Cómo crear una contraseña digital segura (y consejos para no olvidarla)

Es una efeméride poco atractiva y de escasa publicidad, ya que no sirve de excusa para comprar ni vender nada. Pero así y todo, el primer jueves de cada mes se celebra el Día Internacional de la Contraseña, con el objetivo de crear consciencia sobre lo importante que es crear passwords seguras.

Hasta hace unas décadas, poca gente se veía obligada a usar y recordar contraseñas: los espías, quizá también los contrabandistas o personas clandestinas, también aquellas que poseían una caja fuerte, las que usaban esos elegantes maletines con candado numérico y pocas personas más.

En la actualidad, en cambio, todos quienes tengamos una cuenta con un servicio digital —que hoy en día equivale a casi toda la población— debemos crear y usar al menos una contraseña, la que se transforma en algo así como las llaves de la casa. El celular tiene una, el mail otra, el banco, las redes sociales, varias aplicaciones, casi todos los servicios y así crece la lista. Más que una llave, en rigor, se trata de un llavero, el que lamentablemente no siempre resulta muy seguro ni tampoco conseguimos recordar a tiempo dónde fue que lo dejamos.

El año pasado, por ejemplo, se publicó un estudio del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, que acusó que al menos 23 millones de personas en el mundo usaban contraseñas débiles como “123456″ o “qwerty”. También reveló que las passwords más hackeadas (aunque hackeo es mucho decir para esto) eran aquellos que aludían al nombre de la mascota y el signo zodiacal de la persona.

Al mismo tiempo, pero en Chile, la plataforma administradora de contraseñas Nordpass desclasificó que entre las 10 contraseñas más usadas en nuestro país están “123456″, “ColoColo” y “catalina”. Si usted usa alguna de ellas, recomendamos cambiarla ahora mismo. Y no por otra de las mencionadas.

Si bien es un problema de marca mayor que una clave secreta sea vulnerada por terceros, también es un inconveniente crear una tan segura y complicada que hasta a uno mismo se le olvide y la tenga luego que cambiar.

¿Cómo llegar a ese anhelado punto intermedio entre seguridad y recordación? ¿Existe la manera de generar una password inexpugnable pero simultáneamente fácil de memorizar?

Muchas veces, como sucede ahora con la irrupción de la inteligencia artificial, se ha advertido de que los avances tecnológicos, especialmente los digitales, van mucho más rápido que la capacidad de adaptación de la mente humana. Un fenómeno del que las contraseñas no se escapan.

“A medida que pasan los años, hemos ido complejizando el uso de las contraseñas, pero la verdad es que si el sistema no lo exige, los usuarios promedio tienden a utilizar passwords simples, como ‘12345′”, reflexiona Farid Schuda, ingeniero de soluciones en Transmit Security.

Javier Linares, jefe de seguridad e innovación en Zenta Group, dice que esto se debe a la comodidad y la facilidad de recordar una contraseña. El problema es que además de ser más sencilla de memorizar, “también resulta más fácil de adivinar para los ciberdelincuentes”, advierte.

Como técnica, Linares propone usar frases o combinaciones de palabras significativas, en lugar de una sola palabra. “Por ejemplo, puedes combinar el nombre de tu mascota con tu fecha de nacimiento, y además agregarle algún símbolo, número o letra mayúscula”, sugiere.

“Es posible encontrar un equilibrio entre la seguridad y la facilidad de uso. La clave está en utilizar técnicas adecuadas para crear contraseñas sólidas pero que también sean memorables para el usuario”, asegura.

Marco Muñoz, CEO de la empresa de headhunters especializados en tecnología It-Talent, colabora con una serie de tips para tejer una buena contraseña.

