a un comprobador de contraseñas creado por la Universidad de Illinois en Chicago que nos dará información detallada sobre los puntos fuertes y débiles de nuestras contraseñas. La aplicación analizará la seguridad de tus claves y le proporcionará información visual inmediata.

Esta herramienta destaca los caracteres repetidos, las letras consecutivas, los símbolos secuenciales y los factores que no se encuentran en otras aplicaciones similares. También destaca la complejidad de una determinada contraseña y otorga o reduce puntos en función de la longitud de la misma y de la variedad de caracteres utilizados, dándonos una puntuación de 0 a 100. Lo malo es que sólo está disponible en inglés.

Gosafeonline Password Checker

Se trata de una herramienta online muy sencilla que nos ayudará a comprobar la seguridad de nuestras claves. En cuanto introducimos la contraseña, nos indica rápidamente el tiempo que tardaría un hacker en descifrarla. También nos da la oportunidad de averiguar cómo podemos mejorar la calidad de nuestras contraseñas indicando parámetros como la longitud de la contraseña, la combinación de números y letras y los caracteres especiales.

My1Login Password Checker

Esta aplicación usa varias técnicas para verificar la seguridad de las claves. Emplea diccionarios de contraseñas comunes, diccionarios regulares, diccionarios de nombres y apellidos, entre otros. También realiza la sustitución de estas palabras y nombres frecuentes, sustituyendo las letras por números y símbolos. Esta sustitución es muy frecuente entre las personas que creen que están reforzando las contraseñas, por lo que los hackers están entre las primeras cosas que hacen para descifrar las contraseñas.

Esta herramienta de seguridad de contraseñas revisa las secuencias de caracteres utilizadas, como 12345 o 67890, e incluso comprueba la proximidad de caracteres del teclado como qwert y asdf. También ofrece consejos para obtener contraseñas más seguras. Su principal inconveniente es que está en inglés.