Creando contraseñas seguras

LA CERRADURA DE LA CASA

La seguridad de la información es de suma importancia en la vida moderna, tanto o más de lo que lo es la seguridad física de su dinero, sus activos o sus propiedades. Si usted almacena información crucial de su negocio en su computador portátil, por ejemplo, coincidirá conmigo en que el robo o pérdida del equipo es un hecho relativamente intrascendente, comparado con el perjuicio que le causa la pérdida de los archivos guardados y la incertidumbre sobre el posible uso malintencionado que pueda dársele a esos datos.

El tema de la seguridad informática, aparte de ser amplio y complejo, involucra diversos participantes, entidades y sistemas, por lo cual, la verdad sea dicha, jamás estará bajo nuestro control absoluto, sin importar lo que gastemos en protegernos. ¿Significa esto que debemos abandonarnos al azar y resignarnos a ser robados o estafados en algún momento? !Por supuesto que no! Quizás no tenga mucho sentido que gastemos altas sumas en blindar nuestra casa, protegiéndola con muros electrificados, guardias de seguridad y perros feroces. Pero sin duda es muy razonable que al menos invirtamos en unas buenas cerraduras, que nos ayuden a frustrar los intentos de la mayoría de los criminales. En el mundo de la informática, el equivalente de esa cerradura es la contraseña o password de autenticación.

La combinación de nombre de usuario y contraseña es lo que nos permite acceder a diversos sistemas informáticos, en los que no solamente se pueden consultar datos privados, sino que también permiten realizar operaciones y transacciones que modifican la información. El ejemplo más común es nuestra cuenta bancaria, a la que podemos generalmente acceder desde internet, con la posibilidad de consultar saldos, realizar pagos, autorizar transferencias, etc.

La pregunta que surge es ¿qué podemos hacer para evitar el acceso no autorizado a nuestras cuentas de usuario? La respuesta más directa e inmediata es: UTILIZAR CONTRASEÑAS SEGURAS.

Por más que se hacen campañas llamar la atención sobre este tema, los usuarios siguen dándole poca importancia, quizás porque suponen que la entidad bancaria o el proveedor del servicio que estamos usando es quien tiene toda la responsabilidad de preservar la seguridad de la información. Nada más errado. De poco servirá que contrate una prestigiosa empresa de seguridad para vigilar su casa, si usted, descuidadamente, le facilita la llave de la puerta a un ladrón.

¿CÓMO CREAR CONTRASEÑAS SEGURAS?

La primera recomendación es olvidar el facilismo. Si usted usa como contraseña la palabra luis1975, debido a que se llama Luis y nació en el año 1975, entonces no se sorprenda si un día encuentra que han vaciado su cuenta bancaria o que alguien más se apoderó de su cuenta de Facebook y ahora está insultando a todos sus amigos por ese medio.

Ahora, sin más preámbulos, definamos lo que es una contraseña segura:

Una contraseña segura o fuerte es una combinación de caracteres, usada para acceder a un sistema protegido, que cumple con las siguientes normas:

• Consta de al menos 10 caracteres (entre más larga mejor)
• Incluye letras minúsculas, letras mayúsculas y símbolos ( $ # * u otros)
• No es inteligible, es decir, no coincide, ni siquiera parcialmente, con alguna palabra o nombre propio

Según las directrices anteriores, una contraseña segura sería algo como: $jkL#234Q8y1

Aparte de estas normas, está la regla de oro: Una contraseña JAMÁS se deja escrita, ni en papel ni en un archivo del computador. Tampoco se revela a otra persona, ni siquiera a la más cercana (por su propia protección).

 

UN MÉTODO PARA LA MENTE HUMANA

Aunque usted esté dispuesto a seguir estas recomendaciones para generar una contraseña segura, probablemente se pregunte cómo crearla, y aún más importante, cómo recordarla.

