Este artículo de defensa personal es bastante distinto a lo que hemos publicado hasta ahora, pero si sois seguidores de abasedegolpes.com ya os habréis dado cuenta de que nuestra web es bastante distinta a cualquier otra página sobre artes marciales, deportes de combate y defensa personal.

La realidad es que los problemas de seguridad en el mundo virtual pueden acabar trasladándose a nuestra seguridad física. En muchos casos son la puerta de entrada a una agresión en el mundo real y van mucho más allá de las estafas económicas de guante blanco.

Si alguien se hace con datos como por dónde te mueves, cuánto ganas, quién es tu familia, cuál es tu banco, si sabes defenderte, si vas armado, etc., lo tendrá más fácil para agredirte en el mundo real. Otro claro ejemplo sería el engaño pederasta (en inglés grooming) donde en algunos casos el delincuente obliga a la víctima a citarse en persona. Son múltiples los casos de ciberacoso que han pasado de lo virtual a lo físico.

Por ello publicamos este artículo de defensa personal en la red centrado en las contraseñas, un aspecto tan básico como necesario y una temática a seguir ampliando si es de vuestro agrado. En las siguientes líneas te expongo cómo debes elegir tus contraseñas y porqué debes hacerlo de ese modo, en base a los ataques típicos que se emplean para robar contraseñas.

Cómo crear una contraseña: ¿es importante tener una difícil de recordar?

El criterio más extendido para crear contraseñas fue propuesto originalmente por Bill Bur, quién trabajó para el Instituto Nacional de Normas y Tecnología de los Estados Unidos (NIST), cuya misión es promover la innovación y la competitividad industrial en EE. UU. mediante avances en áreas como la definición de estándares y normas.

De aquí vienen los criterios que ya conocen la mayoría de los internautas (ya que suelen obligarte a cumplirlos cada vez que creas un usuario), siendo los más extendidos incluir mayúsculas, minúsculas, números y caracteres especiales para crear tu contraseña y cambiarla cada 90 días.

Una contraseña complicada para un humano no tiene necesariamente que serlo para un ordenador que intente descifrarla empleando mecanismos de fuerza bruta. Imagina el típico candado con una combinación numérica para su apertura, un mecanismo básico de fuerza bruta consistiría en ir probando una a una todas las combinaciones hasta encontrar la correcta. Si el mecanismo es un poco inteligente comenzará probando por las clásicas como “0000” o “1234”. Si el mecanismo sabe el año de nacimiento del propietario o de sus familiares también podría probar primero con eso.

Con un poco de paciencia es fácil conseguir abrir un candado de 4 cifras numéricas. Ahora imagina que las ruedas con la que pones la combinación no son dígitos del 0 al 9, sino que incluyen todo el abecedario inglés (mayúsculas y minúsculas) y además caracteres especiales como signos de puntuación. Necesitarías estar muchísimo más tiempo probando.

Queda claro por el ejemplo anterior que la complejidad es importante, pero la longitud lo es todavía más. La contraseña “:*{5j7CV@” sería mucho más fácil de averiguar con un algoritmo de fuerza bruta que “PatataMartes5Cuchufletan”. Sin embargo, la segunda es mucho más fácil de recordar para un humano, aunque solo emplee mayúsculas, minúsculas y números.

Fíjate que para la segunda contraseña he empleado 3 palabras que no tienen nada que ver y de hecho la última no es una palabra, sino una mezcla de ellas. Contraseñas como “YoNaciEn1984PorLaTarde” o “EsteEsMiPasswordParaFacebook1984”, donde aparezcan palabras relacionadas, datos verídicos, fragmentos de canciones, etc; podrían ser fáciles de obtener por otros métodos, como generadores de palabras o ingeniería social.

Por qué no usar la misma contraseña para todo

La respuesta es evidente, el riesgo contundente, pero aun así esta mala práctica sigue siendo frecuente. Si tienes una llave para todas tus casas y pierdes esa llave, podrán entrar a todas tus casas. Lo mismo pasa en internet, con la diferencia de se puede viajar de una cuenta a otra de forma inmediata y automática, probablemente no tendrás casi tiempo de reacción.

Algunas personas emplean dos o tres tipos de contraseña y la repiten en distintas cuentas, cosa que tampoco es recomendable. Otra práctica no recomendable son las combinaciones obvias como tener “PatataMartes5FacebookCuchufletan” para contraseña de Facebook) y luego “PatataMartes5InstagramCuchufletan” para Instagram.

¿Tengo que memorizar todas mis contraseñas?

Llamadme romántico pero ¿por qué no deberías ser capaz de recordar todas tus contraseñas o al menos las más importantes? Nos estamos volviendo un poco vagos con el tema de la memoria. Cuando no había agenda en el móvil cualquier persona fácilmente recordaba veinte números de teléfono y no soy consciente de ningún caso de hemorragia cerebral causada por este extraordinario esfuerzo.