• Asegúrate de que tenga al menos 12 caracteres: preferiblemente más, aunque también aumenta su dificultad para recordarla. Pero cuanto más larga sea, más difícil será de adivinar.
• Usa una mezcla: de letras mayúsculas y minúsculas, números y caracteres especiales, como símbolos o signos de puntuación.
• No uses información fácilmente accesible o relacionada contigo: como tu nombre, el de tus hijos, fecha de nacimiento o rut.
• No repitas la misma contraseña en diferentes sitios: crea una contraseña única para cada cuenta, y así evitar que el ataque en un sitio comprometa a todos los demás.
• Cámbialas regularmente: siempre que haya una posible brecha de seguridad, o cada 6 meses, es una buena práctica renovar tus contraseñas.

Sin embargo, Farid Schuda tiene una opinión radical: dice que no hay contraseña infalible; al contrario, que por definición una contraseña es insegura. Por lo tanto, advierte, da lo mismo su complejidad: al final, si un defraudador se propone hackearla, lo logrará.

“La complejidad en las contraseñas es más un dolor para el usuario que para los defraudadores, ya que estos pueden obtenerlas por diversas técnicas, como son ingeniería social, malwares, phishing, incluso por fuerza bruta”, enumera.

Lo más seguro, cree Linares, es adoptar un enfoque de múltiples factores de autenticación. Estima que la implementación de un gestor de contraseñas facilita la gestión y el acceso a contraseñas complejas, sin tener que romperse la cabeza recordándolas todas.

“Son herramientas muy útiles”, dice en referencia a las apps que gestionan passwords. “Estos programas almacenan todas nuestras contraseñas en una base de datos cifrada y nos permiten generar contraseñas fuertes. De esta manera, solo necesitamos recordar una sola contraseña maestra para acceder a todas las demás”, dice.

A título personal, recomienda la app LastPass: “Es fácil de usar y ofrece una variedad de funciones de seguridad, como llenado automático de formularios y conexión entre dispositivos”.

Después de 70 años de uso, Farid Schuda dice que es tiempo de jubilar a las contraseñas.

“Están de salida. Hoy existe la tecnología, los estándares y los métodos de autenticación que entregan una mejor experiencia a los usuarios, sin sacrificar la seguridad”.

A principios de mayo, por ejemplo, Google anunció una innovación relevante en este aspecto, que promete ser una forma mucho más segura para proteger las cuentas: se trata de las Passkey o llaves de acceso.

“La clave de acceso, que puede administrar todas tus contraseñas digitales, se almacena en su computadora local o dispositivo móvil, la que le pedirá su biometría de bloqueo de pantalla o PIN para confirmar que realmente es usted”, explicaron desde Google. (Si estás viendo esto desde tu teléfono móvil, puedes probar cómo funcionan en este enlace).

Schuda asegura que prácticamente todos los dispositivos móviles permiten hacer autenticación biométrica o utilizar métodos como Passkey o FIDO2. A su vez, los grandes de la industria —como Apple o Microsoft— ya han anunciado el uso de estas tecnologías y estándares para eliminar el uso de contraseñas individuales.

“Durante los próximos años habrá un cambio en la manera cómo accedemos a los sistemas digitales. Sin ir más lejos, hoy ya existen entidades bancarias que están migrando a sus clientes bajo un concepto passwordless (o sin contraseñas)”, menciona.

Linares no es tan entusiasta. “Si bien la tecnología biométrica es una interesante modificación emocionante a las medidas de seguridad, es poco probable que las contraseñas tradicionales se vuelvan completamente obsoletas en el futuro cercano”.

Lo más seguro, dice, es adoptar un enfoque de múltiples factores de autenticación, donde se combinen diferentes métodos, como contraseñas sólidas, autenticación biométrica y códigos de verificación enviados a dispositivos móviles.

Nunca está demás también sumar un poco del mundo análogo y, al igual que las mamás con la contraseña del wifi, tenerlas anotadas en una agenda o papelito bien seguro. No dentro de una caja fuerte, eso sí, para que no olvidemos la contraseña que guarda las contraseñas.