Contraseñas: el punto débil de los usuarios

Una investigación desarrollada por Eset Latinoamérica con más de 500 personas en diferentes edades reveló que un 36.7% de los encuestados afirma utilizar una o pocas contraseñas para todos los servicios que utiliza, situación que representa un serio riesgo en la seguridad de su información.

Otro aspecto preocupante es que un 42.3% de los usuarios asegura utilizar una palabra o frase real como parte de la contraseña. En base a la misma interrogante, el 33.9% de los encuestados asevera emplear datos personales, como números de documento, fechas de nacimiento, entre otras cosas, para formar una clave, lo que representa otro problema más para la seguridad de su información.

Protegido

En una entrevista concedida en exclusiva a Superguía Tecnología, André Goujon, especialista de Awareness y Research Eset Latinoamérica, explicó cómo se produce el robo de una contraseña; también ofrece algunas pautas para evitarlo.

¿De qué forma un ciberdelincuente puede robarse una contraseña?

Primero están los códigos maliciosos o malware, programas cuyo objetivo es obtener rédito económico del usuario mediante la usurpación de información bancaria y personal, lo que incluye contraseñas de varios servicios como correo electrónico, redes sociales, entre otros.

En segundo lugar, los cibercriminales recurren a otras tácticas como el phishing, técnica que a diferencia de los códigos maliciosos obtiene información sensible como contraseñas directamente del usuario, quien creyendo que le está brindando dichos datos a una entidad financiera o empresa conocida lo está realmente haciendo a cibercriminales.

Estos, mediante un correo o publicación fraudulenta en alguna red social, se camuflan e intentan atraer a sus potenciales víctimas a través de falsas promesas o amenazas verbales como que de no hacerlo su cuenta bancaria o similar podría ser inhabilitada. Por ejemplo: un caso común es el de los falsos servicios que prometen determinar qué contactos de Messenger de la víctima lo han borrado de su lista.

Si el usuario proporciona su correo electrónico y contraseña en base a los supuestos requerimientos del fraude, esos datos serán enviados a un tercero. A esta tercera modalidad de falsos concursos o servicios se les denomina scam. “Hace un año reportamos un caso que afectaba a usuarios de Facebook y Messenger”, dijo Goujon.

Finalmente existe el riesgo de que un tercero obtenga la contraseña de un usuario mediante fuerza bruta. Esto es que un atacante intente adivinar la clave ingresando combinaciones alfanuméricas o símbolos hasta acertar. Existen software destinados para ese fin y la efectividad de esta técnica depende de la complejidad y longitud de la contraseña empleada.

¿Existe alguna forma para evitar el robo de una contraseña?

- Lo primero es utilizar una solución antivirus con capacidad de detección proactiva, de este modo estará protegido ante códigos maliciosos que pudieran robar información o contraseñas.

- Es importante que adopte pautas que le permitan navegar y utilizar la computadora de forma segura e informada. Por ejemplo, el usuario nunca deberá entregar su contraseña a nadie ni nada que lo solicite. Ninguna entidad seria y real pedirá esa información o similar.

- También debe emplear diferentes contraseñas para cada servicio que utiliza. El estudio realizado por Eset Latinoamérica demostró que un 36.7% de los usuarios utilizan una a pocas contraseñas para todos los servicios.

- Otro error que algunos usuarios cometen es anotar las contraseñas en papeles o documentos para no olvidarlas. Esta práctica debe evitarse siempre recurriendo a contraseñas que, siendo lo suficientemente largas y complejas, son fáciles de recordar para el usuario. Por ejemplo, utilizando alguna anécdota o algo parecido sumado a una serie numérica y preferiblemente también símbolos.

- Finalmente, el uso de servicios que requieren de información sensible para operar como portales web bancarios o similares, no deben ser utilizados desde redes WiFi públicas para evitar que un atacante obtenga dichos datos. Lo mismo se aplica para computadoras públicas de cibercafés y hoteles.

¿Qué tipo de contraseñas son las más seguras?
Las contraseñas más seguras son aquellas que:

- Poseen más de ocho dígitos de longitud (idealmente mayor a 12).

- Están formadas por varias palabras o frases distintas que sean recordables para la persona, pero que a la vez no sean obvias o muy típicas como fechas conocidas, nombres, lugares u otros.

- Son alfanuméricas con caracteres en mayúscula y minúscula.

- Se cambian con cierta frecuencia.

- Son distintas para cada servicio que el usuario utiliza.

¿Existe alguna forma para que un usuario con conocimientos básicos en la red pueda detectar que han robado o que han intentado robar su contraseña?

Sin una herramienta de seguridad, usualmente se vuelve muy difícil para el usuario detectar que sus credenciales han sido robadas. Por otro lado, existen algunos servicios de correo electrónico que alertan al usuario si su cuenta ha sido accedida desde algún país distinto al habitual.

Lo mismo sucede con las redes sociales como Facebook que incluso permiten que ante un acceso poco usual se le alerte a la persona directamente en su teléfono móvil sobre dicho acontecimiento.

¿Qué debe hacer un usuario cuando detecta que ha sido objeto de robo de su contraseña?

La primera acción que debería realizar el usuario es cambiar la clave. Luego, se debe determinar la causa del robo de la contraseña. Por ejemplo, si el mismo ocurrió porque el usuario entregó dicha información a través de un ataque de phishing, entonces bastará con que cambie lo antes posible todas las contraseñas afectadas y contacte a su banco en caso de ser necesario.

Sin embargo, si la persona no recuerda haber entregado sus credenciales de acceso, lo más probable es que alguna computadora desde la cual haya accedido a cierto servicio se encuentre comprometida por algún código malicioso.

Ante esa situación lo primero es analizar ese equipo en busca de malware con el fin de poder desinfectarlo. También se debe cambiar la contraseña desde otro equipo que se sepa está limpio. De lo contrario, proceder a cambiar la clave una vez que se ha hecho la desinfección.

De no realizar una limpieza adecuada, la nueva clave podría ser obtenida nuevamente por los cibercriminales. Finalmente es importante que el usuario aprenda del error que lo llevó al robo de su contraseña para que esta situación no se repita en el futuro.

Evite el robo de contraseñas

Recomendaciones que hace Eset para evitar el robo de contraseñas:

- Implemente una contraseña con una longitud de más de ocho dígitos utilizando varios tipos de caracteres, distintas palabras, frases, números y símbolos.

- Instale una solución antivirus con capacidad de detección proactiva, para minimizar el riesgo de infección por parte de códigos maliciosos.

- Utilice contraseñas distintas para cada servicio que necesite de una.

- Cambie las contraseñas con cierta periodicidad, por ejemplo, cada mes.

- No utilice computadoras públicas para acceder a servicios que requieran de información sensible, como bancos, tiendas en línea, correo o redes sociales.

- Si se está accediendo desde un dispositivo personal, pero utilizando una conexión Wi-Fi pública, tome en consideración utilizar páginas cifradas con HTTPS.

'Utilizar la misma contraseña para varios servicios es como usar la misma llave para la cerradura de su casa, oficina o caja fuerte”. André Goujon, Especialista de Awareness y Research Eset.