¿Cómo fortalecer las contraseñas ante la nueva era de ataques?

Como cada año, el primer jueves de mayo se conmemora el Día Mundial de la Contraseña. Como mecanismo de seguridad y comprobación de identidad, las contraseñas son utilizadas por millones de usuarios en todo el mundo, sin embargo, a pesar de las campañas de concientización y las noticias sobre brechas de ciberseguridad en todo el mundo, persisten las malas prácticas en cuanto a la creación y gestión de contraseñas.

En 2019, el Centro Nacional de Seguridad Cibernética del Reino Unido reveló que 23 millones de personas en todo el mundo continúan utilizando contraseñas inseguras como «123456», lo que demuestra que muchos usuarios aún desconocen los posibles peligros. Otros estudios más recientes, enfocados en América Latina, indican que este escenario no ha cambiado mucho.

Según el último informe de Hive Systems, que compartió los tiempos aproximados en los que los delincuentes cibernéticos podrían descifrar las contraseñas, varían desde el mínimo esfuerzo y tiempos casi instantáneos para las contraseñas más inseguras, hasta 438 billones de años para las claves más robustas. Pero en tan solo un año, los posibles tiempos de vulnerabilidad se han reducido hasta en un 90%, y se espera que, con la entrada de nuevos agentes como los servicios en la nube o la inteligencia artificial, podrían reducirse aún más en los próximos años.

Entre los avances tecnológicos que están ofreciendo herramientas a los atacantes, se cuenta la aceleración en el procesamiento de datos. Check Point Software Technologies explica que los ataques de fuerza bruta para obtener contraseñas están pasando de las unidades centrales de procesamiento (CPU) para aprovechar las capacidades de las unidades gráficas de procesamiento (GPUs), lo que les permite comprobar más de un millón de claves por segundo.

¿Por qué migrar de la CPU a una GPU? De acuerdo con Intel, una CPU –comúnmente conocida como el cerebro de la computadora– puede tener múltiples núcleos de procesamiento, ejecuta las órdenes y los procesos que necesitan la computadora y el sistema operativo, y determina la rapidez a la que pueden ejecutarse los programas. Por su parte, la GPU es un procesador formado por muchos núcleos más pequeños y especializados que ofrecen un desempeño masivo cuando se puede dividir una tarea de procesamiento.

Aunque las GPU se desarrollaron para acelerar las tareas específicas de renderización en 3D, con el paso del tiempo se han vuelto más programables y más flexibles, y se han convertido en procesadores paralelos de uso más general, por lo que manejan una gama cada vez más amplia de aplicaciones. “Hoy en día, las GPU ejecutan un número creciente de cargas de trabajo, como el aprendizaje profundo y la inteligencia artificial (IA). Una GPU u otros aceleradores son ideales para el entrenamiento de aprendizaje profundo con capas de red neuronal o en conjuntos masivos de ciertos datos, como imágenes 2D”, explica el sitio de Intel.

No es de extrañar que, al manejar datos más sensibles a mayor velocidad, las GPU se conviertan en el foco de atención de los atacantes.

De acuerdo con Check Point Software, la llegada de las nuevas tarjetas gráficas con memoria virtual (VRAM) abrieron la puerta para que estos dispositivos de hardware procesen datos de alta velocidad, de la misma manera que se utiliza en la minería de criptomonedas. Sin embargo, “también pueden ser utilizados en ataques cibernéticos de fuerza bruta para obtener contraseñas, siendo los modelos más nuevos capaces de realizar más de un millón de comprobaciones en solo un segundo, mucho más rápido de lo que se lograba anteriormente con las unidades centrales de procesamiento (CPU). Esto significa que, si tenemos una contraseña con menos de 12 caracteres basada exclusivamente en el uso de letras y números, podría ser vulnerada en solo unos pocos días”, advierte Check Point.

Ante este escenario de riesgo, y en el marco del Día Mundial de la Contraseña, Check Point Software Technologies aconseja poner más atención a las contraseñas, ya que son una de las principales barreras contra los delincuentes cibernéticos. ¿Y qué debe incluir una contraseña para ser segura y fuerte?

He aquí seis claves según Check Point Software:

Cuanto más larga y variada, mejor: debería tener al menos 14-16 caracteres de longitud y consistir en diferentes letras, combinando mayúsculas y minúsculas, símbolos y números. Sin embargo, se ha observado que aumentar la contraseña hasta 18 caracteres combinados puede construir una clave completamente inquebrantable. Esta creencia se basa en el número de intentos que requiere la práctica de fuerza bruta, donde el número total de combinaciones es igual al número de caracteres multiplicado por su longitud.

Fácil de recordar, difícil de adivinar: debería ser una combinación que solo el usuario conoce, por lo que es recomendable no usar detalles personales como fechas de aniversarios o cumpleaños, o los nombres de familiares, ya que estos pueden ser más fáciles de descubrir. Una forma sencilla de crear contraseñas que cualquier persona pueda recordar es usar frases completas, ya sea con escenarios comunes o absurdos, con ejemplos como ‘meryhadalittlelamb’, o su equivalente aún más seguro con diferentes caracteres ‘#M3ryHad@L1ttleL4m8’.

Única e irrepetible: crea una nueva contraseña cada vez que se accede a un servicio y evita usar la misma contraseña para diferentes plataformas y aplicaciones. Esto asegura que en caso de que una contraseña sea vulnerada, el daño será mínimo y más fácil y rápido de reparar. Según una encuesta de Google, al menos el 65% de los encuestados reutilizan sus contraseñas en múltiples cuentas y servicios web, lo que aumenta las posibilidades de que varias plataformas o aplicaciones sean vulneradas.

Siempre privado: una premisa que puede parecer básica, pero es importante recordar. Una contraseña no debe ser compartida con nadie, y es especialmente recomendable no escribirla cerca del ordenador o incluso en un archivo en él. Para esta tarea, se pueden utilizar herramientas como los gestores de contraseñas, que hacen el mismo trabajo, pero de una manera más segura.

La seguridad real está a solo ‘dos pasos’: además de tener una contraseña fuerte y segura, el uso de autenticación de dos factores (2FA) es una gran mejora de seguridad. De esta manera, cada vez que un atacante o una persona no autorizada quiera acceder a la cuenta de otra persona, el propietario de la cuenta recibirá una notificación en su teléfono móvil para otorgar o denegar el acceso.

Cambiarla periódicamente: a veces, incluso después de seguir todas estas prácticas, ocurren incidentes fuera de nuestro alcance, como fugas de bases de datos de empresas. Por lo tanto, es recomendable verificar periódicamente si un correo electrónico ha sido víctima de una vulnerabilidad de un tercero, así como intentar rastrear las cuentas que pueden haber sido comprometidas. Para hacer esto, existen herramientas de acceso público como el sitio web Have I Been Pwned, que intentan recopilar información básica sobre estas fugas para ofrecer soporte y ayuda a los usuarios. Del mismo modo, aunque no hayan sido vulneradas, siempre es recomendable.