La memoria humana es frágil, hay que reconocerlo. De manera que, además de orientarlos sobre la escogencia de la contraseña, quiero compartir con ustedes un método que puede ayudarlos a crear contraseñas fuertes. Este método está basado en el funcionamiento de la mente humana, específicamente en el hecho de que nos es más fácil recordar por asociación que por el simple acto de memorización. Por ejemplo, si le pido que memorice el número 901002, requerirá cierto esfuerzo de su parte hacerlo, y aunque lo recuerde por un tiempo, eventualmente lo olvidará. Todo cambia radicalmente si asociamos el dato con algo que sea relevante para nosotros. Si, por ejemplo, su hijo nació en septiembre de 2001, le será mucho más fácil recordar el número, porque corresponde al año y mes del nacimiento, escritos al revés.

UNA TÉCNICA DE EJEMPLO

Veamos cómo puede usted inventar un procedimiento para crear contraseñas seguras, que al mismo tiempo sean fáciles de recordar.

Comience por escoger algún pensamiento, hecho o frase que tenga importancia para usted, pero que sea desconocido para todas las demás personas. Por ejemplo, si en su niñez su abuelo usaba mucho el refrán "al mal paso darle prisa", y ese recuerdo se quedó en su mente, puede usar esa frase como base de su contraseña. El siguiente paso es asociar alguna información numérica, ya que un buen password debe incluir números. Continuando con el ejemplo, digamos que su abuelo murió en 1998. Tenemos entonces ya los elementos conceptuales para crear la contraseña, cosas que no olvidaremos. Ahora tenemos que modificar esos datos, de modo que no puedan ser identificados al construir el password. De la frase que repetía el abuelo, vamos a tomar las primeras letras de cada palabra, con lo que obtenemos: ampdp. A continuación, inventaremos un sistema para asociar números o símbolos con las letras del alfabeto. Por ejemplo, usted puede decidir que la letra a se parece al símbolo @, así que en adelante reemplazará esa letra con ese símbolo. Similarmente, puede decidir, que el número 3 se parece a una letra m que ha rotado, así que reemplazará la m con el 3. Lo anterior significa que nuestra cadena de caracteres se ha convertido en @3pdp. Ahora bien, necesitamos usar también la información numérica, en este caso, el año 1998. Para no hacerlo tan evidente, podríamos decidir que ese año se puede escribir parcialmente con letras mayúsculas. Como empieza con mil novecientos, eso se podría convertir en MN (las iniciales de las palabras mil y novecientos), dejando solo los dos últimos números. Es decir, que el año lo escribiríamos como MN98. A continuación, podemos ya unir las dos partes, para obtener: @3pdpMN98. Finalmente, para darle todavía mayor fortaleza, podríamos separar los dos datos con un símbolo, que en adelante entenderemos como un separador de palabras (solo en nuestra mente perversa). Ese símbolo podría ser, por ejemplo, el de porcentaje, que usaremos dos veces para indicar separación. De manera que nuestra contraseña final es: @3pdp%%MN98

 

 

 

Hemos obtenido así una contraseña verdaderamente segura, que podemos reproducir en cualquier momento, a partir del esquema mental elaborado por nosotros mismos. Para las demás personas, se trata de algo completamente incomprensible, pero para nosotros tendrá un significado muy claro.

Le sugiero que utilice su propia variación del método, de manera que solamente usted conozca el proceso mental para generar la contraseña. Podría, por ejemplo, usar otros caracteres como separadores, tomar las palabras de la frase en orden inverso, crear su propio abecedario con símbolos, y muchas otras variaciones más.

Al principio, escriba la contraseña basándose en el proceso mental con el que la generó. Al poco tiempo, ya la escribirá de memoria, sin necesidad de reflexionar sobre el significado que tiene, pero con la ventaja de que será capaz de recrearla, si en algún momento duda de su memoria.

 

RECOMENDACIONES QUE NO DEBE IGNORAR

Tener una contraseña segura es un primer paso para proteger sus cuentas de usuario, pero hay otras medidas que debe tomar para proteger su información:

• Evite que otras personas observen sus manos al escribir su contraseña. Trate de dirigir la atención de quien se sienta junto a usted hacia otra cosa. Si no hay más remedio, es preferible que le pida a la otra persona que mire hacia otro lado. También podría fingir que oprime otras teclas (presionándolas levemente) para confundir a un posible observador furtivo.