Especialmente si usas cadenas de palabras como los ejemplos anteriores, no debería resultarte tan complicado. En cualquier caso, si no estás dispuesto o no te ves capaz de realizar este esfuerzo, existen aplicaciones que permiten gestionar tus contraseñas como si de una llave maestra se tratara o puedes recurrir a apuntarlas en un cuaderno convenientemente oculto, por supuesto.

De dónde sacan los hackers las contraseñas: ¿cómo aplican estos algoritmos de fuerza bruta?

Seguramente te habrá pasado que tras meter mal tu contraseña un número de veces el sistema bloquea tu cuenta, así que ahora estarás pensando «¡vamos a ver, pero con cinco intentos cómo narices va la fuerza bruta a averiguar mi contraseña!». Y lo haces con toda la razón del mundo.

Los mecanismos de fuerza bruta no funcionan así. Típicamente el hacker consigue las contraseñas encriptadas por alguna vulnerabilidad. Ejemplo: hace años te creaste una cuenta en un blog (de WordPress) sobre Pokémon, ese blog lleva sin actualizarse un montón y tiene un montón de agujeros de seguridad. El jáquer (o un robot programado por un hacker a tal efecto) consigue hacerse con las contraseñas encriptadas y con esto ya tranquilamente desde su hogar pone a sus máquinas a hacer el bruto. También es frecuente que estos archivos (encriptados o sin encriptar) se compartan o venden a terceros para que intenten explotarlos.

Si usaste la misma contraseña para la cuenta del blog de Pokémon que la que usas para tu dirección de correo u otra cuenta de algún sitio habitual vas a tener un problema importante. Si no lo hiciste, seguramente recibas un correo de un misterioso hacker diciendo “sé que tu contraseña es TUCONTRASEÑA”. Muy probablemente solo tenga tu contraseña del blog de Pokémon que a estas alturas te debería dar igual, pero el intentará que parezca que tiene acceso total a todos tus dispositivos para chantajearte de lo lindo.

Algunos estafadores intentan usar este método sin tener absolutamente ninguna contraseña en su poder y suelen acompañarla con otras amenazas como haberte grabado disfrutando de contenidos para adultos. Este tipo de estafa es popularmente conocida en internet como I know your password, que en inglés significa 'conozco tu contraseña'.

No todo es fuerza bruta: ingeniería social

La fuerza bruta es uno de los métodos para hacerse con una contraseña, pero no es el único, ni el más eficaz, ni el más usado. Los métodos de ingeniería social como el phishing son una causa mucho más habitual y pueden servir para obtener una contraseña directamente o como primer paso para obtener información encriptada.

Cualquier método de ingeniería social se basa manipular usuarios legítimos para obtener información confidencial. Por ejemplo, construir una web que aparenta ser la de tu banco para que insertes las contraseñas (phishing) o que alguien engañe a una tienda de telefonía para conseguir un duplicado de tu tarjeta SIM (SIM swapping) son dos estafas típicas vinculadas a la ingeniería social.

El teléfono móvil, presa predilecta de los hackers

Los teléfonos móviles son actualmente el blanco perfecto de muchos jáqueres, ya que se utilizan como medio de verificación para un montón de aplicaciones jugosas, como las de los bancos. El tema de la seguridad informática es complejo, extenso y muchas veces no depende de nosotros, ya que engañan a un tercero que necesariamente debe tener nuestros datos.

La seguridad total no existe, pero sí puedo daros algunos consejos básicos, sin entrar al detalle.

  1. No te conectes a redes wifi públicas, en restaurantes, hoteles, etc.
  2. Activa el Bluetooth y el NFC cuando vayas a utilizarlos y desactívalos inmediatamente después. Además de evitar problemas de seguridad ahorrarás batería y hoy en día todos los móviles tienen accesos directos para hacer esto rápidamente.
  3. Instala solo aplicaciones de desarrolladores de confianza.
  4. Si tu teléfono móvil de repente se queda sin cobertura, contacta inmediatamente con tu operador telefónico. Seguramente te despachen con un “incidencia temporal de la red” o “pruebe a cambiar la tarjeta a otro móvil, seguramente sea que su terminal esté en mal estado”, para que no les molestes por un rato... pero este rato es el que aprovechará la persona que ha duplicado tu SIM.
  5. Ante la duda de haber sido hackeado mejor tomar medidas urgentes como bloquear las operaciones bancarias online, las tarjetas de crédito/débito y tu tarjeta SIM hasta que pase el temporal. ¡Ojalá haya sido una falsa alarma!

Milkyopi (Instagram Milkyopi_) es la ilustradora invitada de este artículo. ¡Eso sí que es usar la fuerza bruta en el ordenador!