• Nunca acceda a sus cuentas bancarias u otros servicios en línea desde computadores ajenos, especialmente si es en un sitio público, como un café Internet. Los delincuentes suelen instalar en los computadores públicos programas especiales (keyloggers) que roban su contraseña cuando usted la digita.

• No permita que otras personas utilicen su computador personal (tanto el de casa como el de la oficina), a menos que usted esté supervisando permanentemente sus acciones.

• Al ausentarse de su equipo de trabajo, nunca deje la sesión abierta, ni siquiera para ir por un café. Bloquee el equipo, de modo que haya que escribir la contraseña para reanudar el trabajo.

• Algunos expertos recomiendan cambiar la contraseña cada 2-3 meses, pero, en la práctica, es difícil seguir esa recomendación, sobre todo cuando usted maneja numerosas cuentas de usuario. Algo más realista sería sugerirle que cambie la contraseña cada seis meses, o a lo sumo cada año. Al hacerlo, modifique lo más posible su procedimiento mental para generar la contraseña.

• Lo ideal sería que usted tuviera distintas contraseñas, para cada una de las cuentas que usa: un password para la cuenta bancaria, otro para su cuenta de correo electrónico, otro para su cuenta de Facebook, etc. Si le parece muy complicado usar varias contraseñas, utilice como mínimo dos (ambas fuertes): una contraseña para sus cuentas más importantes (bancos, correo, MSN, redes sociales, etc.) y otra para usar en situaciones de menos riesgo, como en foros de opinión o blogs en los que se haya inscrito, sitios de entretenimiento, sitios Web en los que esté experimentando, etc.

• Una manera sencilla de recordar distintas contraseñas, es usar una misma contraseña de base, a la que le hacemos alguna modificación, dependiendo del programa o servicio en el que nos estemos autenticando. Según el ejemplo antes descrito, podríamos usar la contraseña: @3pdp%%MN98$Fb para Facebook, mientras que para revisar nuestra cuenta de correo en Gmail usaríamos: @3pdp%%MN98$Gm. En este caso, nuestro método mental usa el signo $ para separar la contraseña básica de la parte que indica el servicio usado, y simplemente agregamos dos letras que identifican el nombre abreviado del servicio.

• Si recibe una mensaje de e-mail o una llamada telefónica, en la que se le solicita su contraseña bancaria o de cualquier otro servicio en línea, absténgase de suministrar cualquier dato. Informe inmediatamente a la entidad o servicio sobre el incidente ocurrido.

• No caiga en la trampa de suministrar su nombre y contraseña de MSN, Yahoo o Facebook, lo que sucede con frecuencia en sitios malintencionados, que le ofrecen localizar a sus amigos o descubrir quien lo ha excluido de su lista de contactos.

• Cuando vaya a iniciar sesión, para administrar su cuenta bancaria o cualquier otra cuenta importante, asegúrese de que está visitando un sitio seguro, es decir, un sitio que transmite la información mediante un sistema de codificación especial, que evita que puedan interceptar los datos. En la barra de direcciones del navegador (Internet Explorer, Firefox, Chrome, etc.) deberá aparecer la dirección URL de la página, precedida por https:// (no es lo mismo que http://, sin la letra s). Adicionalmente, junto a la dirección del sitio debe aparecer un ícono con la imagen de un candado, que indica el uso de un sistema seguro. En las versiones recientes de los navegadores, la barra de direcciones adquiere un color verde, cuando realmente está visitando un sitio protegido, mientras que el color rojo indica que se trata de un sitio no seguro.

 

Espero que las ideas y recomendaciones expuestas en este artículo le ayuden a mejorar la seguridad de su información. Como dicen por ahí, si le resulta de utilidad, léalo y páselo.

Ing. Javier H. Eraso
Enero de 2011